Cerber Ransomware

Cerber Ransomware est un ransomware apparu fin Février 2016 et vise les systèmes Windows.
C’est un crypto-Ransomware, puisque Cerber Ransomware va chiffrer les documents de l’ordinateur en modifiant l’extension en .cerber afin de les rendre inaccessible et demander de payer une rançon via le réseau TOR.

Ce type de ransomwares qui chiffrent les documents ont explosés depuis le début de l’année 2016, avec notamment Locky Ransomware, TeslaCrypt Ransomware et CryptoWall ransomware.
La plupart du temps, il n’y a malheureusement pas de solution pour décrypter les documents.

Les fichiers contenant les instructions de paiement en anglais portent les noms suivants :

# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.vbs

 

Cerbere_Ransomware_6 Cerbere_Ransomware

Les documents chiffrés par le Ransomware Cerber avec l’extension modifiée en .cerber

cerber_documents_cryptes
Cerber en vidéo :

Cerber Ransomware est persistant dans le système à travers les clefs Run suivante, ce qui lui permet de se rendre actif au démarrage de la session Windows :

HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe

dont voici la détection antivirus :

SHA256: 9d92fb315830ba69162bb7c39c45b219cb8399dd4e2ca00a1e21a5457f92fb3c
Nom du fichier : SndVol.exe
Ratio de détection : 16 / 56
Date d’analyse : 2016-04-03 10:57:20 UTC (il y a 2 minutes)
Antivirus Résultat Mise à jour
AVware Trojan.Win32.Generic!BT 20160403
Ad-Aware Gen:Variant.Razy.36318 20160403
Arcabit Trojan.Razy.D8DDE 20160403
Avira (no cloud) TR/Dropper.VB.bhdk 20160403
BitDefender Gen:Variant.Razy.36318 20160403
ESET-NOD32 Win32/Filecoder.Cerber.B 20160403
Emsisoft Gen:Variant.Razy.36318 (B) 20160403
F-Secure Gen:Variant.Razy.36318 20160403
GData Gen:Variant.Razy.36318 20160403
Malwarebytes Trojan.Injector.VB 20160403
eScan Gen:Variant.Razy.36318 20160403
Microsoft Trojan:Win32/Porest!dha 20160403
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160403
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160403
Tencent Win32.Trojan.Filecoder.Hvjd 20160403
VIPRE Trojan.Win32.Generic!BT 20160403

Microsoft peut détecter ce ransomware en Ransom:Win32/Cerber

Ransom_Win32_Cerber

ou Ransom.Cerber par Malwarebytes Anti-Malware

Ransom_Cerber_Malwarebytes

Cerber ransomware est donc actif dans le système et permet de chiffrer tous nouveaux documents qui y seront copiés.
Le ransomware Cerber peut aussi viser les partages réseaux et disques amovibles, ce qui dans un réseau d’entreprise peut causer beaucoup de dommages.

Afin de vous débarrasser du virus Cerber, nous vous recommandons de suivre la procédure suivante afin d’effectuer une désinfection complètement de l’ordinateur, vous assurer que le ransomware n’est plus actif et restaurer des sauvegardes de vos documents.

Actualité autour du Ransomware Cerber :

Comment supprimer le virus/ransomware Cerber



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Cerber avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Cerber avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0

Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .cerber

Vous pouvez tenter de récupérer les fichiers .cerber avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes avec ShadowExplorer.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.