Cyber Security LAB

Infektio prosessi Cerberos ransomware käyttää haitallisen tiedoston, joka on havaittu, kuten VirusTotal pdf.exe:

VT PIC

Tiedosto voi olla luikerteli tietokoneelle uhrien tästä virus kautta eri menetelmiä:

• Kautta petollisia asentajat ohjelmia.
• Kautta game halkeamia tai laikkuja, jotka teeskentelevät olla laillista.
• Jos uhri ohjataan kautta Mahdollisesti Unwatned Sovelluksia, web-linkkiä, aiheuttaa infektio.

Tärkein menetelmä, jonka Cerberos infektio voi levitä on kautta roskapostia viestejä, jotka sisältävät haittaohjelmia sähköpostin liitetiedostoja samanlainen kuin mitä alla oleva kuva näyttää:

Pic

Kuten e-mail liitetiedostoja hyödynnetään ja kuvata laillisia asiakirjoja, ja e-mail viestejä itseään tavoitteena on vakuuttaa uhrit avaa liitetiedostoja. Koska ne ovat usein käytetään yhdessä arkistot, jotka tekevät prosessi lähettää niitä huomaamatta. Oppia, miten tunnistaa haitallista arkistot, käy liittyvä artikkeli alla:

PIC

Kun käyttäjä avaa haitallisen arkisto ja klikkaa infektio-tiedoston, Cerberos ransomware voi pudota se on ilkeä executable ja sitä pitkin muita vahingollisia tiedostoja seuraavat Windows hakemistoja:

Imuroi poistotyökalupoistaa Cerberos

• %AppData%
• %Paikallisten%
• %Temp%
• %Roaming%
• %LocalRow%
• %Documents%

Kun tartunnan Cerberos ransomware on valmis, virus voi alkaa poistaa varjo kopioita tartunnan saaneen tietokoneen. Nämä shadow volume kopiot ovat lähinnä peilattu kopioita tärkeitä tiedostoja uhri tietokoneita. Mitä virus tekee on, että se voi suorittaa seuraavat komennot taustalla kautta järjestelmänvalvojan oikeudet:

→ prosessi kutsua luo ”cmd.exe /c
vssadmin. exe.exe poistaa varjot /kaikki /hiljainen
bcdedit.exe /set {default} recoveryenabled ei
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Nämä komennot pysyvästi poistaa tilannevedokset ilman käyttäjän huomaamatta.

Toinen näkökohta ilkeä toimintaa Cerberos virus sisältää käyttäen Windows Registry editor muuttaa järjestelmän asetuksia. Yksi näistä asetuksista on asetettu ilkeä tiedostoja ransomware virus käynnistää automaattisesti, kun Windows käynnistyy.

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce. exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce. exe

Muut haittaohjelmia toimintaa liittyy tis ransomware virus, ovat käynnissä vääriä prosesseja, jotka ovat jäljittelemällä legitiimi Windows isännät, kuten svchost.exe.

Salaus Cerberos ransomware virus tavoitteet ensisijaisesti tiedostoja, jotka ovat tärkeitä käyttäjä, esimerkiksi:

• Audio-tiedostoja.
• Asiakirjoja.
• Tietokannan tiedostoja.
• Videoita.
• Kuvia.

Lisäksi näiden tiedostojen tyyppi, Cerberos voi olla ennalta määritetty salata tietyt tiedostopäätteet, huolellisesti välttäen salaus tiedostoja kriittinen Windows kansioita, kuten %Windows% ja %Järjestelmäasema%. Joukossa tiedostopäätteet Cerberos ransomware metsästää voivat olla seuraavia:

”PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com Imuroi poistotyökalupoistaa Cerberos

Tämän jälkeen on valmistunut, ransomware infektio lehdet takana näytön, jossa on seuraava viesti:

Tiedostot on tartunnan Cerberos Ransomware ja tietosi On Salattu
Ota yhteyttä: Cerberos-decrypter@lgmail.com

Cerberos manuaalinen poisto opas

Vaihe 1. Poista Cerberos ja liittyvät ohjelmat

Windows XP

1. Avaa Käynnistä-valikko ja valitse Ohjauspaneeli
2. Valitse Lisää tai poista sovellus
3. Valitse ei-toivottu ohjelma
4. Valitse Poista

Akkuna 7 ja näköala

1. Valitse Käynnistä ja valitse Ohjauspaneeli
2. Siirry Poista ohjelma
3. Napsauta hiiren kakkospainikkeella epäilyttävästä ohjelmasta
4. Valitse Poista

Windows 8

1. Siirrä kursori vasemmassa alakulmassa
2. Napsauta hiiren kakkospainikkeella ja Avaa Ohjauspaneeli
3. Valitse Poista ohjelman asennus
4. Poista ei-toivottu ohjelma

Vaihe 2. Poista Cerberos selaimissa

Poista Cerberos Internet Explorer

1. Avaa IE ja napsauta rataskuvaketta
   
2. Valitse Lisäosien hallinta
   
3. Poistaa ei-toivotut laajennuksia
4. Kotisivun vaihtaminen: rataskuvaketta → Internet-asetukset (Yleiset-välilehti)
   
5. Muuttaa selaimesi: rataskuvaketta → Internet-asetukset (Lisäasetukset-välilehti)
6. Valitse Palauta, valintaruutu ja valitse Palauta uudelleen
   

Poista Cerberos Mozilla Firefox

1. Avaa Mozilla ja valitsemalla valikosta
   
2. Valitse lisäosat ja Siirry Extensions
3. Valitse ei-toivottuja laajennus ja valitse Poista
   
4. Palauta Mozilla: Alt + H → vianmääritystietojen
   
5. Palauta Firefox, vahvista se ja valitse valmis
   

Poista Cerberos Google Chrome

1. Avaa Google Chrome ja valitse valikosta
   
2. Valitse Työkalut → laajennukset
3. Valitse lisäosa ja napsauta poistokuvaketta
   
4. Muuttaa hakukoneesi: valikko → asetukset
5. Valitse hallinnoi hakukoneita Valitse Etsi
   
6. Poistaa ei-toivottuja hakupalvelu
   
7. Muuttaa selaimesi: asetukset → palauta selaimen asetukset
   
8. Valitse Palauta vahvistamaan toimenpide