Le rançongiciel Cerber - comment faire pour supprimer le virus du ransomware Cerber ?

C’est quoi le rançongiciel Cerber ?

Laissez comprendre ce qu'est un rançongiciel ? Les rançongiciels sont des logiciels malveillants qui ont la capacité de verrouiller votre ordinateur, les données et les fichiers enregistrés ou de crypter vos fichiers afin que vous n'y ayez plus accès. Pour débloquer l'ordinateur, il demande une rançon (monnaie numérique) en échange. Après avoir payé la rançon, il n'y a aucune garantie que vous récupérerez vos données.

Cerber est un virus de cryptage de fichier nuisible qui verrouille le fichier des utilisateurs en utilisant un algorithme de cryptage fort. Ce logiciel malveillant a été mis à jour plusieurs fois et peut actuellement ajouter des extensions de fichier .cerber, .cerber2, .cerber3, .af47, .a48f, . [Caractères aléatoires] à chacun des fichiers ciblés. Une fois qu'il ait terminé, ce malware supprime une note de rançon où les victimes sont invitées à payer la rançon afin de récupérer leurs fichiers.

# DECRYPTER MES FICHIERS # .txt, # DECRYPTER MES FICHIERS # .html, # AIDE à DECRYPTER # .html, _LIRE_CE_FICHIER.hta, * AIDE_AIDE_AIDE [caractères aléatoires] *. hta, _L_I_R_E ___ C_E ___ [aléatoire] _. txt ou _L_I_R_E ___ C_E ___ [aléatoire] _. hta. Le ransomware a subi différents changements de nom dans le passé pour la note de rançon.

Lire également :  Le récent rançongiciel Saturn en tant que service permet à tout un chacun de devenir distributeur de rançongiciel.

Analyse gratuite et correction de votre PC! Débarrassez-vous rapidement des logiciels malveillants!

Analyse gratuite et correction de logiciels malveillants Offre d'une durée limitée*

Un détail intéressant sur le rançongiciel Cerber est qu'il n'attaquera pas votre ordinateur si vous habitez dans un de ces pays -Azerbaïdjan, Arménie, Géorgie, Biélorussie, Kirghizistan, Kazakhstan, Moldavie, Turkménistan, Tadjikistan, Russie, Ouzbékistan, Ukraine. Les chercheurs ont remarqué une campagne de maladresse massive par ce rançongiciel qui avait l'intention d'attaquer les gens en Corée du Sud. Si les pays mentionnés ci-dessus ne figurent pas dans votre pays de résidence, ce virus peut également toucher votre ordinateur.

Comment œuvre le rançongiciel Cerber ?

1. Au prochain démarrage de l'ordinateur, il se configurera automatiquement.
2. Une fois que l'ordinateur devient actif, le rançongiciel commence à envoyer des messages d'erreur aléatoires, puis redémarre votre ordinateur en mode sans échec avec mise en réseau.
3. Malheureusement, le virus redémarre à nouveau votre ordinateur, cette fois dans un régime normal, et lance le processus de cryptage.
4. Le dernier de sa version a reçu une mise à jour énorme - maintenant il utilise la couleur rouge pour la note de rançon utilisée pour avertir la victime sur les données cryptées.
5. Une fois le cryptage terminé, le rançongiciel Cerber supprime les notes de rançon dans chaque dossier qui stocke les fichiers infectés. Ces notes sont nommées comme DÉCRYPTER MES FICHIERS. L'extension de fichier peut varier, il peut s'agir d'un fichier .html, .txt ou .vbs. Le fichier .vbs va également lire un message sonore, qui dit :

La note de rançon explique ce qui est arrivé à votre ordinateur et fournit des instructions sur la façon de récupérer vos fichiers. Peu de temps après, les développeurs de virus vous demanderont de télécharger le navigateur Tor pour accéder au site Web où vous pourrez payer anonymement la rançon. Le rançongiciel demande à la victime de payer 1,25 Bitcoins, soit environ 512$ US. Il menace également que la rançon soit doublée si la victime ne paie pas dans les sept jours. Si la rançon est payée, ce rançongiciel devrait supposément fournir un lien de téléchargement unique pour obtenir un outil de décryptage Cerber. Sinon, il n'y a aucun moyen de déchiffrer les fichiers gratuitement. Comme tout autre virus de chiffrement de fichiers, un utilisateur peut le rencontrer via des courriers indésirables contenant un fichier .ZIP, .DOCM, .PDF ou .JS trompeur.

Histoire du rançongiciel Cerber :

Ce rançongiciel a fait sa première apparition en mars 2016 sur des forums underground russes, sur lesquels il était proposé à la location dans un programme d'affiliation. Depuis lors, il s'est propagé massivement via des kits d'exploitation, infectant les utilisateurs du monde entier, ciblant principalement la région APAC (Asie-Pacifique). Désormais, il existe six versions majeures.

Les dernières mises à jour datent de juillet 2017 : les experts en sécurité signalent que Cerber poursuit son expansion et recherche de nouvelles méthodes de monétisation. Récemment, une attaque massive a frappé la Corée du Sud. De nombreux pays asiatiques ont également souffert de ce rançongiciel. Les chercheurs ont observé que les cybercriminels ont répandu des logiciels malveillants dans cette région pendant quelques mois avec l'aide de Magnitude exploit kit.

L'autre méthode pour diffuser ce rançongiciel est à l'aide de malvertising. Quand un utilisateur visite un site Web malveillant, le logiciel malveillant vérifie quelques détails sur les utilisateurs afin de décider - de lancer l'attaque ou non. Ces "portes" sont connues sous le nom de « Magnigate » qui donne l'adresse IP de l'utilisateur, le fournisseur de services Internet et les informations sur le système d'exploitation et le navigateur Web. Afin de stimuler leur chiffre d'affaires, le créateur du rançongiciel Cerber a créé une nouvelle variante capable de voler les données du portefeuille Bitcoin. Après l'infiltration, il vole les mots de passe stockés dans les navigateurs Internet Explorer, Google Chrome et Mozilla Firefox.  

Les chercheurs ont dévoilé que ce rançongiciel particulier modifie les règles du pare-feu Windows et empêche la communication de l'antivirus installé et le monde, rendant impossible l'installation de mises à jour antivirus ou l'envoi de rapports au développeur. Selon les chercheurs, l'adresse du portefeuille Bitcoin utilisée par cette version du très infâme rançongiciel reste le même.

Lire également :  Comment faire pour supprimer VMProtect &VMProtectss.exe XMRig Miner de votre PC ?

Il est très probablement impossible de déchiffrer les fichiers verrouillés par le rançongiciel Cerber sans payer la rançon. Cependant, il n'est pas recommandé de payer parce que :

1. Il encourage seulement les cybercriminels à poursuivre leurs activités frauduleuses et à créer plus de virus informatiques.
2. De plus, gardez à l'esprit qu'il n'y a AUCUNE garantie que les cybercriminels vont réellement vous aider à récupérer vos fichiers.
3. Vous ne pouvez pas recevoir le décrypteur, même si vous payez.
4. En outre, cet outil de décryptage peut être corrompu, et peut apporter d'autres logiciels malveillants sur votre ordinateur et de cette façon, l'endommager encore plus.

La chronologie des mises à jour du rançongiciel Cerber :

Cerber Decrytor :

Cet outil est principalement offert par les auteurs de Cerber, qui l’annoncent comme un programme qui supposément peut récupérer les données cryptées de la victime.

Cerber2 ransomware :

Il a été distribué via des téléchargements drive-by, des campagnes malveillantes et des campagnes d'email malveillantes. Ce virus verrouille les données en utilisant un algorithme de cryptage presque incassable et leur ajoute l'extension .cerber2.

Cerber3 ransomware :

Il y avait des changements concernant sa note de rançon. Auparavant, il demandait la rançon dans un fichier # DECRYPTER MES FICHIERS # .txt ou # DECRYPTER MES FICHIERS # .html, maintenant les instructions de récupération sont présentées dans # AIDE à DECRYPTER # .html.

Cerber c4.0 :

Il a amélioré son algorithme de cryptage et affiche désormais des extensions constituées d'un fouillis de nombres différents à la place.

Cerber 4.1.0 :

La version précédente de ce rançongiciel cerber2 et les extensions cerber3 étaient les signes distinctifs des versions, maintenant le virus quitte l'extension à 4 chiffres ou n'ajoute aucune extension.

Cerber 4.1.1 :

La version vient dans le paquet "bonus" avec la version 4.1.0. Il est susceptible de se propager via le même kit d'exploit que la version 4.1.0. Les chercheurs sur les virus ont remarqué que Cerber a maintenant changé son adresse IP afin que le suivi de la source d'infection devienne plus complexe.

Cerber 4.1.4 :

Le virus s’est montré juste après l'apparition de la version 4.1.1, et ces virus sont très similaires. Cerber 4.1.1 et Cerber 4.1.4 cryptent les fichiers en utilisant les mêmes méthodes, corrompent le nom de fichier original et ajoutent une extension personnalisée de quatre caractères au lieu de l'originale.

Cerber 4.1.5 :

Le rançongiciel est apparu au début du mois de Novembre 2016 et a déjà infecté des centaines d'ordinateurs. Cette version copie les techniques utilisées dans le passé et ne diffère guère des versions précédentes. Les fichiers cryptés deviennent méconnaissables car les virus brouillent leurs noms de fichiers.

Supprimer le virus de votre ordinateur n'aidera pas à éliminer le codage des fichiers. Essayer de récupérer vos fichiers en utilisant l'outil suggéré par les pirates Cyber decryptor n'est pas sûr non plus. La meilleure décision est de se tourner vers des moyens plus fiables pour récupérer vos données. Le moyen le plus rapide et le plus sûr d'y parvenir consiste à importer vos données à partir d'un périphérique de sauvegarde. Nous vous recommandons fortement de NE PAS conserver les copies de vos données sur un stockage Cloud en ligne, car certains virus peuvent y accéder via votre connexion internet et les corrompre également. Il est préférable de conserver vos fichiers sur un lecteur externe et de le mettre à jour régulièrement.

Cerber 4.1.6 :

Le rançongiciel a vu le jour en fin novembre 2016, plus ou moins un mois après l'apparition de la 5ème édition de la quatrième version du rançongiciel. Cette modification du virus n'a pas d'améliorations remarquables et fonctionne comme ses versions précédentes. Le virus fusionne les algorithmes de cryptage RSA et RC4 pour créer un cryptage incontrôlable qui rend inutiles les fichiers personnels, les documents, les bases de données et d'autres fichiers importants.

Le prix de la rançon est de 501 $, et les criminels ordonnent à la victime de transmettre cette somme d'argent via le système Bitcoin dans les cinq jours ; sinon, ils augmentent le prix de la rançon.

Cerber 5.0.1 :

Cette version de rançongiciel a été rapidement lancée pour sauvegarder les infections précédentes. Il continue de crypter des fichiers avec des algorithmes RSA-2048 et AES-256. C'est pourquoi les utilisateurs, piégés par Cerber, pourraient se conformer aux demandes des pirates pour récupérer les fichiers. Cette version s'est répandue comme un faux avertissement par courriel avec d'énormes sommes de facturation.

Red Cerber ransomware :

Les changements clés incluent l'introduction des demandes dans le fichier * aide_aide_aide [caractères aléatoires] *. Hta. La principale caractéristique étonnante du malware réside dans le processus d'exécution. Il y a aussi des rapports qui stipulent que Cerber a été repéré dans le web sombre comme RaaS (ransomware-as-a-service). Ce qui veut dire (rançongiciel comme service).

Cerber 6 :

La dernière version, 6ème édition, présente des fonctionnalités anti-sandboxing et anti-VM améliorées. Il utilise également des fichiers SFX, c'est-à-dire des fichiers auto-extractibles. En plus de se déguiser en spams, il utilise également des kits d'exploitation, des chevaux de Troie et des bogues dans des utilitaires de programmes bien connus pour multiplier les dégâts sur la communauté virtuelle.

Analyse gratuite et correction de votre PC! Débarrassez-vous rapidement des logiciels malveillants!

Analyse gratuite et correction de logiciels malveillants Offre d'une durée limitée*

Sources d'entrée de la distribution Cerber

La méthode la plus facilement distribuée de ce virus est via les spams, alors attention, vous n'ouvrez aucun email suspect provenant d'expéditeurs inconnus. Un plus grand soin est nécessaire lors de l'ouverture de pièces jointes provenant de sources inconnues, elles pourraient être accompagnées de courriels suspects. Souvent, les cybercriminels afficheront ces courriels en tant que représentants d'institutions gouvernementales ou d'application de la loi, il est donc recommandé de toujours vérifier la légitimité de ces courriels si vous en recevez.

Les chevaux de Troie sont également utilisés par le virus Cerber pour entrer dans votre ordinateur. Pour cette raison, il est conseillé d'éviter les sites de téléchargement non fiables car vous pourriez télécharger un fichier infecté auquel est attaché ce transporteur de virus malveillant. Le plus récent disque de distribution de rançongiciels vise les vulnérabilités dans les logiciels légitimes qui poussent les rançongiciels vers les ordinateurs cibles.

Mises en garde contre Cerber Ransomware

Le moyen le plus efficace de protéger votre PC contre les infestations de ce rançongiciel est de se munir d’un logiciel anti-malware en permanence. Restez à l'écart des e-mails et messages suspects ! Si le lecteur externe est branché sur l'ordinateur au moment de l'infiltration du virus, les fichiers stockés seront probablement également cryptés. Assurez-vous donc de débrancher le périphérique de stockage externe de votre ordinateur chaque fois que vous sauvegardez des fichiers.