Cerber 4.1.1 Cryptage de fichiers Supprimer le Virus et restaurer les Fichiers (Cerber mise à jour v4.1.0)

cerber-4-1-1-ransomware-restore-files-sensorstechforum-com

Une autre mise à jour est apparue en ligne sur ce qui semble être l’un des plus grands virus ransomware – le virus Cerber. Ayant un système puissant pour redistribuer ses fichiers malveillants, le logiciel malveillant est devenu très sophistiqué et ses mises à jour agissent non seulement sur la surface. Elles semblent également inclure la modification lourde des entrées de registre de Windows liées aux dossiers chiffrés. Lorsque Cerber est un virus ransomware qui vise à diffuser très rapidement, les utilisateurs sont invités à ne pas ouvrir les e-mails qui ont des archives avec des fichiers .hta ou .wsf parce que ce sont les méthodes que le virus utilise pour infecter les ordinateurs. Quiconque a déjà été infecté par la version mise à jour de Cerber – 4.1.1 devrait immédiatement se concentrer sur l’élimination de ransomware de son ordinateur et en apprendre de plus sur la menace et comment restaurer ses fichiers en lisant les informations dans cet article.

Résumé du Virus

Nom Cerber 4.1.1
Type Ransomware Virus
Brève description Cette variante de ransomware Cerber crypte les fichiers avec les chiffres RSA ou AES ajoutant quatre caractères A-Z 0-9 générés aléatoirement (ex. .z33f) comme une extension de fichier aux fichiers cryptés et demande un paiement de rançon pour le décryptage.
Symptômes Les fichiers sont chiffrés et deviennent inaccessibles par tout type de logiciel. Une note de rançon avec des instructions pour le paiement s’affiche comme un fichier “README.hta”.
Méthode de distribution Les e-mails de spam, Pièces jointes de courrier électronique, Réseaux de partage de fichiers, Malveillants Executables dans Torrent Trackers.
Outil de
détection
Voir si votre système a été affecté par Cerber 4.1.1

Télécharger

L’instrument d’élimination

Outil de récupération de données Windows Data Recovery by Stellar Phoenix Avis! Ce produit scanne les secteurs des disques durs pour récupérer des fichiers perdus. Il est possible qu’il ne puisse pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d’entre eux, en fonction de la situation et si vous avez reformaté le disque.

Cerber 4.1.1 Analyse des processus infectieux

Pour mieux expliquer comment fonctionne le processus d’infection par cette variante de Cerber, nous vous emmènerons méthodologiquement, sur la base d’un scénario moyen d’infection par la version 4.1.1 de cette méchante menace de ransomware.

Distribution de Cerber 4.1.0

Similaire à la version 4.1.0 et toutes les variantes v4 de Cerber, le ransomware est répandu à nouveau via des fichiers .hta(HTML) ou .wsf(JavaScript) qui sont des types malveillants de fichiers contenus dans une archive téléversé dans un courriel d’hameçonnage. L’autre méthode la plus probable et rapportée sur la façon dont Cerber peut se propager, est par l’intermédiaire d’URL fausses, par exemple la page Web fausse de PayPal affichée ci-dessous qui peut conduire à un lien Web malveillant contenant un lecteur-par-téléchargement de Cerber:

paypal

Un autre scénario, similaire à la dernière itération de Locky est si un utilisateur ouvre une pièce jointe malveillante provenant d’un courrier indésirable tel que l’image affichée ci-dessous:

spam-e-mail-carrying-cerber-sensorstechforum-1-768x206

Ces messages de spam massifs sont censés être envoyés via les mêmes distributeurs qui sont derrière la même équipe de piratage qui a distribué le logiciel malveillant massif Dridex. Une fois que vous avez ouvert le fichier archivé, vous pouvez trouver un autre fichier qui contient absolument le même nom du logiciel malveillant et peut être le type de fichier .hta ou .wsf, mais les fichiers .js et .html peuvent également être repérés. Voici comment un fichier malveillant peut ressembler à l’ouverture de l’archive:

receipt-document-malware-cerber-infection-sensorstechforum-768x172

Dès que l’utilisateur inexpérimenté ouvre le fichier malveillant, il peut se connecter immédiatement aux nombreux hôtes distants qui sont liés à Ransomware Cerber et télécharger le payload malveillant sur l’ordinateur de la victime, qui se compose des types suivants de fichiers détectés par Malware Traffic Analysis:

Cerber-decryption-instructions-README.hta (63,083 bytes)
Cerber-decryption-instructions.bmp (1,920,054 bytes)
page-from-joellipman.com-with-injected-script.txt (68,401 bytes)
pseudoDarkleech-RIGv-flash-exploit.swf (51,789 bytes)
pseudoDarkleech-RIGv-landing-page.txt (5,119 bytes)
pseudoDarkleech-RIGv-payload-Cerber.exe (347,878 bytes)

Ce qui semble être RIG exploit kit peut être utilisé pour provoquer une infection réussie par le ransomware Cerber. Les chercheurs des logiciels malveillants rapportent le processus d’infection suivant:

2016-10-26-pseudodarkleech-rigv-image-01
Source: malware-traffic-analysis.net

Étape 2: Activités post-infection
Après l’infection, le ransomware Cerber v4.1.1 utilise une tactique très spécifique pour attaquer l’utilisateur insouciant. Le ransomware modifie une chaîne de valeur de Registre à l’emplacement suivant, nommé MachineGuid avec des symboles aléatoires parmi lesquels est l’extension 4 A-Z, 0-9 générée au hasard et utilisée pour chiffrer des fichiers. La chaîne de Registre se trouve dans la sous-clé suivante:
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography
Après cela, Cerber 4.1.1. peut créer des fichiers auxiliaires supplémentaires, connus comme modules dans l’emplacement Windows suivant:

%UserProfile%\Documents\tools

Mais ce n’est pas le seul endroit où les modules peuvent être localisés. Le virus peut créer des modules dans les dossiers cruciaux de Windows aussi bien, comme:

  • %AppData%
  • %Common%
  • %Temp%
  • %Local%
  • %Roaming%
  • %System32%
  • %Startup%

Les exécutables malveillants peuvent contenir des noms très particuliers, tels que la date de leur création, des noms complètement aléatoires ou les noms rapportés suivants par toutes les versions v4 de Cerber.
En plus des changements effectués par Cerber 4.1.1, un autre changement se produit dans le fond d’écran que le virus fait aussi, qui contient sa version (4.1.1):

cerber-4-1-1-sensorstechforum-ransomware-ransom-note-malware

Le fond d’écran contient des URL vers les hôtes du réseau Onion qui mène aux pages de paiement. Nous avons ouvert une URL particulière qui nous a conduit à la page Web suivante contenant la vérification Captcha qui est nouvelle pour Cerber:

cerber-captcha-sensorstechforum-768x479

Après avoir ouvert une session sur la page Web, nous avons vu que le virus exige le paiement de 0.1196 BTC (environ 85 dollars) et très probablement le prix doublera si la date limite de 5 jours ne soit pas respectée:

cerber-payment-page-sensorstechforum-768x423

Le ransomware Cerber 4.1.1 a également des instructions très spécifiques qui pointent vers des pages Web réputées sur la façon de convertir de l’argent en BitCoin peu importe où vous êtes dans le monde:

“ Comment avoir «Cerber Decryptor»?
1. Créer un portefeuille Bitcoin (nous recommandons Blockchain.info)
2. Achetez la quantité nécessaire de Bitcoins
N’oubliez pas la commission de transaction dans le réseau Bitcoin (≈ 0.0005).
Voici nos recommandations:
btcdirect.eu – Un bon service pour l’Europe
bittylicious.com – Obtenez BTC par virement bancaire Visa / MC ou SEPA (UE)
localbitcoins.com – Ce service vous permet de rechercher des personnes qui veulent vendre des Bitcoins (WU, Cash, SEPA, Paypal, etc).
cex.io – Acheter Bitcoins avec Visa / Mastercard ou virement bancaire.
coincafe.com – recommandé pour le service rapide et facile. Méthodes de paiement: Western Union, Bank of America, en espèces par FedEx, Moneygram, et/ou par virement bancaire
bitstamp.net –concessionnaire ancien et éprouvé Bitcoin
coinmama.com – Visa/Mastercard
btc-e.com – concessionnaire Bitcoins (Visa/Mastercard, etc.)
Impossible de trouver Bitcoins dans votre région? Essayez de chercher ici:
buybitcoinworldwide.com Catalogue international des échanges Bitcoins
bitcoin-net.com – Un autre catalogue de vendeurs de Bitcoins
howtobuybitcoins.info – Catalogue international des échanges Bitcoins
bittybot.co/eu – Un catalogue pour l’Union européenne
3. Envoyez 0.1196 à l’adresse Bitcoin suivante:
13cM6XQZpL8xnCgqSyGDLcSn17oatA1hqM”

Cerber 4.1.1 a même la capacité de décrypter un fichier gratuitement. Ce qui est également nouveau sur le ransomware Cerber est le système de messagerie directe que le virus offre aux victimes en cas de problème:

cerber-messaging-service-sensorstechforum

Similaire à d’autres itérations v4 Cerber, 4.1.1 modifie également les noms des fichiers cryptés et ajoute 4 symboles aléatoires comme extension de fichier pour les rendre non reconnaissables. Les fichiers cryptés apparaissent comme suit:

cerber-ransomware-file-encrypted-sensorsrtechforum

Cerber 4.1.1 – Conclusion, Décryptage et Suppression de fichiers

Étant donné que ce type de ransomware Cerber 4.1.1 est aussi avancé que les autres variantes v4, de nombreux chercheurs se sentent convaincus qu’il obtiendra encore plus de mises à jour très bientôt, a cause de l’attention énorme que le ransomware Cerber reçois par les chercheurs de cyber-sécurité ces derniers temps. Depuis que la première version de Cerber a été décryptée avec succès, les cybercriminels ont non seulement créé un virus qui est très difficile à déchiffrer, mais ils ont également utilisé des méthodes de distribution très puissantes. Les experts en sécurité conseillent vivement chaque utilisateur qui a été infecté par cette version de Cerber de le supprimer immédiatement de son ordinateur, instructions pour lequel sont fournies ci-dessous.

Pour une efficacité maximale lors de la suppression de ransomware Cerber 4.1.1, nous vous conseillons vivement de vous concentrer sur une approche plus automatique, en utilisant un programme avancé contre logiciels malveillants, qui garantira que toutes les entrées de registre et autres fichiers malveillants appartenant à Cerber 4.1 .1 soient définitivement disparus. Cela permettra également de protéger votre ordinateur contre d’autres infections par Cerber 4.1.1 ou d’autres logiciels malveillants à l’avenir.

Si vous cherchez une méthode pour décrypter vos fichiers, la meilleure suggestion que nous pourrions vous donner est d’attendre, puisque ce logiciel malveillant n’a pas encore été craqué par des experts en recherche des logiciels malveillants. Il peut ne jamais être craqué, mais il peut également décodé avec succès en utilisant ingénierie inversée dans un proche avenir, car tant qu’il ya code, il ya aussi des bugs. Après que les fichiers de virus soient craqués, les chercheurs de logiciels malveillants devraient être en mesure de développer un décrypteur et vous aider à déchiffrer avec succès les fichiers.

C’est pourquoi nous avons fourni les méthodes qui devraient vous aider à restaurer vos fichiers en fournissant l’occasion indiqué à l’étape “2. Restaurez les fichiers déchiffrés par Cerber 4.1.1”. Ils incluent des liens Web vers deux des principaux développeurs de décrypteurs – Kaspersky et Emsisoft, que nous vous conseillons de suivre régulièrement. Nous allons également actualiser notre blog avec l’article sur les instructions de déchiffrement dès que celles-ci sont développées pour cette itération de Cerber donc nous vous conseillons de suivre cette page aussi.

Supprimez manuellement Cerber 4.1.1 de votre ordinateur

Remarque! Avis important concernant la menace du Cerber 4.1.1: l’élimination manuelle des nécessite des perturbations dans fichiers et registre du système. Donc, il pourrait provoquer des dommages à votre PC. Ne vous inquiétez pas, même si vos compétences en informatique ne sont pas sur le plan professionnel, vous pouvez effectuer l’élimination vous-même en 5 minutes à l’aide de l’instrument d’élimination de software malveillant.

1. Chargez votre ordinateur en Mode sans échec dans le but d’isoler et d’éliminer les objets et les fichiers associés au Ransomware Cerber 4.1.1
2.Trouvez les fichiers malveillants créés par Cerber 4.1.1 sur votre ordinateur

Supprimer automatiquement Cerber 4.1.1 en téléchargeant un programme anti-malware sophistiqué.

1. Installer SpyHunter, afin d’analyser et d’éliminer Cerber 4.1.1.
2. Faites une sauvegarde de vos données pour les protéger contre les infections futures d'Cerber 4.1.1
3. Restauration de fichiers chiffrés par le Cerber 4.1.1
Optionnel: Utilisation des outils alternatifs anti-malware

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.