CFOC.ORG

Computers on Focus - Online Security Guide

10:54 pm
18 april 2024

Cerber _README_{RAND}.HTA Virus - Ta ut och hämta filer Back

Ransomware alerts | | 0 | förbi

Vi har spårat ännu en version av den ökända Cerber Ransomware släpps, mycket lik den första versionen av viruset. Den använder RSA-512 chiffer för att kryptera filerna på den infekterade datorn och även döper dessa filer samt lägger till en slumpmässig filändelse till dem. Om du har blivit ett offer för denna variant av Cerber Ransomware, observera att du bör läsa den här artikeln för att bekanta dig med den här versionen av Ransomware och lära sig nya metoder för att ta bort det och återställa en del av de uppgifter.

Mer information om Cerber _README_{RAND}_.hta

I likhet med föregående Cerber iteration, här ändrar också bakgrundsbild av den infekterade datorn med en som har precis samma Cerber meddelande, men skriven på fromt av en röd teckensnitt:

Cerber-Ransomware-_readme_-HTA-cfoc-org-uppmärksamhet-kryptering-2016

Cerber Ransomware har också förmågan att använda samma taktik som sina tidigare versioner för att infektera användarnas datorer. Det kan infektera flera ställen på nätet via misstänkta webblänkar eller misstänkta skräppost:

  • Sociala medier webbplatser.
  • Webbplatser med anknytning till torrents.
  • Misstänkta webbplatser som annonserar tvivelaktiga programvara.
  • via PUP (Potentiellt oönskade program).
  • Via erhållit skräppost e-postmeddelanden reklam till synes lagliga tjänster.

Vad som också är nytt när det gäller denna variant, upptäcktes i början av december, 2016 är att Cerber Ransomware använder Tor-nätverket och Google för att sprida en farlig skript som injiceras via en korrupt svchost32.exe process falska ursprung. Detta utnyttjande av Tor-nätverk hjälper också dölja platsen för infektion och hjälper till att bevara fördelningen platsen Cerber om mer tid .

Vad gör Cerber _README_{RAND}.HTA Do?

Efter en infektion har orsakats, den första verksamheten i Cerber Ransomware är att stänga viktiga Windows processer och tjänster om de körs, till exempel bootsect, iconcache, ntuser, tummen.

Efter att ha gjort detta, denna iteration av Cerber angriper också flera databas processer i samband med Oracle, SQL och andra serverdatabaser. Avstängning av dessa processer, om aktiv, tillåter Cerber Ransomware att orsaka en massiv kryptering av hela databaser. Men detta är inte så långt Cerber går när det kommer till filkryptering. Den Ransomware virus syftar också till att kryptera ännu fler filändelser än sina föregångare. De filtyper som är förknippade med denna variant av Cerber rapporteras av forskare för att vara följande:

Cerber-fil-extensions-kryptering-sensorstechforum

Efter kryptering kan inte längre öppnas filerna. Detta beror på att deras nyckel kod har 5 block av det som är chiffrerade via RC4 metoden och RSA-512 algoritmen. Detta genererar en unik nyckel för filer som skickas till servrar för cyberbrottslingar bakom Cerber använda en sofistikerad metod för att dölja den information som skickas via post trafik. De använder port 6482 på TCP och UDP till flera IP-adresser POST informationen.

Precis som andra versioner av Cerber Ransomware, namnen på de krypterade filerna kan ändras för att helt slumpmässigt liksom tillägg efter kryptering.

Efter krypteringsprocessen är klar, Cerber sjunker också det unika _README_{RAND}.HTA hotbrev så att användaren kan se ytterligare instruktioner och en anpassad webbadress där summan av 500$ uppmanas att betalas i en tidsfrist för att få tillbaka filerna, annars summan fördubblar.

Ta Cerber _README_{RAND}_.hta Ransomware

För att till fullo ta bort denna iteration av Cerber, är det lämpligt att fortsätta med samma försiktighet som alla andra Cerber virus och ta bort den med en avancerad anti-malware program.

Hämta Borttagning VERKTYG FÖR Cerber _README_{RAND}.HTA
Den fria versionen av SpyHunter kommer bara söka igenom datorn för att upptäcka eventuella hot. För att ta bort dem permanent från datorn, köpa sin fulla version. Spy Hunter malware borttagningsverktyget ytterligare information/SpyHunter Uninstall Instruktioner

Efter avlägsnande av Cerber Ransomware uppmanar vi dig också att prova några alternativa verktyg för att försöka återställa dina filer. De kanske inte fungerar fullt ut, men du kan återställa åtminstone en del av de uppgifter:

  • Data återvinning programvara.
  • Användning av ett nätverk sniffer för att spåra kommunikations packers med syfte att förhoppningsvis få dekrypteringsnyckeln, Cerber skickar till cyberbrottslingar efter kryptering.
  • Shadow Explorer användning för att försöka få Shado kopior, trots allt.
  • Med hjälp av tredjeparts decryptors (rekommenderas inte). Om du gör detta, Vänligen gör en säkerhetskopia av de krypterade filerna eftersom de kan gå sönder på obestämd tid om manipulerats.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.