Cerber Ransomware
Cerber Ransomware est un ransomware apparu fin Février 2016 et vise les systèmes Windows.
C’est un crypto-Ransomware, puisque Cerber Ransomware va chiffrer les documents de l’ordinateur en modifiant l’extension en .cerber afin de les rendre inaccessible et demander de payer une rançon via le réseau TOR.
Ce type de ransomwares qui chiffrent les documents ont explosés depuis le début de l’année 2016, avec notamment Locky Ransomware, TeslaCrypt Ransomware et CryptoWall ransomware.
La plupart du temps, il n’y a malheureusement pas de solution pour décrypter les documents.
Les fichiers contenant les instructions de paiement en anglais portent les noms suivants :
# DECRYPT MY FILES #.txt # DECRYPT MY FILES #.html # DECRYPT MY FILES #.vbs
Les documents chiffrés par le Ransomware Cerber avec l’extension modifiée en .cerber
Cerber en vidéo :
Cerber Ransomware est persistant dans le système à travers les clefs Run suivante, ce qui lui permet de se rendre actif au démarrage de la session Windows :
HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe
dont voici la détection antivirus :
| SHA256: | 9d92fb315830ba69162bb7c39c45b219cb8399dd4e2ca00a1e21a5457f92fb3c |
| Nom du fichier : | SndVol.exe |
| Ratio de détection : | 16 / 56 |
| Date d’analyse : | 2016-04-03 10:57:20 UTC (il y a 2 minutes) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| AVware | Trojan.Win32.Generic!BT | 20160403 |
| Ad-Aware | Gen:Variant.Razy.36318 | 20160403 |
| Arcabit | Trojan.Razy.D8DDE | 20160403 |
| Avira (no cloud) | TR/Dropper.VB.bhdk | 20160403 |
| BitDefender | Gen:Variant.Razy.36318 | 20160403 |
| ESET-NOD32 | Win32/Filecoder.Cerber.B | 20160403 |
| Emsisoft | Gen:Variant.Razy.36318 (B) | 20160403 |
| F-Secure | Gen:Variant.Razy.36318 | 20160403 |
| GData | Gen:Variant.Razy.36318 | 20160403 |
| Malwarebytes | Trojan.Injector.VB | 20160403 |
| eScan | Gen:Variant.Razy.36318 | 20160403 |
| Microsoft | Trojan:Win32/Porest!dha | 20160403 |
| Qihoo-360 | HEUR/QVM03.0.Malware.Gen | 20160403 |
| Rising | PE:Malware.Generic/QRS!1.9E2D [F] | 20160403 |
| Tencent | Win32.Trojan.Filecoder.Hvjd | 20160403 |
| VIPRE | Trojan.Win32.Generic!BT | 20160403 |
Microsoft peut détecter ce ransomware en Ransom:Win32/Cerber
ou Ransom.Cerber par Malwarebytes Anti-Malware
Cerber ransomware est donc actif dans le système et permet de chiffrer tous nouveaux documents qui y seront copiés.
Le ransomware Cerber peut aussi viser les partages réseaux et disques amovibles, ce qui dans un réseau d’entreprise peut causer beaucoup de dommages.
Afin de vous débarrasser du virus Cerber, nous vous recommandons de suivre la procédure suivante afin d’effectuer une désinfection complètement de l’ordinateur, vous assurer que le ransomware n’est plus actif et restaurer des sauvegardes de vos documents.
Actualité autour du Ransomware Cerber :
- La Fiche du Ransomware Cerber (Crypto-Ransomware)
- Campagne d’ExploitKit visant la dernière vulnérabilité Flash et poussant le Ransomware Cerber : Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit
Comment supprimer le virus/ransomware Cerber
La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.
Supprimer le virus/ransomware Cerber avec Malwarebytes Anti-Malware
- Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
- Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
- Lancez une analyse rapide
- A l’issu du scan, supprimez toutes les menaces détectées.
Malwarebytes Anti-Malware en vidéo :
Supprimer le virus/ransomware Cerber avec NOD32
Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32
Scan NOD32 en vidéo :
Récupérer/Décrypter vos documents en .cerber
Vous pouvez tenter de récupérer les fichiers .cerber avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes avec ShadowExplorer.
Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Besoin d’aide personnalisée ?
Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus
Prévention : comment éviter mes ransomwares ?
Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.
Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.