Как удалить вирус-вымогатель Cerber

Что такое вирус Cerber?

Cerber – это противный вирус, зашифровывающий и блокирующий файлы пользователей мощным шифрующим алгоритмом. Он может обновляться несколько раз и добавлять в расширения файлов.cerber, .cerber2, .cerber3, .af47, .a48f,. [случайные символы]. Как только он заканчивает это дело, отправляет сообщение о выкупе, где просит жертву заплатить выкуп, чтобы он смог вернуть свои файлы.

 # DECRYPT MY FILES #.txt, # DECRYPT MY FILES #.html, # HELP DECRYPT#.html, _READ_THIS_FILE.hta, *HELP_HELP_HELP[random characters]*.hta, _R_E_A_D___T_H_I_S___[random]_.txt or _R_E_A_D___T_H_I_S___[random]_.hta. В последнее время вирус вытерпел изменения в названиях для сообщений о выкупе.

Интересный факт о данном вирусе – он не атакует вас, если вы живете в одном из этих стран: Азербайджан, Армения, Грузия, Беларусь, Кыргызстан, Казахстан, Молдова, Туркменистан, Таджикистан, Россия, Узбекистан, Украина. Исследователи заметили массовую кампанию благодаря этому вирусу, которая собиралась атаковать пользователей в Южной Корее. Если ваша страна не входит в выше упомянутый список стран, вирус также может поразить и ваш компьютер.

Как работает вирус Cerber?

1. При следующем запуске компьютера он будет запускаться автоматически.
2. Как только компьютер активизируется, вирус начинает отправлять случайные сообщения об ошибках, а затем перезагружает ваш компьютер в безопасном режиме с помощью сети.
3. К сожалению, вирус снова перезагружает ваш компьютер, на этот раз в обычном режиме и запускает процесс шифрования.
4. Последняя его версия получила огромное обновление - теперь она использует красный цвет для сообщения о выкупе, которое используется для предупреждения жертвы о зашифрованных данных.
5. После того, как шифрование завершено, Cerber откладывает сообщения выкупа в каждой папке, в которой хранятся зараженные файлы. Эти заметки называются DECRYPT MY FILES. Расширение файла может отличаться, это может быть файл .html, .txt или .vbs. Файл .vbs также будет воспроизводить звуковое сообщение, в котором говорится:

В сообщении о выкупе объясняется, что произошло с вашим компьютером, и содержит инструкции по извлечению файлов. В скором времени разработчики вирусов попросят загрузить браузер Tor для доступа к веб-сайту, на котором вы можете заплатить выкуп анонимно. Они требуют, чтобы жертва заплатила 1,25 BitCoins, что составляет приблизительно 512 долларов США. Они также угрожают, что выкуп будет удвоен, если жертва не заплатит в течение семи дней. Если выкуп будет выплачен, это вирусная программа должна, предположительно, предоставить уникальную ссылку для загрузки, чтобы получить инструмент дешифрования Cerber. В противном случае нет возможности бесплатно расшифровывать файлы. Как и любой другой вирус с шифрованием файлов, пользователь может столкнуться с ним с помощью вредоносных спам-писем, которые несут обманчивые файлы .ZIP, .DOCM, .PDF или .JS.

История вируса Cerber

Эта программа впервые появилась в марте 2016 года на российских подпольных форумах, на которых было предложено арендовать ее партнерской программе. С тех пор она широко распространяется с помощью наборов эксплойтов, заражая пользователей во всем мире, в основном ориентированных на APAC (Азиатско-Тихоокеанский регион). На данный момент существует шесть основных версий.

Последние обновления с июля 2017 года: эксперты по безопасности сообщают, что Cerber продолжает расширяться и ищет новые методы монетизации. Недавно произошла крупная атака в Южной Корее. Многие азиатские страны также постарадали от данного вируса. Исследователи обнаружили, что киберпреступники распространяют вредоносное ПО в этом регионе в течение нескольких месяцев с помощью набора эксплойтов Magnitude.

Другой метод распространения этого вируса - с помощью вредоносной программы. Когда пользователь посещает вредоносный веб-сайт, вредоносное ПО проверяет несколько сведений о пользователях, чтобы решить - запустить атаку или нет. Этот вход называются «Magnigate», который выдает IP-адрес пользователя, ISP и информацию об операционной системе и веб-браузере. Чтобы увеличить свой доход, разработчик Cerber создал новый вариант, который способен украсть данные Биткойн-кошелька. После проникновения он крадет пароли, хранящиеся в браузерах Internet Explorer, Google Chrome и Mozilla Firefox.

Исследователи обнародовали, что этот специальный вирус изменяет правила брандмауэра Windows и предотвращает связь с установленным антивирусом в мире, что делает невозможным установку антивирусных обновлений или отправку отчетов разработчику. По словам исследователей, адрес Биткойн-кошелька используется версией самого неизвестного выкупа, остается тем же.

Скорее всего, невозможно расшифровать заблокированные Cerber файлы без выплаты выкупа. Но все же, не рекомендуется его оплачивать, потому что:

1. Оплата только вдохновляет кибер-криминалов продолжать свою мошенническую деятельность и разрабатывать больше вирусов;
2. Кроме того, имейте в виду, что нет никакой гарантии, что киберпреступники действительно помогут вам восстановить ваши файлы;
3. Возможно, вы не получите дешифратор вообще, даже если вы заплатите.
4. Кроме того, этот инструмент для расшифровки может быть поврежден и может привести к другим вредоносным программам на вашем компьютере и таким образом повредить его еще больше.

Хронология обновлений Cerber:

Cerber Decryptor:

Этот инструмент в основном предлагается авторами Cerber, которые рекламируют его как программу, которая якобы может восстановить зашифрованные данные для жертвы.

Cerber 2:

Он был распространен через загрузки, вредоносную рекламу и электронные письма. Этот вирус блокирует данные с использованием почти нерушимого алгоритма шифрования и добавляет к ним расширение .cerber2.

Cerber 3:

Были внесены изменения в сообщение о выкупе. Раньше он требовал выкупа в # DECRYPT MY FILES # .txt или файле # DECRYPT MY FILES # .html, теперь инструкции по восстановлению представлены в # HELP DECRYPT # .html.

Cerber v4.0

Он улучшил свой алгоритм шифрования и теперь отображает расширения, состоящие из беспорядка разных чисел.

Cerber 1.4.0

Предыдущая версия расширений вируса  .cerber2 и .cerber3 были товарными знаками версий, теперь вирус оставляет 4-значное расширение или вообще не добавляет расширения.

Cerber 4.1.1

Версия поставляется в пакете «бонус» вместе с версией 4.1.0. Вероятно, он распространяется через тот же набор эксплойтов, что и версия 4.1.0. Исследователи вирусов заметили, что Cerber теперь изменил свой IP-адрес, поэтому отслеживание источника заражения становится более сложным.

Cerber 4.1.4

Вирус появился сразу после появления версии 4.1.1, и они очень похожи. Cerber 4.1.1 и Cerber 4.1.4 шифруют файлы, используя те же методы, повреждая исходное имя файла и добавляя индивидуальное четырехсимвольное расширение вместо исходного.

Cerber 4.1.5

Вирус появился в начале ноября 2016 года и успешно заразил сотни компьютеров. Эта версия копирует методы, используемые в прошлом, и вряд ли отличается от предыдущих версий. Зашифрованные файлы становятся неузнаваемыми, потому что вирус меняет имена своих файлов.

Удаление вируса с вашего компьютера не поможет устранить шифр из файлов. Попытка восстановить ваши файлы с помощью предложенного хакером инструмента Cyber decryptor также небезопасна. Лучшее решение - обратиться к некоторым более надежным способам восстановления ваших данных. Самый быстрый и безопасный способ добиться этого - перенести данные с резервного устройства. Мы настоятельно рекомендуем вам НЕ хранить копии ваших данных в любом облаке онлайн-хранилища, потому что некоторые вирусы могут получить к ним доступ через интернет-соединение и повредить их. Лучше хранить файлы на каком-то внешнем диске и регулярно обновлять их.

Cerber 4.1.6

Вирусная программа появилась в конце ноября 2016 года, не более, чем через месяц после появления 5-го выпуска четвертой версии вымогателя. Эта измененная версия вируса не имеет выдающихся улучшений и функций, как и в предыдущих версиях. Вирус объединяет алгоритмы шифрования RSA и RC4 для создания неразборчивого шифрования, который делает личные файлы, документы, базы данных и другие важные файлы бесполезными.

Цена выкупа составляет 501 $, а мошенники приказывают жертве передать эту сумму через систему Биткойн в течение пяти дней; в противном случае они увеличивают цену выкупа.

Cerber 5.0.1

Эта версия Ransomware была быстро запущена для резервного копирования предыдущих инфекций. Он поддерживает шифрование файлов с помощью алгоритмов RSA-2048 и AES-256. Именно поэтому пользователи, захваченные Cerber, должны выполнять требования хакеров по извлечению файлов. Эта версия распространяется как фальшивое электронное предупреждение с огромными суммами.

Red Cerber

Ключевыми изменениями являются введение требований в файле * help_help_help [случайные символы] * .hta. Ключевой удивительной особенностью вредоносного ПО является процесс выполнения. Также есть сообщения, что Cerber был замечен в Dark Web как RaaS (ransomware-as-a-service).

Cerber 6

Последняя 6-я версия представляет улучшенные функции anti-sandboxing и anti-VM. Он также использует SFX-файлы, то есть самораспаковывающиеся файлы. Помимо маскировки спам-писем, он также использует наборы для эксплойтов, трояны и ошибки в общеизвестных программных утилитах для множественного повреждения в виртуальном сообществе.

Источники распространения Cerber

Наиболее легкий метод распространения этого вируса - через электронные спам-сообщения, поэтому будьте осторожны, не открывайте подозрительные письма от неизвестных отправителей. Необходимо проявлять максимальную осторожность при открытии каких-либо вложений из неизвестных источников, которые могут сопровождаться подозрительными сообщениями электронной почты. Часто кибермошенник будут представляться в этих письма в качестве представителей правительственных или правоохранительных органов, поэтому всегда при получении рекомендуется проверять законность таких писем.

Троянские программы также используются вирусом Cerber для входа в ваш компьютер. В связи с этим рекомендуется избегать ненадежных загрузочных сайтов, поскольку вы можете загрузить зараженный файл, к которому прикреплен этот вредоносный носитель. Новейший путь распространения вируса нацелен на уязвимости в законном программном обеспечении, который выталкивает вредоносную программу в компьютеры.

Предостережения против Cerber

Самый эффективный способ защитить ваш компьютер от заражения этим вымогательством - это постоянно обновлять антивирусное программное обеспечение. Держитесь подальше от подозрительных писем и сообщений электронной почты! Если во время проникновения вируса внешний накопитель подключен к компьютеру, файлы в хранилище, скорее всего, будут зашифрованы. Таким образом, убедитесь, что при резервном копировании некоторых файлов вы каждый раз отключаете внешнее запоминающее устройство от компьютера.

Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами: