Zoek uit welke veranderingen het bijgewerkte Cerber3 ransomware heeft veroorzaakt en hoe je .cerber3 extensie bestanden kunt herstellen zonder het betalen van losgeld.
Eind augustus kon wat ransomware betreft niet lastiger beginnen. Het Cerber soort, dat al langere tijd actief is in deze arena, is bijgewerkt. Het meest voor de hand liggende trucje is het gebruik van een nieuwe extensie die is toegevoegd aan elk versleuteld bestand, namelijk .cerber3, terwijl de vorige iteratie .cerber2 had. Bovendien worden de bestanden die helpen bij het herstel nu # HELP DECRYPT # .txt, # HELP DECRYPT # .html en # HELP DECRYPT # .url genoemd, waarbij de laatste het standaard web browser-venster opent. De bijbehorende pictogrammen verschijnen op het bureaublad van het geïnfecteerde systeem en in alle mappen met versleutelde inhoud.
In tegenstelling tot de voorganger van Cerber3, vermeldt de VBScript text-to-speech-versie voor het herstellen van gegevens niet expliciet de instructies overal op de computer, maar er wordt nog wel steeds op de achtergrond een onaangenaam audiobericht afgespeeld. Het zegt: “Jouw documenten, foto’s, databases en andere belangrijke bestanden zijn versleuteld!” De bureaubladachtergrond wordt ook vervangen door een griezelige waarschuwing.
Cerber3 virus
Een ander onveranderlijk attribuut in alle edities van deze losgeld Trojan is het cryptografische algoritme dat wordt ingezet om de persoonsgegevens van slachtoffers te versleutelen. Het is nog steeds AES of advanced encryption standard, met een geheime sleutel wat voldoende is om het kraken van pogingen te dwarsbomen. Na een computer, via een payload besmette e-mailbijlage dat zich voordoet als een belangrijk document zoals een vacature, een factuur of een leveringskennisgeving gecompromitteerd te hebben, vervangt Cerber3 in de geïnfecteerde computer alle onvervangbare data. Wanneer dit gebeurt, doorkruist de ransomware alle vaste stations evenals de verwisselbare media en de gedeelde netwerken. De volgende fase is om de bestanden, gevonden tijdens de scan, eruit laten zien als 2mRQx4RUzq.cerber3. De AES-sleutel, die identiek is voor zowel de codering als de decoderingsroutine is opgeslagen door de cybercriminelen op de C2 server en kan niet worden opgehaald via forensische analyse op de PC.
Het # HELP DECRYPT # losgeld bericht instrueert het slachtoffer om een van de beschikbare Tor sites te bezoeken, waar ze door middel van complexe grafische captcha verificatie, toegang krijgen. Uiteindelijk zal de gebruiker op Cerber Decryptor pagina terechtkomen, die de uitleg over de aankoop van de decryptie-sleutel bevat. In het bijzonder geeft het de hoogte van het losgeld aan, dat 0,7154 Bitcoins (ongeveer 410 USD) is, wat binnen 5 dagen na de aanval moet worden betaald. Nadat de termijn van 5 dagen is verlopen, zal het losgeld worden verhoogd tot 1,4308 Bitcoins, dat twee keer het oorspronkelijke bedrag is. Het vragen van veel geld is voor de afpersers zeker geen belemmering, dus probeer het eerst op te lossen via de onderstaande stappen. Afhankelijk van hoe erg de infectie is, kunnen deze technieken je helpen bij het herstellen van sommige of alle .cerber3 bestanden.
Als gevolg van een up-to-date database van malware-handtekeningen en intelligente gedragsdetectie, kan de aanbevolen software de infectie snel lokaliseren, deze uitroeien en alle schadelijke veranderingen saneren. Dus ga je gang en doe het volgende:
Het kraken van de crypto die door deze losgeld trojan is geplaatst, is meer een science fiction ding dan een haalbaar vooruitzicht. Dit is de reden waarom het oplossen van problemen in dit soort hachelijke situatie een kwestie is van twee benaderingen: de ene is om het losgeld, dat is geen optie voor veel slachtoffers is, te betalen; en de andere is om instrumenten die, mogelijke zwakke punten van de ransomware detecteren, toe te passen. In het laatste geval is het onderstaande advies een must om te proberen.
Back-ups kunnen je redding zijn
Niet alleen ben je een geluksvogel als je al een back-up hebt van je belangrijkste bestanden, maar je bent dan ook een wijs en verstandig gebruiker. Dit is tegenwoordig niet zo moeilijk meer – er zijn aanbieders van online diensten die gratis voldoende cloud storage ruimte aanbieden, zodat iedere klant gemakkelijk hun kritieke gegevens kan uploaden zonder een cent te betalen. Het verwijderd krijgen van het Cerber3 ransomware, vereist alleen het downloaden van je gegevens uit de externe server of het over te zetten van een extern stukje hardware, als dat het geval is.
Herstel eerdere versies van gecodeerde bestanden
Een positief resultaat van het gebruik van deze techniek is afhankelijk van de vraag of de ransomware de Volume Shadow Copies van de bestanden op jouw PC heeft gewist. Dit is een Windows-functie, die zo lang als de Systeemherstel functie is ingeschakeld, automatisch de back-ups van gegevens op de harde schijf maakt en bewaart. De cryptoware in kwestie is geprogrammeerd om de Volume Shadow Copy Service (VSS) uit te schakelen, maar dit lukt niet in alle gevallen. Eén van de opties met betrekking tot het controleren van deze tijdelijke oplossing is goed te doen op twee manieren: door het menu Properties van elk bestand of door middel van de opmerkelijke open-source tool genaamd Shadow Explorer. Wij raden de software-gebaseerde manier aan, want deze is geautomatiseerd en dus sneller en gemakkelijker. Installeer gewoon de app en maak gebruik van haar intuïtieve bediening om de eerdere versies van de gecodeerde objecten hersteld te krijgen.
Data recovery tool om je te helpen
Some strains of ransomware are known to delete the original files after the encryption routine has been completed. As hostile as this activity appears, it can play into your hands. There are applications designed to revive the information that was obliterated because of malfunctioning hardware or due to accidental removal. The tool called Data Recovery Pro by ParetoLogic features this type of capability therefore it can be applied in ransom attack scenarios to at least
Sommige soorten ransomware staan erom bekend dat ze nadat de versleutelingsroutine is voltooid, de oorspronkelijke bestanden wissen. Hoe vijandig deze activiteit ook kan overkomen, het kan in je voordeel werken. Er zijn apps, die zijn ontworpen om de informatie die werd weggevaagd door niet goed werkende hardware of als gevolg van het per ongeluk verwijderen, te herstellen. De tool genaamd Data Recovery Pro van ParetoLogic heeft dit vermogen kan daarom in scenario’s van losgeldaanvallen worden toegepast om tenminste de beslangrijkste bestanden terug te krijgen. Dus download en installeer het programma, voer een scan uit en laat de tool zijn werk doen.
Om schadelijke codes of replicatie van haar onbemande fracties te voorkomen is het belangrijk om na het verwijderen van de malware scenario’s je beveiligingsstatus te controleren. Zorg ervoor dat je zo nu en dan een extra veiligheidscontrole uitvoert.
