CFOC.ORG

Computers op Focus - Online Security Guide

11:19 pm
23 April 2024

Cerber _README_{RAND}.HTA Virus - Verwijder en Get Files Back

Ransomware alerts | | 0 | door

We hebben opgespoord nog een andere versie van de beruchte Cerber ransomware wordt vrijgegeven, zeer vergelijkbaar met de eerste versie van het virus. Het maakt gebruik van RSA-512 cipher om de bestanden te versleutelen op de besmette computer en hernoemt ook die bestanden evenals voegt een willekeurige bestandsextensie aan hen. Als je een slachtoffer van deze variant van Cerber ransomware zijn geworden, er rekening mee dat u dit artikel moet lezen om vertrouwd te raken met deze versie van de ransomware en nieuwe methoden te leren over het verwijderen en het herstel van een deel van de data.

Meer informatie over Cerber _README_{RAND}_.hta

Net als bij de vorige Cerber iteratie, dit verandert ook het behang van de geïnfecteerde computer met een die precies dezelfde Cerber boodschap, maar geschreven in fromt van een rode doopvont:

Cerber-ransomware-_readme_-HTA-cfoc-org-aandacht-encryptie-2016

Cerber ransomware heeft ook de mogelijkheid om dezelfde tactiek gebruiken, zoals de vorige versies van de gebruiker computers te infecteren. Het kan infecteren op diverse plaatsen online via verdachte weblinks of verdachte spam e-mails:

  • Social Media websites.
  • Websites gerelateerd aan torrents.
  • Verdachte sites die twijfelachtige software adverteren.
  • via PUPs (Potentieel ongewenste programma's).
  • Via gespamde e-mailberichten reclame ogenschijnlijk legitieme diensten.

Wat ook nieuw is met betrekking tot deze variant, ontdekt in het begin december, 2016 is dat Cerber ransomware maakt gebruik van het Tor-netwerk en Google om een ​​gevaarlijk script dat via een corrupte svchost32.exe proces van valse oorsprong wordt geïnjecteerd verspreid. Dit gebruik van het Tor netwerk helpt ook verbergen van de locatie van de infectie en helpt bij het behoud van de verdeling plaats van Cerber om meer tijd .

Wat doet Cerber _README_{RAND}.hta Do?

Na een infectie is veroorzaakt, de eerste activiteit van Cerber ransomware is af te sluiten cruciale Windows-processen en diensten als ze actief zijn, bij voorbeeld bootsect, iconcache, ntuser, duimen.

Na dit gedaan, deze iteratie van Cerber valt ook de database verscheidene processen die verband houden met Oracle, SQL en andere server databases. De sluiting van deze processen, indien actief, maakt Cerber ransomware tot een massale versleuteling van hele databases veroorzaken. Maar dit is niet zo ver als Cerber gaat als het gaat om het coderen van bestanden. De ransomware virus is ook bedoeld om nog meer bestandsextensies versleutelen dan zijn voorgangers. De bestandstypen in verband met deze variant van Cerber worden gerapporteerd door de onderzoekers als volgt berekend:

Cerber-file-extensions-encryptie-sensorstechforum

Na codering kunnen de bestanden niet meer worden geopend. Dit komt omdat hun belangrijkste code heeft 5 blokken ervan die via de RC4 en RSA-512 algoritme vercijferd. Dit levert een unieke sleutel voor de bestanden die naar de servers van de cybercriminelen achter Cerber wordt gestuurd maken gebruik van een geavanceerde methode om de informatie verzonden via de post verkeer te verbergen. Zij maken gebruik van de haven 6482 TCP en UDP om meerdere IP-adressen POST informatie.

Net als andere versies van Cerber ransomware, de namen op de versleutelde bestanden kunnen worden veranderd om volledig willekeurig evenals de extensies na encryptie.

Na de encryptie proces is voltooid, Cerber daalt ook het unieke _README_{RAND}.hta losgeldbriefje waarmee de gebruiker om verdere instructies te zien en een aangepaste URL waar de som van 500$ wordt verzocht te betalen in een termijn om de bestanden terug te krijgen, anders wordt de som verdubbelt.

Verwijderen Cerber _README_{RAND}_.hta Ransomware

Om deze iteratie van Cerber volledig verwijderen, Het is raadzaam om te gaan met dezelfde voorzichtigheid als andere Cerber virus en verwijderen met een geavanceerde antimalwaresoftware.

DOWNLOAD Removal Tool VOOR Cerber _README_{RAND}.hta
De gratis versie van SpyHunter zal alleen uw computer te scannen om mogelijke bedreigingen te detecteren. Om ze permanent te verwijderen van uw computer, koopt de volledige versie. Spy Hunter malware removal tool aanvullende informatie/SpyHunter verwijderinstructies

Na het verwijderen van Cerber ransomware raden wij u ook enkele alternatieve hulpmiddelen te gebruiken om te proberen om uw bestanden te herstellen. Ze kunnen niet volledig werkt, maar je kan ten minste een deel van de gegevens te herstellen:

  • Data recovery software.
  • Het gebruik van een netwerk sniffer om de communicatie verpakkers volgen met als doel om hopelijk de decryptie sleutel, Cerber stuurt naar de cyber-criminelen na encryptie.
  • Shadow Explorer gebruik om te proberen en krijg shado kopieën, ondanks alles.
  • Met behulp van derden decryptors (niet aangeraden). Als je dit doet, neem dan een back-up van de gecodeerde bestanden uit te voeren, omdat ze voor onbepaalde tijd kan breken wanneer geknoeid.

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Time limit is exhausted. Please reload the CAPTCHA.