Skocz do zawartości

Wirus Cerber


Rekomendowane odpowiedzi

Witam. Rok temu złapałem wirusa Cerber, który szyfruje pliki. Wirusa usunąłem już dawno, ale plików nie chciałem kasować. Mam na nich zdjęcia i notatki, na których bardzo mi zależy. Miałem utworzone punkty przywracania, a wirus usunął mi je wszystkie. Czy ktoś ma sposób na pewne odszyfrowanie tych plików? Oczywiście, płacić hakerom nie mam zamiaru.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Ransomware Cerber ma kilka wariantów i trzeba wiedzieć, który to dokładnie, by określić czy istnieje ratunek dla danych. 

W celu identyfikacji wariantu proszę wysłać zaszyfrowany plik do analizy w usłudze ID Ransomware i dostarczyć jej wynik (w postaci screen'a). 

 

P.S: Ten dział wymaga dostarczenia raportów FRST. Jeśli jednak nie oczekujesz analizy raportów - poinformuj o tym.

Odnośnik do komentarza

Tak, o to chodziło, ale wynik analizy trochę mnie nie satysfakcjonuję.  

 

Rozszerzenie .cerber wskazuję na wariant V1, aczkolwiek ważna jest również nazwa zapisanego pliku.

Jeśli schemat zapisu zaszyfrowanych plików jest następujący: {10 losowych znaków}.cerber to istnieje szansa na deszyfracje za pomocą Trend Micro Ransomware File Decryptor

 

Infekcja ransomware Xorist z tego co pamiętam tworzy plik w taki sposób: zachowana nazwa oryginalnego pliku.cerber i to też jest do odkodowania za pomocą Emsisoft Decrypter for Xorist i nie wykluczone, że poradzi sobie również Kaspersky XoristDecryptor. 

 

Gdy nic nie zadziała to proszę o pokazanie nazw zaszyfrowanych danych, bym mógł powiedzieć coś więcej. 

Odnośnik do komentarza

Witaj Miszel03. Tak, jak napisałeś, schemat zapisu zaszyfrowanych plików liczy 10 losowych znaków. Próbowałem deszyfrować za pomocą Trend Micro Ransomware File Decryptor. Zaczął skanować zaszyfrowany plik, ale po pół godzinie zatrzymałem, bo nie zdołał odszyfrować. Podaję screen z przykładowymi nazwami zaszyfrowanych danych:

 

post-19117-0-55480000-1518708905_thumb.png

Odnośnik do komentarza

Schemat zdecydowanie wygląda na Cerber w wersji pierwszej (V1).

 

Próbowałem deszyfrować za pomocą Trend Micro Ransomware File Decryptor. Zaczął skanować zaszyfrowany plik, ale po pół godzinie zatrzymałem, bo nie zdołał odszyfrować.

 

Zapomniałem, że limitacja tego dekodera jest następująca:

 

CERBER decryption must be executed on the infected machine itself (as opposed to another machine) since the tool needs to try and locate the first infected file for a critical decryption calculation.

 

Oznacza to, że dekoder zadziała tylko na zainfekowanej maszynie, gdyż wymagane są ku temu dane, ale:

 

Due to the method of decryption for CERBER, the tool may take several hours (average is 4) to complete decryption on a standard Intel i5 dual-core machine.   In addition, the encryption logic for CERBER also is built in such a way that the more cores a CPU has, the lower percentage chance of success for the decryption because of its complexity.

 

...jeśli spełniasz w/w normy techniczne to niewykluczone, że jeśli pozwolisz narzędziu działać kilka godzin (ok. 4h) to być może deszyfracja się powiedzie.

Odnośnik do komentarza

Cerber to tylko jeden z całej puli, a przecież nieprzerwanie powstają nowe. 

Infekcje szyfrujące są ostatnio bardzo modne wśród cyberprzestępców, gdyż przynoszą zyski (i to nie małe!).

 

Proszę skorzystać z naszego autorskiego zestawienia aplikacji zabezpieczających

Jeśli pojawią się wątpliwości to sugeruję założyć temat w dziale Oprogramowanie zabezpieczające.

 

Najlepszą ochroną przeciwko oprogramowaniu typu Ransomware jest wykonywanie regularnych kopii zapasowych danych. 

Oprócz tego osobiście polecam rozwiązania Kaspersky (w tym wersję Free).

Odnośnik do komentarza

Jeszcze jedna ważna rzecz - pamiętaj, że to użytkownik jest zawsze najsłabszym punktem systemu zabezpieczeń. Patrz w co klikasz, nie instaluj piratów z crackami, nie klikaj w dziwne linki i wiadomości na np. facebooku, nie wchodź na mało znane strony www, nie zapuszczaj się za głęboko w internet bez świeżych kopii zapasowych i na głównym komputerze, jak czegoś musisz poszukać itp. - warto mieć do tego jakiś stary komputer za grosze, albo możesz też szukać na telefonie/tablecie - tylko uwaga - telefon też łatwo jest zainfekować, więc nie polecam np. robienia przelewów przez telefon, który ma służyć do "szperania w internecie" - z telefonem jest taki plus, że szybciej można przywrócić na nim ustawienia fabryczne, niż na komputerze. No i tak jak Miszel powiedział - pendrive, dysk zewnętrzny i regularne backupy tego co dla Ciebie ważne - lepszego sposobu nie ma (po zrobieniu backupu nośnik odłączasz i śpisz spokojnie).

Edytowane przez Rucek
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...