Что из себя представляет вирус Cerber

Cerber ransomware – это один из двух самых опасных вирусов-вымогателей последних лет. Этот вирус впервые появился в начале 2016 года, и с тех пор его создатели постоянно развивают его, выпуская новые дополнения и версии. Самая первая версия вируса заразила десятки тысяч компьютеров и привлекла пристальное внимание специалистов по борьбе с вирусами. Спустя несколько месяцев командный центр вируса был обнаружен и взломан, а все пользователи, чьи файлы были зашифрованы, получили возможность восстановить их бесплатно. Однако, это была первая и последняя победа в борьбе с Cerber. После этого, разработчики вируса начали очень часто обновлять вирус, выпуская новые версии до того, как специалистам удавалось расшифровать предыдущие. На сегодняшний день мы сталкиваемся уже с четвертой версией Cerber. Версии с 2 по 4 пока что не удалось расшифровать, так как каждое обновление вируса вносит некоторые изменения в его код. Эти изменения не видны рядовому пользователю, и не имеют никакого значения для жертв вируса, однако, для тех, кто пытается взломать код программы – это просто катастрофа.

Единственное изменение, которое было заметно для пользователей – это постепенное увеличение суммы выкупа. Сначала выкуп составлял порядка $500, однако на сегодняшний день он составляет от $600 до $1200. Вирус использует довольно агрессивную модель поведения. Он практически не скрывается от пользователя, как другие подобные программы. Сразу же после проникновения и установки вирус перезагружает компьютер и начинает шифровать файлы. Если пользователь, ничего не подозревая продолжает заниматься своими делами, то через некоторое время (зависящее от количества информации на жестком диске) все его файлы становятся недоступными, и приобретают новое расширение. Вначале это было расширение .cerber, потом .cerber2 и .cerber3, а сейчас расширение представляет из себя комбинацию из 4 случайных цифр. Вирус использует алгоритм шифрования AES, что полностью исключает возможность взлома шифра, и оставляет лишь возможность взлома кода самого вируса, или взлома основного сайта разработчиков, так называемого «командного центра», на который поступают данные со всех зараженных ПК. Эта задача усложняется тем, что хакеры постоянно изменяют структуру вируса, а данные отправляются на тысячи IP-адресов, лишь один из которых является настоящим командным центром. Само собой, IP-адреса также периодически меняются.

Как Cerber заражает компьютер

Заражение происходит привычным для вирусов-вымогателей путём: с помощью зараженных е-мейлов. Схема предельно проста: хакеры рассылают шаблонные сообщения от лица известных интернет-магазинов, торговых сетей и служб доставки, таких как FedEx, DHL, Amazon, eBay, AliExpress и т.д. В сообщениях пользователю сообщают о том, что он получил приз/посылку/доставку, и её нужно забрать в ближайшем офисе компании. Чтобы получить посылку необходимо распечатать бланк, который прилагается к письму. Естественно, пользователю интересно, что же могло прийти на его имя. Как только пользователь нажимает на вложение в письме, в котором должен быть бланк, на его компьютер проникает скрипт, который впоследствии загружает вирус с основного сайта. После проникновения в систему, вирус выполняет поиск подходящих для шифрования файлов, которые вероятнее всего содержат важную информацию (обычно это форматы .xlsx, .txt, .docx или .PDF). Файлы в этих форматах шифруются первыми, а за ними – все остальные. Именно на этой стадии очень важную роль играет внимательность пользователя. Если вы вдруг заметите, что у ваших файлов изменились названия или расширение – вам следует немедленно выключить компьютер, и начинать искать решение проблемы. Если же пользователь ничего не замечает и вирус успевает зашифровать все файлы – он показывает пользователю заранее сгенерированное сообщение с требованием выкупа и указанием необходимой информации о платежной системе и реквизитах. После получения такого сообщения вы можете считать, что единственный способ восстановления файлов – это загрузка бэкапов. Если бэкапов нет, значит файлы, с вероятностью 99%, утеряны для вас.

Удаление Cerber с компьютера

Удаление любого вируса отличается от удаления Cerber только тем, что Cerber следует удалять в безопасном режиме. Само по себе удаление не решит вашей проблемы, но оно является обязательным, если вы собираетесь в дальнейшем использовать зараженный компьютер. Конечно, есть еще один путь: вы можете просто заплатить выкуп, который на данный момент составляет всего (!) порядка 40 000 рублей. Проблема в том, что даже заплатив мошенникам такую сумму вы можете не получить ваших файлов. Они, естественно, требуют оплату вперед, а после получения денег у них не будет никаких причин что-либо для вас делать. Вряд ли мошенники заботятся о том, что вы о них думаете. Так что, если вы не хотите потерять солидную сумму денег вместе с уже утерянными файлами – лучше будет не платить выкуп, и просто дождаться, пока вирус будет взломан. Для этого вам потребуется удалить Cerber с вашего компьютера, несколько раз проверить его на вирусы, собрать все зашифрованные файлы, поместить в отдельную папку, и ожидать новостей о текущей ситуации с программой для дешифровки .cerber файлов. Кроме того, вам следует скопировать текстовое сообщение с требованиями выкупа, в котором указан ваш персональный айди и публичный код от шифрования, так как это поможет специалистам в расшифровке. Подробные инструкции по удалению вы найдете в статье о том, как удалить вирус-шифровальщик.

Видео по теме

 

 

 

 

Как расшифровать файлы

К сожалению, в данный момент нет возможности расшифровать файлы, зашифрованные последними версиями Cerber. Единственный способ обезопасить себя от подобных вирусов – это осторожность и регулярное сохранение резервных копий системы (или важной информации). Если ваши файлы уже зашифрованы – мы написали специальную статью о том, что делать с зашифрованными файлами, и как их расшифровать.

1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [1 Голос]

Добавить комментарий

Защитный код
Обновить

Norton_scan_results

Google_SafeBrowsing_scan_results