Cerber-kiristysohjelma

Muita nimiä: .cerber virus
Tyyppi: Ransomware
Leviäminen: Matala
Riskitaso: <strong>Vakava</strong>

Kuvaus Poistaminen Estäminen

Cerber-kiristysohjelman poistaminen

Mikä Cerber on?

Cerber on kiristyshaittaohjelma, joka tunkeutuu järjestelmään ja salaa eri tiedostotyyppejä, mukaan lukien .jpg, .doc, .raw ja .avi. Cerber lisää jokaiseen salattuun tiedostoon .cerber-tiedostopäätteen. Onnistuneen asentumisen jälkeen Cerber vaatii lunnasrahoja salauksen purkamiseksi. Siinä sanotaan, että maksun on tapahduttava määritetyn ajan sisään (seitsemän päivää), tai sen määrä kaksinkertaistuu.

Salauksen aikana Cerber luo jokaiseen salattuja tiedostoja sisältävään kansioon kolme eri tiedostoa (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html ja #DECRYPT MY FILES#.vbs), joissa on vaiheittaiset maksuohjeet. Tiedostojen sisältämässä viestissä sanotaan, että salauksen voi purkaa vain verkkorikollisten kehittämällä ohjelmalla (nimeltä Cerber Decryptor). #DECRYPT MY FILES#.vbs-tiedostossa on VBScript, joka toistaa suorittamisen jälkeen tietokoneen kaiuttimista viestin ”Your documents, databases and other important files have been encrypted!”. Salauksen purkuohjelman lataaminen vaatii 1,24 BitCoinin maksamista (tutkimuksen aikaan se vastasi 546,72 dollaria). Jos sitä ei makseta seitsemän päivän kuluessa, summa kaksinkertaistuu 2,48 BTC:hen. Siinä sanotaan myös, että maksun voi suorittaa Tor-selaimella ja noudattamalla annetulla sivustolla olevia ohjeita. Tutkimuksen aikoihin Cerberin salaamien tiedostojen salauksen poistoon ei ollut työkaluja. Ainoa ratkaisu on palauttaa tiedostot varmuuskopioista.

Cerber-salauksen purkuohjeet

Kuvakaappaus kiristysohjelman päivitetystä versiosta (logo ja lisäkieliä):

cerber decryptorin päivitetty sivusto

Cerber muistuttaa merkittävästi monia muita salauskiristysohjelmia, mukaan lukien Locky, CryptoWall, CTB-Locker, Crypt0L0cker ja TeslaCrypt

Ne kaikki toimivat identtisesti: salaavat tiedostoja ja vaativat lunnaita salauksen purkamiseen. Ainoa ero on lunnasrahan suuruus ja salaamiseen käytetty algoritmi. Salauksen purkamisesta ei myöskään ole mitään takeita, vaikka maksaisit lunnasvaatimukset. Maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – tuet vain rikollista toimintaa. Älä siis ikinä maksa lunnaita tai ole yhteydessä rikollisiin. Cerberin tyyppiset haittaohjelmat toimitetaan usein ohjelmien valepäivitysten, P2P-verkkojen (kuten Torrent), sähköpostin liitetiedostojen ja troijalaisten avulla. Ole näin ollen varovainen avatessasi tuntemattomista osoitteista lähetettyjä liitetiedostoja ja varmista, että valitsemasi tiedostot ladataan luotettavista lähteistä. Varmista myös, että ohjelmistot ovat aina ajan tasalla ja luotettavat vakoilun- tai viruksentorjuntaohjelmat asennettuina.

Cerber-kiristysohjelmaa levitetään roskapostin liitetiedostoina (.WSF- ja .DOC-tiedostoina):

cerber-kiristysohjelman levitykseen käytetty sähköposti

Cerber-kiristysohjelmaa levitetään sähköpostien haitallisilla liitetiedostoilla – kun käyttäjä avaa tiedoston, häntä pyydetään sallimaan haitallinen makro, minkä jälkeen kiristysohjelma aloittaa käyttäjän tietojen salaamisen:

cerber-haittaohjelmaa levittävä haitallinen makro

Kuvakaappaus kansiosta, johon Cerber-kiristysohjelma on tunkeutunut (kaikki tiedostot on nimetty uudelleen, ja niissä on .cerber-pääte):

cerberin salaama kansio

Käyttäjän tietokoneeseen tunkeutumisen jälkeen Cerber-kiristysohjelma salaa seuraavat tiedostomuodot:

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv

Kuvakaappaus #DECRYPT MY FILES#.html-tiedostosta:

cerber-ohjelman decrypt my files html

Kuvakaappaus #DECRYPT MY FILES#.txt-tiedostosta:

cerber-ohjelman # DECRYPT MY FILES #.txt -tiedosto

Cerber Decryptorin lataamisohjeet:

How to get ?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network (0.0005 BTC).
3. Send 1.24 Bitcoins to the following Bitcoin address: -
4. Control the amount transaction at he panel below.
5. Get a link and download the software.

#DECRYPT MY FILES#.txt-tiedostossa oleva teksti:

CERBER

Cannot your find the files you need? Is the content of the files that you looked for not readable? It is normal because the files’ names, as well as the data in your files have been encrypted. Great!!! You have turned to be a part of a big community #CerberRansomware.

#########################################################################

!!! If you are reading this message it means the software
!!! “Cerber Ransomware” has been removed from your computer.

#########################################################################

What is encryption? Encryption is a reversible modification of information for security reasons but providing full access to it for authorised users. To become an authorised user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an individual private key. But not only it. It is required also to have the special decryption software (in your case “Cerber Decryptor” software) for safe and complete decryption of all your files and data.

#########################################################################

Everything is clear for me but what should I do? The first step is reading these instructions to the end. Your files have been encrypted with the “Cerber Ransomware” software; the instructions (“#DECRYPT MY FILES #.html” and “# DECRYPT MY FILES #.txt”) in the folders with your encrypted files are not viruses, they will help you. After reading this text the most part of people start searching in the Internet the words the “Cerber Ransomware” where they find a lot of ideas, recommendation and instructions. It is necessary to realise that we are the ones who closed the lock on your files and we are the only ones who have this secret key to open them.

!!! Any attempts to get back you files with the third-party tools can
!!! be fatal for your encrypted files.

The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files. Finally it will be impossible to decrypt your files. When you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will ruin your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the “Cerber Ransomware” software may be fatal for your files.

#########################################################################

!!! There are several plain steps to restore your files but if you do
!!! not follow them we will not be able to help you, and we will not try
!!!since you have read this warning already.

#########################################################################

For you information the software to decrypt your files (as well as the private key provided together) are paid products. After purchase of the software package you will be able to:

1. decrypt all you files;
2. work with your documents;
3. view you photos and other media;

#########################################################################

What should you do with these addresses? If you read the instructions in TXT format (if you have instructions in HTML (the file with an icon of you Internet browser) then the easiest way is to run it): 1. take a look at the first address 2. select it with the mouse cursor holding the left mouse button and moving the cursor to the right; 3. release the left mouse button and press the right one; 4. select “Copy” in the appeared menu; 5. run you Internet browser (if you do not know what it is run the Internet Explorer); 6. move the mouse cursor to the address bar of the browser (this is the place where the site address is written); 7. click the right mouse button in the field where the site address is written; 8. select the button “Insert” in the appeared menu; 9. then you will see the address appeared there; 10. press ENTER; 11. the site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling. If for some reason the site cannot be opened check the connection to the Internet; if the site still cannot be opened take a look at the instructions on omitting the post about working with the addresses in the HTML instructions.

#########################################################################

Additional information: You will find the instructions for restoring your files in those folders where you have encrypted files only. The instructions are made in two file formats - HTML and TXT for your convenience. Unfortunately antivirus companies cannot protect or restore your files but they can make the situation worse removing the instructions how to restore your encrypted files. The instructions are not viruses; they have informative nature only, so any claims on the absence of any instruction files you can send to your antivirus company.

#########################################################################

Cerber Ransomware Project is not malicious and is not intended to harm a person and his/her information data. The project is created for the sole purpose of instruction regarding information security, as well as certification of antivirus software for their suitability for data protection. Together we make the Internet a better and safer place.

#########################################################################

If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

#########################################################################

Remember that the worst situation already happened and not it depends on your determination and speed of you actions the further life of your files.

Viesti, jossa ilmoitetaan, että uhrin tiedostot on salattu:

Varoitussanoma, jossa ilmoitetaan, että Cerber on salannut tiedostot

Viestissä oleva teksti:

CERBER DECRYPTOR
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - .

All transactions should be performed via bitcoin network only.

Within 7 days you can purchase this product at a special price 1.24 BTC (approximately $524).

After 7 days the price of this product will increase up to 2.48 BTC (approximately $1048).

Cerber-kiristysohjelman poistaminen:

Pikavalikko: Nopea tapa poistaa .cerber virus

1. vaihe

Windows XP- ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Käynnistä Windows 8 Vikasietotila ja verkkoyhteydet -tilaan – mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina F5 käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon Cerber-virus on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.


LATAA
.cerber virus poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen cd restore ja paina enteriä.

järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Cerber ei ollut vielä asentunut tietokoneeseen).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Cerber-tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Cerberin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

Cerberin salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi Cerberin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.

shadow explorer -kuvakaappaus

Suojaa tietokoneesi salausmenetelmiä käyttäviltä ransomwareilta käyttämällä hyvämaineisia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana käyttäjät voivat ladata HitmanPro.Alert- ja EasySync CryptoMonitor -nimiset ohjelmat, jotka lisäävät rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Cerberin ja vastaavien haittaohjelmien toiminnan estämiseksi.

HitmanPro.Alert CryptoGuard tunnistaa tiedostojen salausyritykset ja estää ne ilman, että käyttäjän tarvitsee tehdä mitään:

hitmanproalert-sovellus estää kiristysohjelmat

EasySync CryptoMonitor pysäyttää salaustartunnan ja estää sen suorittamisen uudelleen:

cryptomonitor-sovellus estää kiristysohjelmat

Muita työkaluja, jotka kykenevät poistamaan Cerber-kiristyshaittaohjelman:

Haittaohjelmien poistoon tarkoitetut oppaamme ovat ilmaisia, mutta voit halutessasi tukea toimintaamme tekemällä lahjoituksen.