Cerber Ransomware

Conosciuto inoltre come: Cerber virus
Distribuzione: Moderato
Livello di danno: Grave

Cerber ransomware, istruzioni di rimozione

Cos'è Cerber?

Cerber è un malware di tipo ransomware che si infiltra nel sistema e crittografa i vari file (jpg, doc, .raw, .avi ecc) (vale la pena ricordare che Cerber aggiunge un'estensione .cerber (.beef) ad ogni file crittografato). A seguito della crittografia, Cerber richiede agli utenti di pagare un riscatto al fine di decifrare questi file. Afferma che gli utenti devono pagare il riscatto entro il determinato lasso di tempo (7 giorni), altrimenti l'importo del riscatto raddoppierà.

Durante la crittografia, Cerber crea 3 file diversi (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html, #DECRYPT MY FILES#.vbs) contenenti le istruzioni di pagamento in ogni cartella che contiene i file crittografati. Il messaggio dice che gli utenti possono decifrare solo i file utilizzando un decryptor sviluppato da criminali informatici (chiamato 'Cerber Decryptor'). Il file #DECRYPT MY # file vbs contiene un VBScript, quando eseguito si udirà un messaggio "I documenti, database e altri file importanti sono stati crittografati" attraverso gli altoparlanti del computer dell'utente. Per poter scaricare il Decryptor gli utenti devono pagare un riscatto di 1.24 BitCoin (al momento della ricerca questo era equivalente a $ 546,72). Se il riscatto non viene pagato entro 7 giorni, si raddoppierà a 2.48 BTC. Si afferma anche che gli utenti possono pagare solo utilizzando il browser Tor e seguendo le istruzioni all'interno del sito web indicato. Purtroppo, al momento della ricerca non vi erano strumenti in grado di decifrare i file interessati da Cerber. Per questo motivo, l'unica soluzione per questo problema è il ripristino del sistema da un backup.

Cerber decrypt instructions

Da ransomware, CERBER ha molte similitudini con altri tipi di malware, come ad esempio, Locky, CryptoWall, CTB-Locker, Crypt0L0cker, TeslaCrypt e molti altri. Tutti si comportano esattamente allo stesso modo - crittografano i file e incoraggiano gli utenti a pagare un riscatto per decifrare i file. Le uniche differenze tra questi virus sono l'algoritmo utilizzato per cifrare i file e la dimensione del riscatto. Bisogna essere consapevoli del fatto che non vi è alcuna garanzia che i file verranno mai decifrati anche dopo aver pagato il riscatto. Pagare equivale a inviare il denaro a dei cyber criminali - ci si limita a sostenere la loro attività dannosa. Per questo motivo, non pagare il riscatto e non tentare di contattare queste persone.

Malware come Cerber hanno più probabilità di essere diffusi tramite allegati di posta elettronica dannosi, reti peer to peer (P2P) (ad esempio, Torrent), aggiornamenti software falsi e trojan. Per questo motivo, gli utenti devono essere molto cauti quando si aprono gli allegati dai messaggi di posta elettronica non riconosciuti. E' anche molto importante fare in modo che i file desiderati vengano scaricati da fonti attendibili. Inoltre, assicurarsi sempre di mantenere il software installato aggiornato e utilizzare un legittimo anti-virus o suite anti-spyware.

A seguito dell'infiltrazione nel computer target Cerber ransomware cripta i file con queste estensioni:

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv

Screenshot del file #DECRYPT MY FILES#.html:

cerber ransomware decrypt my files html

Cerber Decryptor istruzioni di download:

Come ottenerlo?
1. Creare un portafoglio Bitcoin (si consiglia Blockchain.info)
2. Acquistare la necessaria quantità di Bitcoin
Non dimenticare la commissione di transazione in rete Bitcoin (0,0005 BTC).
3. Inviare 1.24 Bitcoin al seguente indirizzo Bitcoin: -
4. Controllare la transazione nel pannello sottostante.
5. Ottenere un link e scaricare il software.

Testo presente nel file #DECRYPT MY FILES#.txt:

I documenti, le foto, i database e altri file importanti sono stati crittografati!
Per decifrare i file seguire le istruzioni:

---------------------------------------------------------------------------------------

1. Scaricare e installare il "Tor Browser" da hxxps://www.torproject.org/
2. Eseguirlo
3. Nel "Tor Browser" aprire:
http: //decrypttozxybarc.onion/ [redatto]
4. Seguire le istruzioni su questo sito


---------------------------------------------------------------------------------------

Messaggio che afferma che i file delle vittime sono stati criptati:

Warning message stating that files have been encrypted by Cerber ransomware

Testo all'interno di questo messaggio:

CERBER DECRYPTOR
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - .

All transactions should be performed via bitcoin network only.

Within 7 days you can purchase this product at a special price 1.24 BTC (approximately $524).

After 7 days the price of this product will increase up to 2.48 BTC (approximately $1048).

Rimozione di Cerber ransomware:

Menu rapido:

Step 1

Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, scegliere Chiudi sessione, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare la modalità provvisoria con rete dalla lista.

modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Step 2

Login nel conto infettato da Cerber. Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci rilevate


Download rimozione del Cerber virus
1) Scarica e installa   2) Avvia scansione del sistema   3) Usa il tuo computer pulito!

Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Reimage.

Se non è possibile avviare il computer in modalità provvisoria con rete, provare ad eseguire un ripristino del sistema.

Video che mostra come rimuovere il virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema"

1. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, e quindi selezionare Modalità provvisoria con prompt dei comandi dalla lista e premere INVIO.

accendi il pc in modalità provvisoria con rete

2. Quado si carica il prompt dei comandi, digitare: cd restore e premere INVIO.

prompt dei comandi cd restore

3. Quindi, digitare: rstrui.exe e premere INVIO

prompt dei comandi rstrui.exe

4.Nella finestra che si apre premere AVANTI.

rispristino sistema

5. Selezionare uno dei disponibili punti di ripristino e fare clic su "AVANTI" (questo ripristinerà il computer a uno stato e data precedenti, prima che il virus ransomware Cerber si sia infiltrato nel PC).

seleziona punto di ripristino

6. Nella finestra che si apre cliccare su SI.

ripristino sistema

7. Dopo aver ripristinato il computer a una data precedente, scaricare ed eseguire la scansione del PC con un software anti malaware raccomandato per eliminare i file di Cerber.

Per ripristinare singoli file crittografati da questo ransomware, provare a utilizzare le versioni precedenti di Windows. Questo metodo è efficace solo se Ripristino configurazione di sistema funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di Cerber sono noti per rimuovere copie shadow volume dei file, quindi questo metodo potrebbe non funzionare su tutti i computer.

Per ripristinare un file, fare clic destro su di esso, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file in questione ha un punto di ripristino, selezionarla e fare clic sul pulsante "Ripristina".

ripristinare file criptati con CryptoDefense

Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), avvia il pc con un disco di ripristino. Alcune varianti di ransomware disabilitano la modalità provvisoria facendo la sua rimozione complicata. Per questo passaggio, si richiede l'accesso a un altro computer.

Per riprendere il controllo dei file crittografati da Cerber si può anche provare a utilizzare un programma chiamato Shadow Explorer. Maggiori informazioni sono disponibili qui

shadow explorer screenshot

 Per proteggere il computer da ransomware come questo, usa antivirus affidabili e programmi anti-spyware. Come metodo di protezione in più, gli utenti di computer possono utilizzare un programma chiamato HitmanPro.Alert e Malwarebytes Anti-Ransomware che impianta artificialmente oggetti Criteri di gruppo nel Registro di sistema, al fine di bloccare i programmi canaglia come Cerber)

HitmanPro.Alert CryptoGuard - rileva la crittografia di file e neutralizza tali tentativi, senza la necessità di un intervento da parte dell'utente

:

hitmanproalert ransomware

Malwarebytes Anti-Ransomware Beta utilizza la tecnologia proattiva avanzata che controlla l'attività ransomware e lo termina immediatamente - prima che raggiunga i file degli utenti:

malwarebytes anti-ransomware

  • Il modo migliore per evitare danni da infezioni ransomware è quello di mantenere regolari backup. Maggiori informazioni sulle soluzioni di backup online e software di recupero dati possono essere trovati qui.

Altri strumenti utili per eliminare Cerber ransomware:

Fonte: https://www.pcrisk.com/removal-guides/9842-cerber-ransomware