Cyber Security LAB

Infektion processen av Cerberos ransomware använder en skadlig fil som upptäcks i VirusTotal som pdf.exe:

VT PIC

Filen kan vara ringlat på datorn av de som drabbas av detta virus via olika metoder:

• Via bedrägliga installatörer av program.
• Via spel sprickor eller fläckar som låtsas vara seriösa.
• Om offret är omdirigerad via Potentiellt Unwatned Program till en skadlig länk som orsakar infektionen.

Den huvudsakliga metoden som Cerberos infektioner kan spridas via spam-meddelanden som innehåller skadliga e-postbilagor som liknar vad som bilden nedan visar:

Pic

Sådan e-post som bifogade filer används och framställs som seriösa dokument och e-postmeddelanden sig syftar till att övertyga offer för att öppna bilagor. Eftersom de ofta används i kombination med arkiv som gör processen att skicka dem oupptäckt. Att lära sig att upptäcka skadliga arkiv, besök den relaterade artikeln nedan:

PIC

När användaren öppnar den skadliga arkiv och klickar på infektion fil, Cerberos ransomware kan släppa att den är skadlig körbar och längs den andra skadliga filer på följande Windows kataloger:

Hämta Removal Toolta bort Cerberos

• %AppData%
• %Lokala%
• %Temp%
• %Roaming%
• %LocalRow%
• %Documents%

Efter en infektion av Cerberos ransomware är klar, kan viruset börjar att ta bort alla kopior skugga på den infekterade datorn. Dessa skugga volym kopior är i huvudsak speglade kopior av viktiga filer på offrens datorer. Vad viruset gör är att den kan köra följande kommandon i bakgrunden via administrativa behörigheter:

→ process kallar skapa ”cmd.exe /c
vssadmin.exe ta bort skuggor /alla /quiet
bcdedit.exe – /set {default} recoveryenabled nr
bcdedit.exe – /set {default} bootstatuspolicy ignoreallfailures

Dessa kommandon permanent ta bort skuggan kopior utan att användaren märker det.

En annan aspekt av skadlig aktivitet av Cerberos virus med hjälp av den Windows Registereditorn för att ändra inställningar i systemet. En av dessa inställningar för att ställa in den skadliga filer i denna ransomware virus att köras automatiskt när Windows startar upp.

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Andra skadliga aktiviteter i samband med denna ransomware virus, omfattar driften av felaktiga processer som imiterar legitima Windows värdar, som svchost.exe.

Kryptering av Cerberos ransomware virus riktar främst filer som är viktiga för användaren, till exempel:

• Ljudfiler.
• Handlingar.
• Databas-filer.
• Videor.
• Bilder.

Förutom dessa typer av filer, Cerberos kan vara förkonfigurerad för att kryptera en viss uppsättning av filnamnstillägg, noggrant undvika kryptering av filer i den kritiska Windows mappar, t.ex. %Windows% och %SystemDrive%. Bland de filändelser Cerberos ransomware jakt kan vara följande:

”PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com Hämta Removal Toolta bort Cerberos

Efter detta har slutförts, ransomware infektion lämnar bakom en skärm med följande meddelande:

Dina Filer har infekterats Av Cerberos Ransomware och Dina Uppgifter Är Krypterade
Kontakta: Cerberos-decrypter@lgmail.com

Manual [postnamn] avlägsnande Guide

Steg 1. Avinstallera [postnamn] och relaterade program

Windows XP

1. Öppna Start-menyn och klicka på Kontrollpanelen
2. Välj Lägg till eller ta bort program
3. Välj det oönskade programmet
4. Klicka på ta bort

Windows 7 och Vista

1. Klicka på Start och välj Kontrollpanelen
2. Gå till avinstallera ett program
3. Högerklicka på den misstänkta programvaran
4. Välj avinstallera

Windows 8

1. Flytta markören till det nedre vänstra hörnet
2. Högerklicka och öppna Kontrollpanelen
3. Välj avinstallera ett program
4. Ta bort oönskade program

Steg 2. Ta bort [postnamn] från din webbläsare

Ta bort [postnamn] från Internet Explorer

1. Öppna IE och klicka på växel ikonen
   
2. Välj Hantera tillägg
   
3. Ta bort oönskade tillägg
4. Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
   
5. Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
6. Klicka på Återställ, markera rutan och klicka på Återställ igen
   

Ta bort [postnamn] från Mozilla Firefox

1. Öppna Mozilla och klicka på menyn
   
2. Välj tillägg och gå till anknytningar
3. Välj oönskade tillägg och klicka på ta bort
   
4. Återställ Mozilla: Alt + H → felsökningsinformation
   
5. Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
   

Avinstallera [postnamn] från Google Chrome

1. Öppna Google Chrome och klicka på menyn
   
2. Välj verktyg → tillägg
3. Välj tillägget och klicka på papperskorgsikonen
   
4. Ändra din sökmotor: menyn → Inställningar
5. Klicka på Hantera sökmotorer under Sök
   
6. Ta bort oönskade sökleverantör
   
7. Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
   
8. Klicka på Återställ för att bekräfta din åtgärd