יש לנו איתר עדיין גרסה אחרת של כופר Cerber לשמצה ששוחררה, דומה מאוד לגרסה הראשונה של הנגיף. היא משתמשת צופן RSA-512 כדי להצפין את הקבצים על המחשב נפרץ גם תשנה קבצים אלה, כמו גם מוסיפה סיומת קובץ אקראית להם. אם אתה הפכת לקורבן של גרסה זו של כופר Cerber, שים לב לכך שאתה צריך לקרוא את המאמר הזה כדי להכיר את הגרסה הזו של הכופר וללמוד שיטות חדשות על הסרתו ושחזור חלק מהנתונים.
מידע נוסף על Cerber _README_{ראנד}_.hta
בדומה איטרציה Cerber הקודמת, גם זו אחת משנה את הטפט של המחשב הנגוע עם אחד שיש לו את אותה מאוד הודעת cerber, אבל כתוב fromt של גופן אדום:
כופר Cerber יש גם את היכולת להשתמש באותן טקטיקות כמו הגרסאות הקודמות שלה כדי להדביק מחשבי משתמשים. זה עלול להדביק בכמה מקומות באינטרנט באמצעות קישורי אינטרנט חשודים או הודעות דואר אלקטרוני דואר זבל חשוד:
- אתרי מדיה חברתית.
- אתרים הקשורים טורנטים.
- אתרים חשודים כי לפרסם תוכנות מפוקפקות.
- באמצעות גורים (ותוכנות לא רצויות).
- באמצעות הודעות דואר אלקטרוני שמפיצים ספאם שירותי פרסום לגיטימי לכאורה.
מהו גם חדשות לגבי גרסה זו, שהתגלה בתחילת חודש דצמבר, 2016 הוא כופר Cerber משתמשת ברשת Tor ו- Google להפיץ תסריט מסוכן כי הוא מוזרק באמצעות תהליך svchost32.exe מושח של מקורותיה המזויפים. ניצול זה של רשת Tor גם עוזר להסתיר את המיקום של זיהום ומסייע לשמר את אתר ההפצה של Cerber יותר זמן .
מה עושה Cerber _README_{ראנד}.HTA Do?
לאחר זיהום נגרם, הפעילות הראשונה של כופר Cerber היא לסגור את תהליכים ושירותי Windows מכריעים אם הם רצים, לדוגמה bootsect, iconcache, ntuser, אגודלים.
לאחר שבצע זה, איטרציה זו של Cerber תוקפת גם מספר תהליכי נתונים הקשורים אורקל, SQL ומסדי נתונים לשרת אחרים. כיבוי של תהליכים אלה, אם פעיל, מאפשר כופר Cerber כדי לגרום הצפנה מסיבית של מסדי נתונים שלמים. אבל זו אינה ככל Cerber הולך כשזה מסתכם הצפנת קבצים. הנגיף כופר גם שואף להצפין עוד יותר סיומות קבצים יותר מקודמיו. סוגי הקבצים הקשורים גרסה זו של Cerber מדווחים על ידי חוקרים לשמור על הכללים הבאים:
לאחר הצפנת הקבצים כבר לא יכולים להיפתח. הסיבה לכך היא קוד המפתח שלהם יש 5 בלוקים של אותו כי הם מוצפנים באמצעות שיטת RC4 ו אלגוריתם RSA-512. זה מפיק מפתח ייחודי עבור הקבצים אשר נשלח אל השרתים של הפושעים-הסייבר מאחורי Cerber להשתמש בשיטה מתוחכמת כדי להסתיר את המידע שנשלח באמצעות תנועה פוסט. הם משתמשים נמל 6482 על TCP ו- UDP מספר כתובות IP מידע POST.
בדיוק כמו בגרסאות אחרות של כופר Cerber, השמות על הקבצים המוצפנים עשויים להשתנות ל אקראי לחלוטין, כמו גם את הסיומות לאחר הצפנה.
לאחר תהליך ההצפנה יושלם, Cerber גם טיפות זה _README_ ייחודי{ראנד}.כופר HTA המאפשר למשתמש לראות הוראות נוספות ו אתר מותאם אישית שבה הסכום של 500$ מתבקש ישולם בתוך מועד כדי לקבל את הקבצים בחזרה, אחרת הסכום מכפיל.
הסר Cerber _README_{ראנד}_.hta כופר
כדי במלואה למחוק איטרציה זו של Cerber, רצוי להמשיך עם אותה הזהירות כמו כל וירוס Cerber אחר ולהסיר אותו עם תוכנה מתקדמת נגד תוכנות זדוניות.
לאחר הסרת כופר Cerber אנו גם קוראים לכם לנסות כמה כלים חלופיים מנסה לשחזר את הקבצים שלך. הם לא יפעלו באופן מלא, אך תוכל לשחזר לפחות חלק מהנתונים:
- תוכנה לשחזור נתונים.
- שימוש של מריח רשת לעקוב מפעלי תקשורת במטרה ובתקווה לקבל את מפתח הפענוח, Cerber שולח את הפושעים-סייבר לאחר הצפנה.
- צל Explorer שימוש לנסות ולקבל עותקים שאדו, למרות הכל.
- שימוש decryptors צד שלישי (לא מומלץ). אם אתה עושה את זה, בבקשה לבצע גיבוי של קבצים מוצפנים משום שהם עלולים לשבור הגבלת זמן אם התעסק עם.