Cerber 4.1.1 File Encryption Virus Verwijderen en Herstellen van Bestanden (Updated Cerber v4.1.0)

cerber-4-1-1-ransomware-restore-files-sensorstechforum-com
Een nieuwe update van vermoedelijk een van de grootste ransomware virussen is er online opgetreden – het Cerber virus. Met zijn sterk stelsel om zijn kwaadaardige bestanden te distribueren is deze malware zeer geraffineerd geworden, en zijn updates verschijnen niet maar alleen op het oppervlak. Het blijkt ook dat zij modificaties van de Windows Registry entries hebben die verbonden zijn met de geëncrypteerde bestanden. Omdat Cerber een ransomware virus is dat zich richt om zich erg snel te verspreiden, worden gebruikers geadviseerd geen e-mails te openen die archieven en .hta of .wsf bestanden inhouden – dit zijn de methoden welke het virus gebruikt om computers te infecteren. Als iemand door de upgedatede versie van Cerber – 4.1.1 wordt geïnfecteerd, moet hij straks de ransomware van de computer verwijderen en meer over de dreiging leren en hoe de bestanden hersteld kunnen worden. Dus leest de informatie in dit artikel.

Overzicht bedreiging

Naam

Cerber 4.1.1

Type Ransomware Virus
Korte omschrijving Deze Cerber ransomware variant versleutelt bestanden met de RSA of AES cijfers door het toevoegen van vier willekeurig gegenereerde A-Z 0-9 tekens (bij voorbeeld. .z33f) als bestandsextensie aan het einde van de geëncrypteerde bestanden en vraagt naar losgeld voor de decryptie.
Symptomen Bestanden worden gecodeerd en kunnen niet meer worden geopend of op elke mogelijke manier benaderd. Een ransom nota met aanwijzingen voor de betaling verschijnt als een “README.hta” bestand.
Verspreidingswijze Spam Emails, Mailbijlagen, File Sharing Networks, Malicious Executable in Torrent Trackers.
Opsporingstool Controleert of uw systeem door Cerber 4.1.1 is aangetast

Downloaden

Malware Remover

Cerber 4.1.1 Analyse van het infectieproces

Om het infectieproces van deze variant van Cerber beter uitteleggen, leiden wij u methodologisch door dit proces, gebaseerd op een gemiddeld scenario van de infectie door de 4.1.1 versie van deze smerige ransomware-dreiging.

Verspreiding van Cerber 4.1.0

Gelijk aan de 4.1.0 versie en iedere v4 variant van Cerber verspreidt zich de ransomware door bestanden die zijn kwaadaardige .hta(HTML) al dan .wsf(JavaScript) types van bestanden in archieven welke in een phishing e-mail worden upgeloaded. De andere, meest waarschijnlijke methode van Cerber verspreiding, is door valse URLs, bij voorbeeld, de hieronder weergegeven valse PayPal web page die tot een kwaadaardige web link leiden kan. Deze link kan een drive-by-download van Cerber inhouden:

paypal

Een ander scenario is, gelijk aan Locky’s latest iteration, als de gebruiker een kwaadaardige mailbijlage opent (spam), zoals de afbeelding hieronder weergeeft:

spam-e-mail-carrying-cerber-sensorstechforum-1-768x206

Deze massieve spam e-mails worden, als men gelooft, van dezelfde verdelers uitgezonden die ook achter het hackersteam stonden dat de massieve Dridex verbreidde. Als u het gearchiveerde bestand opent, vindt u daarin een ander bestand dat absoluut dezelfde naam van de malware heeft, en het kan .hta al dan .wsf bestandtype zijn. Niettemin, .js en .html bestanden kunnen ook gevonden worden. Zo kan er een kwaadaardig bestand uitzien als u een archief opent:

receipt-document-malware-cerber-infection-sensorstechforum-768x172

Zodra een onervaren gebruiker het kwaadaardige bestand opent, kan het zich onmiddellijk met veel remote hosts verbinden die gerelateerd zijn aan Cerber ransomware en het kwaadaardige payload op de computer van het slachtoffer downloaden. Het bestaat van de volgende bestandstypes, welke vastgesteld werden door Malware Traffic Analysis:

Cerber-decryption-instructions-README.hta (63,083 bytes)
Cerber-decryption-instructions.bmp (1,920,054 bytes)
page-from-joellipman.com-with-injected-script.txt (68,401 bytes)
pseudoDarkleech-RIGv-flash-exploit.swf (51,789 bytes)
pseudoDarkleech-RIGv-landing-page.txt (5,119 bytes)
pseudoDarkleech-RIGv-payload-Cerber.exe (347,878 bytes)

Wat een RIG exploit kit te zijn lijkt, kan gebruikt worden om een geslaagde infectie door Cerber ransomware te veroorzaken. Malware onderzoekers melden het volgende infectieproces:

2016-10-26-pseudodarkleech-rigv-image-01
Bron: malware-traffic-analysis.net

Fase 2: Activiteiten na de infectie

Na de infectie gebruikt Cerber v4.1.1 ransomware een erg specifieke tactiek om de niets vermoedende gebruiker aan te vallen. De ransomware modificeert een registry value string op de volgende locatie met de naam MachineGuid met random tekens, waaronder 4 A-Z, 0-9 bestandextensie, die willekeurig wordt gegenereerd en gebruikt om bestanden te versleutelen. De registry string bevindt zich in de volgende sub-key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography

Nadat dit gedaan is, kan Cerber 4.1.1. aanvullende hulpbestanden creëren, die bekend zijn als modules, op de volgende Windows locatie:
%UserProfile%\Documents\tools
Dit is maar niet de enige locatie waar zich de modules kunnen bevinden. Het virus kan modules in de kritieke Windows folders creëren, zoals:

  • %AppData%
  • %Common%
  • %Temp%
  • %Local%
  • %Roaming%
  • %System32%
  • %Startup%

De kwaadaardige uitvoeringen kunnen erg bijzondere namen inhouden, zoals de datum wanneer zij gecreëerd werden, volkomen willekeurige namen of de volgende vermeldde namen van alle v4 versies van Cerber.

Naast de veranderingen die de Cerber 4.1.1 ransomware aanbrengt, is ook de wijziging van de achtergrond, die ook het versienummer (4.1.1) van het virus aangeeft:

cerber-4-1-1-sensorstechforum-ransomware-ransom-note-malware

De achtergrond bevat de URLs tot Onion network hosts, die ook tot de betaling pages leiden. Wij hebben een bestemde URL geopend die ons tot de volgende web-page leidde met Captcha verificatie. Dat is iets nieuws voor Cerber:

cerber-captcha-sensorstechforum-768x479

Nadat wij ons op de webpage ingelogd hebben, hebben wij gezien dat het virus een betaling van 0.1196 BTC (ongeveer 85 dollars) vereist en dat het bedrag verdubbelen zou als er aan de termijn van 5 dagen niet wordt voldaan:

cerber-payment-page-sensorstechforum-768x423

De Cerber 4.1.1 ransomware geeft ook erg specifieke aanwijzingen aan om hoe het geld op achtenswaardige webpages tot BitCoin te converteren, onafhankelijk daarvan waar u zich in de wereld bevindt:

“Hoe kunt u een «Cerber Decryptor» krijgen?
1. Creëert een Bitcoin Wallet (wij bevelen Blockchain.info aan)
2. Koopt het nodige bedrag van Bitcoins
Vergeet maar niet de transactieprovisie in het Bitcoin network (≈ 0.0005).
Hieronder zijn onze aanbevelingen:
btcdirect.eu – Een goede service voor Europa
bittylicious.com – Get BTC via Visa / MC of SEPA (EU) bank transfer
localbitcoins.com – Door deze service kunt u naar mensen zoeken die Bitcoins rechtstreeks verkopen willen (WU, Cash, SEPA, Paypal, etc).
cex.io – Buy Bitcoins met Visa / Mastercard of Wire Transfer.
coincafe.com – Voor een snelle en gemakkelijke service. Betalingmethodes: Western Union, Bank of America, cash through FedEx, Moneygram, en/of wire transfer
bitstamp.net – Een oude en bewezen Bitcoin dealer
coinmama.com – Visa/Mastercard
btc-e.com – Bitcoins dealer (Visa/Mastercard, etc.)
Kunt u geen Bitcoins in uw streek vinden? Dan kunt u hier zoeken:
buybitcoinworldwide.com Internationaal catalog van Bitcoins wisselkantoren
bitcoin-net.com – Een ander catalog van Bitcoins verkopers
howtobuybitcoins.info – International catalog van Bitcoins wisselkantoren
bittybot.co/eu – Catalog voor de Europese Unie
3. Zendt 0.1196 aan het volgende Bitcoin adres:
13cM6XQZpL8xnCgqSyGDLcSn17oatA1hqM”

Cerber 4.1.1 kan zelfs een bestand gratis decoderen. Een ander nieuw kenmerk van Cerber ransomware is het directe messaging systeem dat het virus aan de slachtoffers biedt in het geval van een probleem:

cerber-messaging-service-sensorstechforum

Vergelijkbaar met andere v4 Cerber iteraties, verandert 4.1.1 ook de namen van de versleutelde bestanden en voegt 4 random tekens als bestandsextensie toe om hen onherkenbaar te maken. Versleutelde bestanden zien er zo uit:

cerber-ransomware-file-encrypted-sensorsrtechforum

Cerber 4.1.1 – Conclusie, decoderen van bestanden en verwijderen

Omdat dit type van Cerber 4.1.1 ransomware een gevorderde versie is zoals de andere v4 varianten, zijn er veel onderzoekers daarvan overtuigd dat er spoedig nog meer updates van dit virus verschijnen wegens de enorme attentie die Cerber ransomware van cyber-security onderzoekers krijgt. Aangezien de eerste Cerber versie geslaagd gedecodeerd was, hebben de cyber-criminals een virus gecreëerd dat erg moeilijk kan worden ontcijferd en ook erg sterke distributiemethodes gebruikt. Veiligheidsexperts bevelen alle gebruikers aan die door deze Cerber virusversie werden geïnfecteerd om het virus onmiddellijk van hun computers te verwijderen. Instructies daarvoor vindt u hieronder.

Voor de maximale effectiviteit bij het verwijderen van de Cerber 4.1.1 ransomware bevelen wij u aan, om een automatische werkwijze te kiezen. Gebruikt een gevorderd anti-malware programma dat ook alle registry entries en andere kwaadaardige bestanden van Cerber 4.1.1 verwijderen kan. Op deze manier zult u ook uw computer tegen verdere aanvallen door Cerber 4.1.1 of andere malware beschermen.

Als u naar een methode zoekt om uw bestanden te decrypteren, kunnen wij u aanbevelen om te wachten, want deze malware nog niet gecracked is door experts. Het virus kan ook nooit worden gecracked of toch geslaagd reverse engineered worden in de nabije toekomst – zolang er een code is, zijn er ook bugs. Nadat de virusbestanden gecracked worden, ontwikkelen malware onderzoekers ook een decryptor en helpen u de bestanden geslaagd te decoderen.

Om deze redenen hebben wij methoden verstrekt die u helpen om uw bestanden te herstellen – deze mogelijkheid is in fase “2. Bestanden herstellen die door Cerber 4.1.1 versleuteld zijn” beschreven. Zij bevatten web links tot twee van de grootste decryptor ontwikkelaars – Kaspersky en Emsisof. We adviseren u deze links regelmatig te volgen. Wij gaan ook ons blog met artikels over decryptieaanwijzingen updaten zodra er welke voor deze iteratie van Cerber ontwikkeld worden. Dus, wij adviseren u ook deze pagina te volgen.

Hoe Cerber 4.1.1 van je computer verwijderen? (handmatig)

Aandacht! Belangrijke mededeling m.b.t. Cerber 4.1.1: de handmatige verwijdering van Cerber 4.1.1 vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.

1. Computer in veilige modus opstarten om Cerber 4.1.1 te isoleren en te verwijderen.

Computer in veilige modus opstarten.

1. Voor Windows 7, XP en Vista. 2. Voor Windows 8, 8.1 en 10.

Voor besturingssystemen Windows XP, Vista en 7:

1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:

voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.

donload_now_140

Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).

donload_now_140

3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.

4. Log in als administrator.

donload_now_140

Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.

Stap 1: Open het Start Menu.

donload_now_140

Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.

donload_now_140

Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.

donload_now_140

Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.

donload_now_140

Stap 6: Klik op “Restart”.
donload_now_140

Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.

2. Reparatie registry entries aangemaakt door Cerber 4.1.1 op uw pc.
Sommige kwaadaardige scripts kan de registry entries van uw computer aan te passen aan verschillende instellingen te wijzigen. Dit is de reden waarom handmatig opruimen van uw Windows-register Database sterk aanbevolen. Omdat de tutorial over hoe dit te doen is een beetje lenghty, raden we na onze leerzaam artikel over de vaststelling van het register.

Automatisch verwijderen Cerber 4.1.1 door het downloaden van een geavanceerde anti-malware programma.

1. Cerber 4.1.1 met Anti-Malware SpyHunter verwijderen

1. Cerber 4.1.1 wet Anti-Malware SpyHunter verwijderen

1. Om Cerber 4.1.1 te verwijderen moet je eerst SpyHunter installeren.Scan je computer met SpyHunter om de Cerber 4.1.1 te verwijderen.
Stap 1:Klik op “Download” en je wordt doorgeleid naar de downloadpagina van SpyHunter.
donload_now_140

Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft

Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.

pets-by-myway-ads-virus

Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.

pets-by-myway-ads-virus

Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. Cerber 4.1.1 moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.

pets-by-myway-ads-virus

Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.

2. Cerber 4.1.1 gecodeerde bestanden herstellen

Cerber 4.1.1 gecodeerde bestanden herstellen.

De veiligheidsingenieurs raden gebruikers aan om geen losgeld te betalen en in de plaats daarvan via andere methoden hun bestanden te herstellen. Hieronder vind je enkele voorbeelden:

Eerst moet je controleren of er schaduwkopieën in Windows zijn. Dit kan je met deze software doen:

Shadow Explorer

Om uw gegevens te herstellen, uw eerste inzet is om opnieuw te controleren voor schaduwkopieën in Windows met behulp van deze software:

Technisch gezien kan je ook een netwerk sniffer (een computerprogramma dat verschillende soorten vertrouwelijke informatie zoals belangrijke wachtwoorden voor bestanden of netwerken, verzamelt).
Via een netwerk sniffer kan je aan de encryptiesleutel van de versleutelde bestanden komen. Een netwerk sniffer controleert de informatiestroom in een netwerk zoals het internetverkeer en de internet “packages”.

Optioneel: Gebruiken van alternatieve anti-malware software

Optioneel: Gebruiken van alternatieve anti-malware software

STOPZilla Anti Malware
1. Download STOPZilla hier.
Stap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.

pets-by-myway-ads-virus

Stap 3: Start de installatie op.

Stap 4: Je ziet het installatievenster verschijnen. Klik op “Next”.

pets-by-myway-ads-virus

Stap 5: Selecteer “I accept the agreement” en klik op “Next”.

pets-by-myway-ads-virus

Stap 6: Controleer de gegevens en klik op “Install”.

pets-by-myway-ads-virus

Stap 7: Nadat de installatie is voltooid, klik op “Finish”.

2. Scan je computer met STOPZilla Anti Malware om alle bestanden van Cerber 4.1.1 automatisch te verwijderen.

Stap 1: Start STOPZilla op (tenzij je dat meteen na da installatie hebt gedaan).

Stap 2: Wacht tot de updates geïnstalleerd zijn en klik op “Scan Now”. Als de scan niet automatisch start, klik dan op “Scan Now”.

pets-by-myway-ads-virus

Step 3: Nadat alle bedreigingen verwijderd zijn, start je je PC opnieuw op.

Latest Stories

*/ ?>

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.