Vi har sporet opp enda en versjon av den beryktede CERBER ransomware ble løslatt, veldig lik den første versjonen av viruset. Den bruker RSA-512 chiffer å kryptere filene på den kompromitterte maskinen og også navneskifter disse filene, samt legger til en tilfeldig filtypen til dem. Hvis du har blitt et offer for denne varianten av CERBER ransomware, Vær oppmerksom på at du bør lese denne artikkelen for å bli kjent med denne versjonen av ransomware og lære nye metoder på å fjerne det og gjenopprette noe av data.
Mer informasjon om CERBER _README_{RAND}_.hta
I likhet med den forrige CERBER iterasjon, denne endres også bakgrunnen av den infiserte datamaskinen med en som har samme CERBER melding, men skrevet i fromt av en rød skrift:
CERBER ransomware har også muligheten til å bruke samme taktikk som sine tidligere versjoner å infisere brukerens datamaskiner. Det kan infisere på flere steder på nettet via mistenkelige linker eller mistenkelige spam e-post:
- Sosiale medier nettsteder.
- Nettsteder relatert til torrents.
- Mistenkelige områder som annonserer tvilsom programvare.
- via PUP (Potensielt uønskede programmer).
- Via spammet e-postmeldinger reklame tilsynelatende legitime tjenester.
Det som også er nytt i forbindelse med denne varianten, oppdaget i begynnelsen av desember, 2016 er at CERBER ransomware bruker Tor-nettverket og Google til å spre en farlig skript som injiseres via en korrupt svchost32.exe prosess med falske opprinnelse. Dette utnyttelse av Tor nettverket hjelper også skjule plasseringen av infeksjonen og bidrar til å bevare fordelingen stedet CERBER om mer tid .
Hva gjør CERBER _README_{RAND}.HTA Do?
Etter at en infeksjon er forårsaket, den første aktiviteten CERBER ransomware er å stenge viktige Windows-prosesser og tjenester dersom de kjører, for eksempel bootsect, iconcache, ntuser, tommelen.
Etter å ha gjort dette, dette gjentakelse av CERBER angriper også flere database prosesser knyttet til Oracle, SQL og andre server databaser. Nedleggelse av disse prosessene, hvis aktiv, lar CERBER ransomware til å forårsake en massiv kryptering av hele databaser. Men dette er ikke så langt som CERBER går når det kommer ned til kryptering. Den ransomware virus har også som mål å kryptere enda flere filtyper enn sine forgjengere. Filtypene forbundet med denne varianten av CERBER er rapportert av forskere til å være følgende:
Etter kryptering filene ikke lenger kan åpnes. Dette er fordi deres nøkkelkoden har 5 blokker av det som er chiffrerte via RC4 metode og RSA-algoritmen 512. Dette genererer en unik nøkkel for filene som sendes til serverne til cyber-kriminelle bak CERBER bruke en sofistikert metode for å skjule informasjon som sendes via post trafikk. De bruker port 6482 på TCP og UDP til flere IP-adresser POST informasjon.
Akkurat som andre versjoner av CERBER ransomware, navnene på de krypterte filene kan endres til helt tilfeldig, samt utvidelser etter kryptering.
Etter at krypteringsprosessen er fullført, CERBER faller også det unike _README_{RAND}.HTA løsepenger notat slik at brukeren kan se ytterligere instruksjoner og en egendefinert nettadresse der summen av 500$ er bedt om å bli betalt i en tidsfrist for å få filene tilbake, ellers summen dobles.
Fjern CERBER _README_{RAND}_.hta Ransomware
Slik sletter fullt denne gjentakelse av CERBER, det er tilrådelig å fortsette med samme forsiktighet som alle andre CERBER virus og ta den med en avansert anti-malware programvare.
Etter fjerning av CERBER ransomware vi også oppfordre deg til å prøve noen alternative verktøy for å prøve å gjenopprette filene dine. De kan ikke jobbe fullt, men du kan gjenopprette minst en del av data:
- Data-programvare.
- Bruk av et nettverk sniffer å spore kommunikasjon packers med det formål å forhåpentligvis få dekrypteringsnøkkelen, CERBER sender til cyber-kriminelle etter kryptering.
- Shadow Explorer bruk for å prøve og få Shado kopier, tross alt.
- Bruk av tredjeparts decryptors (ikke anbefalt). Hvis du gjør dette, kan utføre en sikkerhetskopi av de krypterte filene fordi de kan brekke på ubestemt tid hvis tuklet med.