Cerber 4.1.1 Cifratura dei file Eliminare il Virus e Ripristinare i file (Cerber aggiornato v4.1.0)

cerber-4-1-1-ransomware-restore-files-sensorstechforum-com
Un altro aggiornamento è apparso online per quello che sembra essere uno dei più grandi virus ransomware – il virus Cerber. Con il suo sistema potente per ridistribuire i propri file dannosi, il software dannoso è diventato molto sofisticato ed i suoi aggiornamenti non sono di tutto superficiali. Sembra che includono anche una modifica pesante delle voci di registro di Windows relative alle cartelle crittografate. Visto, che il Cerber è un virus ransomware, che si diffonde molto velocemente, gli utenti vengono consigliati a non apprire i messaggi di posta elettronica che contengono archivi con file che finiscono con .hta o wsf perché questi sono i metodi che il virus utilizza per infettare i computer. Chiunque sia stato infettato con la versione aggiornata di Cerber – 4.1.1 dovrebbe concentrarsi immediatamente sulla eliminazione del ransomware dal suo computer e cercare di conoscere meglio la minaccia e come ripristinare i propri file leggendo le informazioni contenute in questo articolo.

Sommario del Virus

Nome Cerber 4.1.1
Tipo Ransomware Virus
Breve Descrizione Questa variante di ransomware Cerber cripta i file con le cifre RSA o AES aggiungendo quattro caratteri A-Z 0-9 generati in modo in modo casuale (es. .z33f) come estensione di file per i file crittografati e chiede un riscatto per la decrittazione.
Sintomi I file vengono criptati e diventano inaccessibili per qualsiasi tipo di software. Una richiesta di riscatto con le istruzioni per il pagamento appare come un file “README.hta”.
Metodo di distribuzione Le e-mail di spam, file allegati alle email, Reti di condivisione dei file, Software dannosi eseguibili nei Torrent Trackers.
Strumento di controllo Controllare se il vostro sistema è stato infettato con Cerber 4.1.1
Cerber 4.1.1

Download

Malware Removal Tool

Strumento di recupero dati Windows Data Recovery by Stellar Phoenix Nota! Questo prodotto esegue la scansione dei settori del disco rigido per recuperare i file persi. Non si può garantire il recupero di 100% dei file criptati, ma solo alcuni di essi, a seconda della situazione e se avete riformattato il disco.

Cerber 4.1.1 Analisi dei processi infettivi

Per spiegare meglio come funziona il processo di infezione con questa variante di Cerber, vi condurremo metodologicamente su di essa, basandosi su uno scenario medio di infezione con la versione 4.1.1 di questa minaccia ransomware maliziosa.

Distribuzione del Cerber 4.1.0

Simile alla versione 4.1.0 e le eventuali varianti v4 di Cerber, anche qui il ransomware si diffonde attraverso i file .hta(HTML) o .wsf(JavaScript) che sono file dannosi contenuti in un archivio caricato su una e-mail di phishing. L’altro metodo più probabile e riportato su come Cerber può diffondersi è attraverso URL falsi, come ad esemplio la falsa pagina web di PayPal mostrata di seguito, che può portare ad un collegamento Web dannoso contenente un drive-by-download di Cerber:

paypal

Un altro scenario, simile all’ultima iterazione del Locky è che l’utente apra un file allegato malevolo proveniente da un email di posta indesiderata (spam) come ad esempio l’immagine riportata di cui sotto:

spam-e-mail-carrying-cerber-sensorstechforum-1-768x206

Questi messaggi di spam di massa vengono inviati attraverso gli stessi distributori che sono dietro la stessa squadra di hacking che ha distribuito il software dannoso massiccio Dridex. Una volta aperto il file archiviato, è possibile trovare un altro file che contiene assolutamente lo stesso nome del software dannoso e può essere il tipo di file .hta o .wsf, ma si possono individuare anche i file .js e .html. Ecco come può assomigliare un file dannoso all’apertura dell’archivio:
receipt-document-malware-cerber-infection-sensorstechforum-768x172

Quando l’utente inesperto apre il file dannoso, quello può connettersi direttamente a molti host remoti che sono legati al Ransomware Cerber e scaricare il payload maligno sul computer della vittima, che si compone dei seguenti tipi di file rilevati dal Malware Traffic Analysis:

Cerber-decryption-instructions-README.hta (63,083 bytes)
Cerber-decryption-instructions.bmp (1,920,054 bytes)
page-from-joellipman.com-with-injected-script.txt (68,401 bytes)
pseudoDarkleech-RIGv-flash-exploit.swf (51,789 bytes)
pseudoDarkleech-RIGv-landing-page.txt (5,119 bytes)
pseudoDarkleech-RIGv-payload-Cerber.exe (347,878 bytes)

Ciò che sembra essere un RIG può essere utilizzato per causare un’infezione provocata dal ransomware Cerber. I ricercatori di software dannosi riportano il processo seguente di infezione:
2016-10-26-pseudodarkleech-rigv-image-01
Fonte: malware-traffic-analysis.net

Fase 2: Azione post-infezione

Dopo l’infezione, il ransomware Cerber v4.1.1 usa una tattica molto specifica per attaccare l’utente distratto. Il ransomware modifica una catena di valore di registro nella seguente località, chiamata MachineGuid con simboli casuali tra i quali l’estensione del file 4 A-Z, 0-9 generati in modo casuale e utilizzati per crittografare i file. La catena di Registro di sistema si trova nella seguente sottochiave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography
Dopo di che, il Cerber 4.1.1. potrebbe creare file ausialiari aggiuntivi, noti come moduli nel seguente località di Windows:
%UserProfile%\Documents\tools
Ma questo non è l’unico luogo in cui possono essere collocati i moduli. Il virus può creare moduli nei file cruciali di Windows così come:

  • %AppData%
  • %Common%
  • %Temp%
  • %Local%
  • %Roaming%
  • %System32%
  • %Startup%

Gli eseguibili dannosi possono contenere nomi molto specifici, come la data della loro creazione, nomi completamente casuali o i seguenti nomi indicati da tutte le versioni v4 di Cerber.
Oltre alle modifiche apportate da Cerber 4.1.1, un altro cambiamento si verifica nella schermata di sfondo, sempre eseguito dal virus che contiene la versione (4.1.1):

cerber-4-1-1-sensorstechforum-ransomware-ransom-note-malware

La schermata di sfondo contiene dei URL agli host della rete Onion che conduce alle pagine di pagamento. Abbiamo aperto un URL speciale che ci porta alla seguente pagina Web contenente la verifica Captcha che è nuova per CERBER:

cerber-captcha-sensorstechforum-768x479

Dopo l’accesso alla pagina web, abbiamo visto che il virus richiede il pagamento di 0.1196 BTC (circa 85 dollari) e molto probabilmente il prezzo raddoppierà se il termine di 5 giorni non viene rispettato:

cerber-payment-page-sensorstechforum-768x423

Il ransomware Cerber 4.1.1 ha anche istruzioni molto specifiche che puntano a pagine Web che convertono i soldi in BitCoin senza importanza dove vi trovate nel mondo:

“ Come avere «Cerber Decryptor»?
1. Creare un portafoglio Bitcoin (si consiglia Blockchain.info)
2. Acquista la quantità necessaria di Bitcoins
Ricordatevi la tassa di transazione in rete Bitcoin (≈ 0.0005).
Le nostre raccomandazioni:
btcdirect.eu – Un buon servizio per l’Europa
bittylicious.com – Acquisire BTC con bonifico bancario Visa / MC o SEPA (UE)
localbitcoins.com – Questo servizio consente di cercare le persone che vogliono vendere Bitcoin (WU, Cash, Sepa, PayPal, ecc).
cex.io – Acquistate Bitcoins con Visa / Mastercard o bonifico bancario.
coincafe.com – consigliato per il servizio semplice e veloce. Metodi di pagamento: Western Union, Bank of America, FedEx contanti, Moneygram, e/o con bonifico bancario.
bitstamp.net – commerciante esperto e conosciuto di Bitcoin
coinmama.com – Visa/Mastercard
btc-e.com – rivenditore Bitcoins (Visa/Mastercard, ecc.)
Impossibile trovare Bitcoins nella vostra zona? Provate a cercare qui:
buybitcoinworldwide.com Catalogo internazionale di scambi Bitcoins
bitcoin-net.com – Un altro catalogo fornitori Bitcoins
howtobuybitcoins.info – Catalogo internazionale del commercio Bitcoins
bittybot.co/eu – Un catalogo per l’Unione europea
3. Inviate 0.1196 a l’indirizzo di Bitcoin seguente:
13cM6XQZpL8xnCgqSyGDLcSn17oatA1hqM”

Cerber 4.1.1 ha anche la capacità di decifrare un file gratuitamente. Un’altra novità per il ransomware Cerber è il sistema di messaggistica diretta che il virus offre alle vittime in caso di problemi:

cerber-messaging-service-sensorstechforum

Simile ad altre iterazioni v4 Cerber, 4.1.1 cambia anche i nomi dei file crittografati e aggiunge quattro simboli casuali come l’estensione del file per renderli irriconoscibili. I file crittografati appaiono come segue:

cerber-ransomware-file-encrypted-sensorsrtechforum

Cerber 4.1.1 – Conclusione, Decrittografia e Cancellazione di file

Visto che questo tipo di ransomware Cerber 4.1.1 è così avanzato come le altre varianti v4, molti ricercatori si sentono sicuri che quello otterrà ulteriori aggiornamenti al più presto, a causa della enorme attenzione che il ransomware Cerber ottiene dai ricercatori di sicurezza informatica in questi ultimi tempi. Da quando la prima versione di Cerber è stata decifrata con successo, i criminali informatici non solo hanno creato un virus che è molto difficile da decifrare, ma hanno anche utilizzato i metodi di distribuzione molto potenti. Gli esperti di sicurezza stanno invitando ogni utente infettato con questa versione di Cerber a rimuoverlo immediatamente dal suo computer, le istruzioni sul quale sono fornite di seguito.

Per una massima efficienza nella rimozione del ransomware Cerber 4.1.1, vi invitiamo a concentrarsi su un approccio più automatizzato, utilizzando un programma avanzato contro i software dannosi, che farà sì che tutte le voci di registro e altri file dannosi che appartengono al Cerber al 4,1 .1 spariscono definitivamente. Questo permette anche a proteggere il computer da altre infezioni Cerber 4.1.1 o altro software dannoso in futuro.

Se siete alla ricerca di un modo per decifrare i file, il miglior consiglio che possiamo darvi è quello di aspettare, dato che questo software dannoso non è stato ancora incrinato dagli esperti nella ricerca dei software dannosi. E’ possibile anche, che quello non si potrà mai incrinare, ma si potrebbe decodificare con successo in un prossimo futuro, perché finché c’è il codice ci sono anche dei bug. Dopo che i file dei virus vengono incrinati, i ricercatori di software dannoso dovrebbero essere in grado di sviluppare un decodificatore e di aiutarvi a decifrare correttamente i file.

È per questo che abbiamo fornito i metodi che dovrebbero aiutarvi a ripristinare i vostri file, fornendo le opportunità indicate al punto “2. Ripristinare i file decriptati da Cerber 4.1.1”. Essi comprendono collegamenti Web a due dei principali sviluppatori di decodificatori – Kaspersky e Emsisoft, che vi consigliamo di seguire regolarmente. Aggiorneremo anche il nostro blog con articolo sulle istruzioni di decrittazione non appena quelle vengono sviluppate per questa iterazione di Cerber, quindi vi consigliamo di seguire anche questa pagina.

Eliminare manualmente Cerber 4.1.1 dal computer

Importante! Notifica significante per la minaccia Cerber 4.1.1: L’eliminazione manuale di Cerber 4.1.1 richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo

1. Avviare il vostro computer in Safe Mode (regime sicuro), al fine di isolare ed eliminare gli oggetti e i file, associati a Cerber 4.1.1 files and objects

Avviare il vostro computer in Safe Mode (regime sicuro)

1. Per Windows 7, XP e Vista. 2. Per Windows 8, 8.1 e 10. Fissare voci di registro create da Cerber 4.1.1 sul PC.

Per i sistemi operativi WindowsXP, Vista e 7:

1. Rimuovere tutti i CDs e DVDs, e quindi riavviare il computer dal menu “Start”.
2. Selezionare una delle due opzioni, esposte in seguito:

per i computer con unico sistema operativo: Premere ripetutamente il tasto “F8” durante il riavvio del vostro computer, dopo che appaia la prima schermata dell’avvio. Se il logo di Windows viene visualizzato sullo schermo, sarà necessario ripetere le stesse azioni.

donload_now_140

Per i computer con più sistemi operativi: I tasti freccia vi aiuteranno a selezionare il sistema operativo da avviare in “Safe Mode”. Premere il tasto “F8” nello stesso modo descritto sopra per i computer con unico sistema operativo.

donload_now_140

3. Dopo che viene visualizzata la schermata “Advanced Boot Options”, selezionare l’opzione Safe Mode desiderata, utilizzando i tasti freccia. Una volta effettuata la selezione, premere “Enter”.

4. Accedere al computer utilizzando il vostro account amministrativo.

donload_now_140

Mentre il computer è in Safe Mode, le parole “Safe Mode” appariranno in ciascuno dei quattro angoli del vostro schermo .

Fase 1: Aprire il menu Start.

donload_now_140

Fase 2: Tenendo premuto il tasto Shift, fare clic su Power, quindi su Restart.

Fase 3: Dopo il riavvio verrà visualizzato il menu menzionato sotto. Da lì si dovrebbe scegliere Troubleshoot.

donload_now_140

Fase 5: Una volta che il menu „Advanced Options“ si apre, fare clic su “Startup Settings“.

donload_now_140

donload_now_140

Fase 6: Fare clic su “Restart”.

donload_now_140

Fase 7: Vi verrà chiesto di riavviare. Si dovrebbe scegliere Safe Mode, premendo il numero corrispondente, in questo modo la macchina si riavvia.

Alcuni script dannosi possono modificare le voci di registro del computer per modificare le impostazioni diverse. Questo è il motivo per cui manuale di pulizia del database del Registro di Windows è fortemente raccomandato. Dal momento che il tutorial su come fare questo è un po ‘questo lento, si consiglia di seguendo il nostro articolo istruttivo su come risolvere le voci di registro.

Eliminazione automatica di Cerber 4.1.1 tramite il download di un programma moderno per l’eliminazione di software malevolo

1. Eliminazione di Cerber 4.1.1 con SpyHunter Anti-Malware Tool

Eliminazione Cerber 4.1.1 con SpyHunter Anti-Malware Tool

1. Installare SpyHunter, al fine di eseguire la scansione e rimuovere Cerber 4.1.1.2. Eseguire la scansione con SpyHunter, al fine di rilevare e rimuovere Cerber 4.1.1. Eseguire un backup dei vostri dati per proteggerli da future infezioni da Cerber 4.1.1.
Fase 1: Fare clic sul pulsante „Download”, per passare alla pagina di download di Spy Hunter.

È altamente raccomandato di eseguire una scansione prima di ordinare la versione completa del software per assicurarsi che questa versione di malware può essere rilevata da Spy Hunter.

Fase 2: Seguire le istruzione per il download a disposizione per qualsiasi browser.
Fase 3: Una volta installato Spy Hunter, attendere che si aggiorni da solo.

pets-by-myway-ads-virus

Fase 1: Una volta che il processo di aggiornamento è terminato, fare clic sul pulsante ‘Scan Computer Now’ button.

pets-by-myway-ads-virus
Fase 2: Dopo che Spy Hunter ha terminato la scansione del vostro computer per I file Cerber 4.1.1, fare clic sul pulsante “Fix Threats”, per eliminarli automaticamente e in modo permanente.

pets-by-myway-ads-virus

Fase 3: Una volta che le infiltrazioni nel vostro computer sono eliminate, si consiglia vivamente di riavviarlo.

Back up your data to secure it against attacks in the future

Importante! Prima di leggere le istruzioni per fare una copia di riserva di Windows, vi raccomandiamo vivamente di eseguire automaticamente backup dei vostri dati nel cloud e assicurarli contro qualsiasi tipo di perdita di dati dal dispositivo, anche contro le più serie. Vi invitiamo di leggere di più sul tema di backup e scaricare SOS Online Backup.

2. Recuperate i file crittografati da Cerber 4.1.1

Restore Files Encrypted by Cerber 4.1.1

Gli ingegneri di sicurezza raccomandano fortemente agli utenti di NON pagare riscatti e provare a recuperare i file danneggiati utilizzando altri metodi. Ecco alcuni suggerimenti:
Per ripristinare i dati, il vostro primo compito sarà quello di controllare di nuovo per copie nascoste in Windows, utilizzando questo software:

Se questo metodo non funziona, Kaspersky i EmsiSoft ha fornito dei descryptor per i file crittografati con questo e con altri algoritmi:

Un altro modo per recuperare i file, attraverso il quale potete provare a recuperare i file è il software per il ripristino dei dati. Ecco alcuni esempi di programmi per il recupero dei dati:

C’è anche una opzione tecnica di utilizzare sniffer di rete (programma per computer che rileva e registra diversi tipi di informazioni riservate, in particolare le password segrete, necessarie per accedere ai file o alle reti):

Altro modo di decifrare i file è tramite Network Sniffer (Sniffer di rete), per ottenere la chiave per crittografia, mentre i file sono criptati al vostro computer. Network Sniffer è un programma e/o dispositivo, con cui si effettua la supervisione del flusso di informazioni in una rete, come il traffico Internet o i pacchetti Internet. Se avete un programma sniffer, istallato prima che accade l’attacco, voi potete ottenere informazione sulla chiave per la decrittazione. Per avere ulteriori informazioni fare clic sul seguente articolo .

Per scelta: Uso di strumenti software Anti - Malware alternativi
STOPZilla AntiMalware
1. Scaricare e installare STOPZilla Anti-malware, al fine di eseguire la scansione ed eliminare Cerber 4.1.1.
Fase 1: Scaricare STOPZilla cliccando qui..
Fase 2: Apparirà una finestra pop-up. Cliccare sul pulsante ‘Save File’. Nel caso in cui non viene conservato, cliccare sul pulsante di download per salvarlo in seguito.

pets-by-myway-ads-virus

Fase 3: Dopo aver scaricato la configurazione, sarà necessario solo aprirla.
Fase 4: Dovrebbe apparire la finestra per l’installazione. Fare clic sul pulsante ‘Next’.

pets-by-myway-ads-virus
Fase 5: Segnare il cerchio corrispondente a ‘I accept the agreement’
pets-by-myway-ads-virus
Fase 6: Controllare di nuovo e dopo premere il pulsante ‘Install’.
pets-by-myway-ads-virus
Fase 7: Una volta che il processo di installazione è terminato, premere il pulsante ‘Finish’.

2. Eseguire la scansione del computer con STOPZilla AntiMalware, al fine di eliminare automaticamente tutti i file, associati a Cerber 4.1.1.
Fase 1: Avviare STOPZilla se non lo avete ancora fatto dopo il processo di installazione.
Fase 2: Attendere che il software si aggiorni automaticamente e dopo cliccare sul pulsante ‘Repair Now’. Se non si avvia la scansione automatica, premere il pulsante ‘Scan Now’.
pets-by-myway-ads-virus
Fase 3: Dopo aver eliminato tutte le minacce e oggetti associati al software malevolo, si consiglia di riavviare il computer.

Latest Stories

*/ ?>

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.