Cerber Ransomware

Cerber Ransomware est un ransomware apparu fin Février 2016 et vise les systèmes Windows.
C’est un crypto-Ransomware, puisque Cerber Ransomware va chiffrer les documents de l’ordinateur en modifiant l’extension en .cerber afin de les rendre inaccessible et demander de payer une rançon via le réseau TOR.

Ce type de ransomwares qui chiffrent les documents ont explosés depuis le début de l’année 2016, avec notamment Locky Ransomware, TeslaCrypt Ransomware et CryptoWall ransomware.
La plupart du temps, il n’y a malheureusement pas de solution pour décrypter les documents.

Les fichiers contenant les instructions de paiement en anglais portent les noms suivants :

# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.vbs

 

Cerbere_Ransomware_6 Cerbere_Ransomware

Les documents chiffrés par le Ransomware Cerber avec l’extension modifiée en .cerber

cerber_documents_cryptes
Cerber en vidéo :

Cerber Ransomware est persistant dans le système à travers les clefs Run suivante, ce qui lui permet de se rendre actif au démarrage de la session Windows :

HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe

dont voici la détection antivirus :

SHA256:9d92fb315830ba69162bb7c39c45b219cb8399dd4e2ca00a1e21a5457f92fb3c
Nom du fichier :SndVol.exe
Ratio de détection :16 / 56
Date d’analyse :2016-04-03 10:57:20 UTC (il y a 2 minutes)
AntivirusRésultatMise à jour
AVwareTrojan.Win32.Generic!BT20160403
Ad-AwareGen:Variant.Razy.3631820160403
ArcabitTrojan.Razy.D8DDE20160403
Avira (no cloud)TR/Dropper.VB.bhdk20160403
BitDefenderGen:Variant.Razy.3631820160403
ESET-NOD32Win32/Filecoder.Cerber.B20160403
EmsisoftGen:Variant.Razy.36318 (B)20160403
F-SecureGen:Variant.Razy.3631820160403
GDataGen:Variant.Razy.3631820160403
MalwarebytesTrojan.Injector.VB20160403
eScanGen:Variant.Razy.3631820160403
MicrosoftTrojan:Win32/Porest!dha20160403
Qihoo-360HEUR/QVM03.0.Malware.Gen20160403
RisingPE:Malware.Generic/QRS!1.9E2D [F]20160403
TencentWin32.Trojan.Filecoder.Hvjd20160403
VIPRETrojan.Win32.Generic!BT20160403

Microsoft peut détecter ce ransomware en Ransom:Win32/Cerber

Ransom_Win32_Cerber

ou Ransom.Cerber par Malwarebytes Anti-Malware

Ransom_Cerber_Malwarebytes

Cerber ransomware est donc actif dans le système et permet de chiffrer tous nouveaux documents qui y seront copiés.
Le ransomware Cerber peut aussi viser les partages réseaux et disques amovibles, ce qui dans un réseau d’entreprise peut causer beaucoup de dommages.

Afin de vous débarrasser du virus Cerber, nous vous recommandons de suivre la procédure suivante afin d’effectuer une désinfection complètement de l’ordinateur, vous assurer que le ransomware n’est plus actif et restaurer des sauvegardes de vos documents.

Actualité autour du Ransomware Cerber :

Comment supprimer le virus/ransomware Cerber



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Cerber avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Cerber avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0

Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .cerber

Vous pouvez tenter de récupérer les fichiers .cerber avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes avec ShadowExplorer.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Cerber Ransomware mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum