Cerber Ransomware

Známý též jako: virus .cerber
Rozšíení: Nízké
Stupe poškození: <strong>Závažné</strong>

Popis Odstranění Prevence

Návod na odstranění ransomwaru Cerber

Co je to Cerber?

Cerber je malware ransomwarového typu, který napadá systém a zašifrovává soubory vybraného typu jako např. .jpg, .doc, .raw, .avi, apod. a k těmto souborům připojuje příponu .cerber. Po úspěšném proniknutí do počítače Cerber požaduje za odemčení zakódovaných souborů zaplacení výkupného, které musí být zaplaceno v časovém rámci sedmi dnů - v opačném případě dojde k jeho zdvojnásobení.

Při zakódování Cerber vytváří v každé složce obsahující zašifrované soubory tři další soubory (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html a #DECRYPT MY FILES#.vbs), obsahující platební instrukce. Zpráva v těchto souborech obsažená uvádí, že odemčení souborů je možné pouze pomocí speciálního klíče, zvaného "Cerber Decryptor", vyvinutého kybernetickými zločinci. Soubor #DECRYPT MY FILES#.vbs obsahuje VBScript, jež při spuštění přehraje zprávu “Your documents, databases and other important files have been encrypted!” Pro získání dešifroavcího klíče je následně požadována zaplacení výkupného ve výši 1.24 BitCoinu (při provádění našeho průzkumu tato částka odpovídala cca $546.72). V případě, kdy k zaplacení výkupného v uvedené lhůtě 7 dnů nedojde, je výše požadovaného výkupného zdvojnásobena na 2.48 BTC. Současně je uvedeno, že platba je možná pouze pomocí Tor prohlížeče, postupem podle na internetových stránkých zobrazených pokynů. Bohužel, při provádění našeho průzkumu nebyly známy žádné dostupné zpsoby, jak soubory zasažené ransomwarem Cerber dešifrovat. V této souvislosti je proto prakticky jediným řešením jejich obnova ze zálohy.

Pokyny Cerber decrypt

Snímek aktualizované verze ransomwaru (obsahující logo a více jazyků):

aktualizovaná stránka cerber decryptor

Cerber je přitom podobný dalším ransomwarovým programům jako například Locky, CryptoWall, CTB-Locker, Crypt0L0cker a TeslaCrypt. Všechny zmiňované programy mají jedno společného - zašifrují soubory ve Vašem počítači a za jejich odemčení požadují zaplacení výkupného. Prakticky jediným rozdílem mezi nimi je tak výše výkupného a použitý šifrovací algoritmus. Současně neexistuje žádná záruka, že po zaplacení výkupného ke slibovanému odemčení souborů skutečně dojde. Rovněž lze poznamenat, že zaplacení výkupného dochází k praktické podpoře nekalé výdělečné činnosti kybernetických zločinců. Zaplacení výkupného či pokus o jejich kontaktování se proto nanejvýš nedoporučuje. K šíření Cerberos malwaru přitom dochází zejména prostřednictvím infikovaných příloh k emailovým zprávám, pomocí peer to peer (P2P) sítí či falešných softwarových aktualizací či trojských koní. Z tohoto důvodu je proto nanejvýš vhodné mít instalované programy vždy aktualizované a při stahování programů z internetu dbát zvýšené pozornosti. Rovněž se vyplatí být nanejvýš opatrný při otevírání emailových příloh u zpráv zasílaných z podezřelých adres, resp. používat legitimní antivirovýnebo anti-spywarový software. 

Ransomware Cerber šířený prostřednictvím příloh ke spamovým zprávám (infikovaných souborů .WSF a .DOC):

šíření cerber ransomwaru emailem

Ransomware Cerber se šíří zejména prostřednictvím infikovaných příloh ke spamovým emailům - po otevření dokumentu dochází ke spuštění makra a následně k zakódování souborů na počítači oběti:

cerber ransomware šířený prostřednictvím škodlivého makra

Snímek složky zasažené ransomwarem Cerber (s přejměnovanými soubory a příponou .cerber):

složka zašifrovaný cerber ransomwarem

Po proniknutí do počítače oběti ransomware Cerber následně cílí na tyto soubory:

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv

Snímek souboru of #DECRYPT MY FILES#.html:

cerber ransomware decrypt my files html

Snímek souboru #DECRYPT MY FILES#.txt:

cerber ransomware soubor “# DECRYPT MY FILES #.txt”

Pokyny pro stažení Cerber Decryptoru:

How to get ?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network (0.0005 BTC).
3. Send 1.24 Bitcoins to the following Bitcoin address: -
4. Control the amount transaction at he panel below.
5. Get a link and download the software.

Text uvedený v souboru #DECRYPT MY FILES#.txt:

CERBER

Cannot your find the files you need? Is the content of the files that you looked for not readable? It is normal because the files’ names, as well as the data in your files have been encrypted. Great!!! You have turned to be a part of a big community #CerberRansomware.

#########################################################################

!!! If you are reading this message it means the software
!!! “Cerber Ransomware” has been removed from your computer.

#########################################################################

What is encryption? Encryption is a reversible modification of information for security reasons but providing full access to it for authorised users. To become an authorised user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an individual private key. But not only it. It is required also to have the special decryption software (in your case “Cerber Decryptor” software) for safe and complete decryption of all your files and data.

#########################################################################

Everything is clear for me but what should I do? The first step is reading these instructions to the end. Your files have been encrypted with the “Cerber Ransomware” software; the instructions (“#DECRYPT MY FILES #.html” and “# DECRYPT MY FILES #.txt”) in the folders with your encrypted files are not viruses, they will help you. After reading this text the most part of people start searching in the Internet the words the “Cerber Ransomware” where they find a lot of ideas, recommendation and instructions. It is necessary to realise that we are the ones who closed the lock on your files and we are the only ones who have this secret key to open them.

!!! Any attempts to get back you files with the third-party tools can
!!! be fatal for your encrypted files.

The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files. Finally it will be impossible to decrypt your files. When you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will ruin your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the “Cerber Ransomware” software may be fatal for your files.

#########################################################################

!!! There are several plain steps to restore your files but if you do
!!! not follow them we will not be able to help you, and we will not try
!!!since you have read this warning already.

#########################################################################

For you information the software to decrypt your files (as well as the private key provided together) are paid products. After purchase of the software package you will be able to:

1. decrypt all you files;
2. work with your documents;
3. view you photos and other media;

#########################################################################

What should you do with these addresses? If you read the instructions in TXT format (if you have instructions in HTML (the file with an icon of you Internet browser) then the easiest way is to run it): 1. take a look at the first address 2. select it with the mouse cursor holding the left mouse button and moving the cursor to the right; 3. release the left mouse button and press the right one; 4. select “Copy” in the appeared menu; 5. run you Internet browser (if you do not know what it is run the Internet Explorer); 6. move the mouse cursor to the address bar of the browser (this is the place where the site address is written); 7. click the right mouse button in the field where the site address is written; 8. select the button “Insert” in the appeared menu; 9. then you will see the address appeared there; 10. press ENTER; 11. the site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling. If for some reason the site cannot be opened check the connection to the Internet; if the site still cannot be opened take a look at the instructions on omitting the post about working with the addresses in the HTML instructions.

#########################################################################

Additional information: You will find the instructions for restoring your files in those folders where you have encrypted files only. The instructions are made in two file formats - HTML and TXT for your convenience. Unfortunately antivirus companies cannot protect or restore your files but they can make the situation worse removing the instructions how to restore your encrypted files. The instructions are not viruses; they have informative nature only, so any claims on the absence of any instruction files you can send to your antivirus company.

#########################################################################

Cerber Ransomware Project is not malicious and is not intended to harm a person and his/her information data. The project is created for the sole purpose of instruction regarding information security, as well as certification of antivirus software for their suitability for data protection. Together we make the Internet a better and safer place.

#########################################################################

If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

#########################################################################

Remember that the worst situation already happened and not it depends on your determination and speed of you actions the further life of your files.

Zpráva jež uvádí, že došlo k zašifrování souborů na počítači oběti:

Zpráva jež uvádí, že došlo k zašifrování souborů pomocí Cerber ransomwaru

Text uvedený v předmětné zprávě:

CERBER DECRYPTOR
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - .

All transactions should be performed via bitcoin network only.

Within 7 days you can purchase this product at a special price 1.24 BTC (approximately $524).

After 7 days the price of this product will increase up to 2.48 BTC (approximately $1048).

Odstranění ransomwaru Cerber:

Rychlé menu: Rychlé řešení pro odstranění .cerber

Krok 1

Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows, potom zvolte Nouzový režim s prací v síti ze seznamu a stiskněte ENTER. 

Nouzový režim s prací v síti

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlaste se na účet, který byl Cerberem napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které se objeví.


STÁHNOUT
Odstraňovač .cerber

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Bezplatný skener od SpyHunter pro detekci malware, pro odstranění nalezených infekcí bude nutné zakoupit plnou verzi výrobku. Více informací o SpyHunter. Přejete-li si SpyHunter odinstalovat, postupujte podle následujících pokynů. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.

Spuštění počítače v Nouzovém režimu s příkazovým řádkem

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl Cerberem zasažen).

Zvolte bod obnovy

6. V otevřem okně zvolte "Ano".

Spusťte Obnovu systému

Pokud nemůžete systém v Nouzovém režimu s prací v síti spustit (nebo s příkazovým řádkem), spusťte svůj počítač pomocí záchranného disku. Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Pro znovuzískání kontroly nad soubory zašifrovanými virem Cerber můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.

snímek programu shadow explorer

Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též programy s názvem HitmanPro.Alert a EasySync CryptoMonitor, které uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například Cerber).

HitmanPro.Alert CryptoGuard - blokuje veškeré pokusy o šifrování souborů a blokuje tyto bez nutného zásahu uživatele:

aplikace hitmanproalert pro ochranu před ransomwarem

EasySync CryptoMonitor - ukončuje šifrovací procesy a zabraňuje jejich opětovnému spuštění:

aplikace cryptomonitor pro ochranu před ransomwarem

Další dostupné nástroje pro odstranění ransomwaru Cerber:

Naše příruky pro odstranění malwaru jsou zdarma. Chcete-li nás podpořit, můžete nám zaslat i drobný finanční příspěvek.