Présentation du ransomware Cerber
Comme tous les ransomwares issues de groupes professionnels, ce dernier évolue dans le temps.
Actuellement, nous en sommes à la version 6.
Voici un résume de tous les campagnes et versions.
Initialement, Cerber modifie les extensions de fichiers chiffrés en .cerber et dépose les fichiers:
Première variante du ransomware Cerber en vidéo :# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.vbs
Dernière variante :
- Extensions aléatoires
- instructions en français avec des fichiers .hta
Vous devez acheter en Bitcoin le Cerber Decryptor.
Voici la page contenant les instructions d'achat :
et dernière variante en français :
Version texte des instructions de Cerber Ransomware :
C E R B E R
-----------
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files follow the instructions:
---------------------------------------------------------------------------------------
1. Download and install the "Tor Browser" from https://www.torproject.org/
2. Run it
3. In the "Tor Browser" open website:
http://decrypttozxybarc.onion/6FBA-1FBA-BD8D-0042-FFF5
4. Follow the instructions at this website
---------------------------------------------------------------------------------------
«...Quod me non necat me fortiorem facit.»
Les documents chiffrés par le Ransomware Cerber avec l'extension .cerber :
Microsoft peut avec Windows Defender parfois le détecter en Ransom:Win32/Cerber.B ou Behaviour:Win32/Cerber.gen!A
Ransom.Cerber chez Malwarebytes Anti-Malware
Chez NOD32 Win32/FileCoder.Cerber
Lorsque le dropper est bien détecté, on obtient :
Le ransomware Cerber évolue et est de plus en plus sophistiqué pour échapper aux détections antivirus ou programme anti-ransomware.SHA256: e9e8510d4ae6d8b2498079ec3100452dc78dbec24b10bf0fcaac84538f5d412a
File name: a.exe
Detection ratio: 25 / 54
Analysis date: 2016-06-15 07:06:44 UTC ( 2 minutes ago )
Antivirus Result Update
AVG Ransomer.LIQ 20160615
AVware Trojan.Win32.Reveton.a (v) 20160615
Ad-Aware Trojan.Ransom.Cerber.1 20160615
Arcabit Trojan.Ransom.Cerber.1 20160615
Avast Win32:Malware-gen 20160615
Avira (no cloud) TR/Crypt.XPACK.Gen7 20160614
Baidu Win32.Trojan.FileCoder.a 20160614
BitDefender Trojan.Ransom.Cerber.1 20160615
Cyren W32/Cerber.A.gen!Eldorado 20160615
DrWeb Trojan.Encoder.4794 20160615
ESET-NOD32 Win32/Filecoder.Cerber.B 20160615
Emsisoft Trojan.Ransom.Cerber.1 (B) 20160615
F-Prot W32/Cerber.A.gen!Eldorado 20160615
F-Secure Trojan.Ransom.Cerber.1 20160615
Fortinet W32/Cerber.B!tr 20160615
GData Trojan.Ransom.Cerber.1 20160615
Malwarebytes Ransom.Cerber 20160615
eScan Trojan.Ransom.Cerber.1 20160615
Microsoft Ransom:Win32/Cerber.B 20160615
Panda Trj/GdSda.A 20160614
Qihoo-360 HEUR/QVM20.1.D0BE.Malware.Gen 20160615
Symantec Trojan.Cryptolocker.AH 20160615
Tencent Win32.Trojan.Filecoder.Taev 20160615
TrendMicro-HouseCall Ransom_HPCERBER.SM 20160615
VIPRE Trojan.Win32.Reveton.a (v) 20160615
La dernière version est la version 6.
Voici un tableau qui récapitule les techniques de contournement antivirus :
Comment le ransomware Cerber est distribué
Toujours par les mêmes méthodes, on retrouve notamment : Le schéma suivant récapitule la second partie à travers des campagnes de mails malicieux et des scripts malveillants (Comment se protéger des scripts malicieux sur Windows).
Plus de détails sur les modes de distributions sur la page : Ransomware Cerber.
Sécuriser son Windows : Comment éviter les ransomwares
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.
Récupérer les fichiers Cerber
La récupération des fichiers chiffrés par le ransomware Cerber est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malicieux sur Windows
et limiter PowerShell : Les virus Powershell
et plus globalement, suivez les conseils de la page : Sécuriser son Windows.