Die Cerber-Ransomware verlangt vom Benutzer, circa 500 US-Dollar in Bitcoins zur Entschlüsselung der Dateien zu zahlen. Es ist verlautet, dass das Cerber-Krypto-Virus die Benutzer massiv angreift, indem es die Dateien mit starker AES-Verschlüsselung verschlüsselt. Alle Benutzer, die von dieser Ransomware betroffen worden sind und deren Dateien sind mit Dateinamenerweiterungen .CERBER verschlüsselt, müssen unverzüglich diese Ransomware entfernen. Es ist zu empfehlen, dass man andere Wege zur Wiederherstellung der Daten nutzt, anstatt den Verbrechern Geldmittel zu zahlen.
Zusammengefasste Information über die Bedrohung
| Name |
Cerber |
| Typ | Ransomware |
| Kurze Beschreibung | Die Schadsoftware verschlüsselt die Dateien des Benutzers, nachdem sie ihn gezwungen hat, den Computer neu zu starten, wobei sie „Erpresserbriefe“ schickt /genannt “# DECRYPT MY FILES #”/ |
| Symptome | Der Benutzer kann „Erpresserbrefe“ und „Anweisungen“ bekommen, sowie eine Tonaufnahme, alle auf eine Webseite und Decodierer verlinkt. |
| Verbreitungswege | Per Exploit kit. |
| Erkennungswerkzeug |
Überprüfen Sie, ob Ihr System von Cerber angegriffen worden ist. Download
Werkzeug zum Entfernen von Schadsoftware
|
| Nutzererfahrung | Beteiligen Sie sich an unserem Forum, um über die CERBER-Ransomware zu diskutieren.. |
Die Cerber-Ransomware – Verbreitung
Diese Krypto-Schadsoftware kann bösartige Exploit-Skripte nutzen, um sich auf Ihren Computer herunterzuladen. Diese Methode erhöht die Wahrscheinlichkeit von erfolgreichem Angriff. Solche Kits können normalerweise durch bösartige Makros in Microsoft-Office- oder PDF-Dokumenten verbreitet werden. Also wenn Sie so ein Dokument öffnen und den Editiermodus aktivieren, kann es darin einen Code zur Ansteckung mit dem Kit gegeben haben. Die meisten Benutzer täuschen sich, solche unerwünschte E-Mails zu öffnen, weil sie den von einem angesehenen oder bekannten Sender gesendeten ähneln können. Die am meisten imitierten Sender sind normalerweise:
- Ihr Chef.
- Jemand von Ihrer Kontaktliste.
- PayPal.
- Amazon.
- eBay.
- AliExpress und Alibaba.
- Ihre Bank.
- Facebook oder andere Sozialnetzwerke.
Die Cerber-Ransomware in allen Einzelheiten
Nachdem die Ransomware ausgeführt worden ist, erstellt sie einen Ordner mit kundenspezifischen Ziffern im Verzeichnis % AppData Windows%, zum Beispiel:
- {0219HH-S24NI2-NUS-2JISAI-PL0KK}
Nicht nur das, sondern auch im Verzeichnis umbenennt die Ransomware zufällige ausführbare Dateien, die ihre verschiedene Module sein können, die verschiedene Funktionen auf dem Computer des Benutzers erfüllen. Die Forscher von Schadsoftware berichten, dass ein dieser Module den Standort des Benutzercomputers detektiert. Im Falle, dass sich der Computer des Opfers in einem der Länder aus Osteuropa befindet, aktiviert die Ransomware keine Verschlüsselung und wird sie selbstständig gelöscht. Im Falle aber, dass sich der Benutzer in jedem anderen Land befindet, führt Cerber den folgenden Befehl aus, damit Sie Ihren Computer neu starten:
→ “C:\Windows\System32\bcdedit.exe /set {info} safeboot network”
Normalerweise erfolgt das mit einer zusätzlichen Meldung über einen falschen Fehler, die sich bei dem Benutzer darum entschuldigt, dass er seinen Computer neu starten muss. Die Fehlermeldungen können „Ein kritischer Systemprozess hat den Zugriff verweigert“ lauten, mit dem Ausrufezeichensymbol darauf, und sie melden darüber, dass Sie sich vom System abmelden.
Was die Dateiverschlüsselung betrifft verwendet Cerber unterschiedliche Module zur Verschlüsselung der Dateien des Benutzers. Ein der Module ist eine Datei, die eine Liste von Dateinamenerweiterungen erhält, auf die der Enkryptor untersucht. Das sind die Dateinamenerweiterungen, auf die sich Cerber richtet und die sie verschlüsseln kann:
→ .contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv (Source: Bleeping Computer)
Nachdem das Scannen abgeschlossen ist, verschlüsselt Cerber die Dateien mit einem 256 Bit AES Verschlüsselungsalgorithmus, klassifiziert als Suite.B-Verschlüsselung, die von der USA-Regierung zur Verschlüsselung von vertraulichen Daten benutzt wird. Cerber umbenennt auch die Dateinamenerweiterung in .CERBER. So sieht eine verschlüsselte Datei vor und nach der Verschlüsselung:
→ Vor der Verschlüsselung:
New Text Document.txt
Nach Cerber:
2308z2b.cerber
Cerber hinterlässt auch ein paar Dateien vom Typ „Erpresserbrief“ auf der Arbeitsoberfläche des Benutzers:
- # DECRYPT MY FILES #.html
- # DECRYPT MY FILES #.txt
- # DECRYPT MY FILES #.vbs
Das “.vbs”-Skript ist besonders interessant, weil die betroffenen Benutzer berichten, dass der Erpresserbrief von Text in eine Audiobotschaft übertragen worden ist. Cerber benachrichtigt die Benutzer, indem sie mehrmals „Achtung! Ihre Dateien sind verschlüsselt worden!“ wiederholt, samt kurzen Hinweisen was weiter zu tun ist. Das gilt als eine Angstmacherei der Entwickler der Cerber-Ransomware, um den Benutzern Angst einzujagen.
Im Unterschied zu den anderen Erpresserbriefen, hat Cerber eine kurze Mitteilung für den betroffenen Benutzer:
→ “CERBER
Ihre Dokumente, Bildern Datenbanken und weitere wichtige Dateien sind verschlüsselt!
Um die Dateien zu entschlüsseln, folgen Sie den Anweisungen:
1. Laden Sie < von https://www.torproject.org/ herunter und installieren Sie.
2. Führen Sie es aus
3. In <> öffnen Sie die Webseite:
// {Hyperlink auf den Entschlüsselungsservice hier mit der .onion Domain} //
4. Folgen Sie den Anweisungen dieser Webseite. ”
Auf dem Entschlüsselungshyperlink unterstützt die Ransomware 12 Sprachen, von denen die unterschiedlichen Benutzer auswählen können. Sie hat einen Countdown-Timer und einen Service, der Informationen darüber liefert, wie Sie das Lösegeld bezahlen können und ob das Geld gezahlt worden ist oder nicht.
Entfernen von der Cerber-Ransomware und Wiederherstellung von .CERBER verschlüsselten Dateien
Was das Entfernen der Ransomware anbelangt, ist es zu empfehlen, dass man eine erweiterte Software gegen Schadsoftware benutzt, weil sich die Ransomware selbst nach der Verschlüsselung löschen kann, aber das Exploit-Kit kann immer noch auf dem Computer gespeichert werden. Für maximale Effizienz ist es zu empfehlen, dass man das Entfernen des Virus benutzt, das unten schrittweise beschrieben ist.
Falls Sie erfolgreich die Dateien wiederherstellen möchten, wird die direkte Entschlüsselung nicht klappen, weil sie nicht für diese Ransomware geschaffen. Trotzdem halten wir Sie auf dem neuesten Stand in unserem Forum. Inzwischen haben wir alternative Methoden zur Wiederherstellung von Dateien vorgesehen /unten/.
Cerber manuell von Ihrem Computer entfernen
Achtung! Wichtige Information über die Bedrohung Cerber:Eingriff in die Systemdateien und Register. So kann Ihr Computer beschädigt werden. Falls Ihre Computerkenntnisse nicht auf professioneller Ebene sind, haben Sie keine Angst. Sie können selbst die Beseitigung nur im Rahmen von 5 Minuten durchführen, mit Hilfe von einem Tool zum Entfernen von Schadsoftware.
1. Starten Sie Ihren Computer im abgesicherten Modus. (Safe Mode)
1.Für Windows 7, XP und Vista.
2. Für Windows 8, 8.1 und 10.
Fix registry entries created by Cerber on your PC.– für Betriebssysteme WindowsXP, Vista und 7:
1. Werfen Sie alle CDs und DVDs aus, und dann starten Sie Ihren Computer vom Start-Menü neu.
2. Wählen Sie eine der Optionen unten:
– – Für Computer mit einem Betriebssystem:: Drücken Sie mehrfach die Taste “F8” während des Neustarts Ihres Computers, nachdem der erste Ladebildschirm erschienen ist. Im Falle, dass das Windows-Logo auf dem Bildschirm erscheint, müssen Sie dieselben Schritte wiederholen.
– für Computer mit mehreren Betriebssystemen: Die Pfeiltasten werden Ihnen bei der Wahl des Betriebssystems, das Sie in Safe Mode starten möchten, helfen. . Drücken Sie die Taste “F8” wie oben für Computer mit einem Betriebssystem beschrieben.
3. Nachdem der Bildschirm mit “Advanced Boot Options” erschienens ist, wählen Sie die Option Safe Mode die Sie möchten, mit Hilfe der Pfeiltasten. Nachdem Sie Ihre Wahl gemacht haben, drücken Sie “Enter“.
4. Melden Sie sich an, indem Sie Ihr Admin-Konto nutzen.
Während Ihr Computer in Safe Mode ist, werden die Wörter “Safe Mode” in jeder der vier Ecken Ihres Computers erscheinen.
Schritt 1: Öffnen Sie das Start-Menü.
Schritt 2: Halten Sie die Taste Shift klicken Sie auf Power und dann Restart.
Schritt 3: Nach dem Neustart erscheint das unten genannte Menü. Da wählen Sie Troubleshoot.
Schritt 4: Sie werden das Menü Troubleshoot sehen. Da wählen Sie Advanced Options.
Schritt 5: Nachdem das Menü Advanced Options erschienen ist, klicken Sie auf Startup Settings.
Schritt 6: Klicken Sie auf “Restart“.
Schritt 7: Das Neustartmenü wird erscheinen. Wählen Sie Safe Mode by pressing its corresponding number and the machine will restart.
Einige bösartige Skripte können die Registry-Einträge des Computers ändern, um verschiedene Einstellungen zu ändern. Aus diesem Grund manuelle Säuberung von Ihrer Windows-Registry-Datenbank wird dringend empfohlen. Da die Anleitung, wie dies zu tun, ein bisschen lenghty ist, empfehlen wir nach unserer instruktiv Artikel über Registry-Einträge zu fixieren.
Finden schädliche Dateien erstellt von Cerber
1. Für Windows 8, 8.1 und 10. 2. Für Betriebssysteme WindowsXP, Vista und 7.For Newer Windows Operating Systems
Schritt 1:
Auf Ihrer Tastatur drücken + R und schreibe explorer.exe in dem Run Textbox und klicken Sie dann auf die Ok Taste.
Schritt 2:
Klicke auf your PC von der schnellen Zugriffsleiste . Dies ist in der Regel ein Symbol mit einem Monitor und sein Name ist entweder “My Computer”, “My PC” oder “This PC” oder was auch immer Sie haben es benannt.
Schritt 2:
Navigieren Sie zu dem Suchfeld in der oberen rechten Ecke des PC-Bildschirms und der Art “fileextension:” und wonach geben Sie die Dateierweiterung. Wenn Sie sich für böswillige exe-Dateien suchen, kann ein Beispiel sein “fileextension:exe”. Danach werden sie einen Raum verlassen und den Dateinamen, den Sie sich die Malware erstellt hat glauben eingeben. Hier ist, wie es erscheinen kann, wenn Ihre Datei gefunden wurde:
N.B. Wir empfehlen für die grüne Ladebalken im Navigationsfeld zu warten, für den Fall, füllen Sie den PC für die Datei ist auf der Suche und haben sie noch nicht gefunden.
Für Betriebssysteme WindowsXP, Vista und 7:
Bei älteren der sollte herkömmlichen Ansatz des Windows-Betriebssystem sein, das effektiv ein:
Schritt 1:
Klicken Sie auf das Startmenü Symbol (in der Regel auf dem Boden links) und wählen Sie dann die Suchen Präferenz.
Schritt 2:
Nachdem das Suchfenster erscheint, wählen Sie More Advanced Options aus dem Suchassistent Box. Eine andere Möglichkeit ist, indem Sie auf All Files and Folders.
Schritt 3:
Danach geben Sie den Namen der Datei, die Sie suchen, und klicken Sie auf die Schaltfläche Suchen. Dies könnte einige Zeit dauern, nach der Ergebnisse angezeigt. Wenn Sie die bösartige Datei gefunden haben, können Sie seine Position zu kopieren oder zu öffnen, indem Sie Rechtsklick auf sie zu kopieren oder zu öffnen.
Jetzt sollten Sie jede Datei unter Windows entdecken können, solange sie auf der Festplatte ist und nicht über eine spezielle Software verborgen.
Automatisches Entfernen von Cerber durch eine erweiterte Anti-Malware-Programm herunterzuladen.
Entfernen Cerber mit SpyHunter Anti-Malware Tool
1. Installieren Sie SpyHunter zu scannen und entfernen Cerber.2. Scannen mit SpyHunter zum Erkennen und Entfernen Cerber.
Sichern Sie Ihre Daten, die sie vor Infektionen und Datei von Cerber in Zukunft verschlüsseltSpy Hunter ist ein Scanningtool, das die Bedrohung nur erkennen wird. Im Falle, dass Sie die Bedrohung automatisch entfernen lassen möchten, ist es notwendig, dass Sie die volle Version des Anti-Schadsoftware-Tools kaufen. Erfahren Sie mehr über das Anti-Schadsoftware-Tool SpyHunter / SpyHunter deinstallieren
Schritt 2: Führen Sie sich von den Download-Anweisungen für jeden Browser zur Verfügung gestellt.
Schritt 3: Nachdem Sie SpyHunter installiert haben, warten Sie auf automatisch aktualisieren .
Schritt 1: Nach der Update-Vorgang abgeschlossen ist, klicken Sie auf die ‘Scan Computer Now’ Taste.
Schritt 2: Nach SpyHunter hat Ihren PC für alle Cerber Dateien, finden Sie auf der Seite “Fix Bedrohungen”, um sie automatisch und dauerhaft zu entfernen.
Schritt 3: Sobald die Einbrüche auf Ihrem PC entfernt wurden, ist es sehr zu empfohlen neu starten.
Erstellen Sie Sicherungskopie Ihrer Daten, um sie vor zukünftigen Angriffen und Infektionen zu schützen
WICHTIG! Empfehlen wir Ihnen, automatisch Sicherungskopie Ihrer Daten mit einem Cloud-Dienst zu erstellen und sie gegen allerlei Datenverluste (sogar gegen die schwersten Datenverluste) auf Ihrem Gerät zu sichern. Es ist empfehlenswert, SOS Online Backup .”
Entfernen Cerber von alternativen Antischadsoftware-Tools
STOPZilla Anti MalwareSchritt 1: Laden Sie hier herunter.
Schritt 2: In dem erschienenen Fenster klicken Sie auf ‘Save File’. Im Falle, dass keine Speicherung erfolgt, klicken Sie auf Download und speichern Sie später.
Schritt 3: ANachdem Sie die Konfiguration heruntergeladen haben, müssen Sie sie öffnen.
Schritt 4: The installer should appear. In dem erschienen Fenster klicken Sie auf ‘Next’.
Schritt 5: Kreuzen Sie ‘I accept the agreement’ an, nachdem Sie den Text gelesen haben und mit den Bedingungen einverstanden sind. Klicken Sie dann wieder auf ‘Next’.
Schritt 6: Prüfen Sie noch einmal ihre Wahl und klicken Sie dann auf ‘Install’.
Schritt 7: Nachdem der Installierungsprozess abgeschlossen ist, klicken Sie auf ‘Finish’.
2.Scannen Sie Ihren Computer mit STOPZilla Anti Malware, zum vollständigen Entfernen aller Dateien, die mit der Schadsoftware Cerber verbunden sind.
Schritt 1: Starten Sie STOPZilla, falls Sie das nach dem Installierungsprozess noch nicht gemacht haben..
Schritt 2: Warten Sie auf die automatische Aktualisierung der Software und klicken Sie auf ‘Repair Now’. Im Falle, dass kein Scannen automatisch beginnt, klicken Sie auf ‘Scan Now’.
Schritt 3: Nach dem Entfernen aller Bedrohungen und Objekte, die mit der Schadsoftware verbunden sind, wäre es gut, wenn Sie Ihren Computer neustarten.
