Ransomware Cerber

Também Conhecido Como: vírus .cerber
Distribuição: Baixo
Nível de Estragos: <strong>Grave</strong>

Descrição Remoção Prevenção

Instruções de remoção do ransomware Cerber

O que é Cerber?

Cerber é um malware de tipo ransomware que se infiltra no sistema e encripta vários ficheiros (.jpg, .doc, .raw, .avi etc.) após é notório mencionar que .cerber adiciona uma extensão .cerber a cada ficheiro encriptado. Após a infiltração bem sucedida, Cerber exige um resgate de forma a desencriptar estes ficheiros. É indicado que os utilizadores deve pagar o resgate dentro do dado período de tempo (7 dias), caso contrário o resgate será o dobro.

Durante a encriptação, Cerber cria 3 ficheiros diferentes  (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html, #DECRYPT MY FILES#.vbs) contendo instruções de pagamento passo a passo em cada pasta que contém ficheiros encriptados. Am ensagem indica que os utilizadores podem apenas desencriptar os ficheiros usando o desencriptador desenvolvido por criminosos virtuais (denominados  'Cerber Decryptor'). O ficheiro #DECRYPT MY FILES#.vbs contém um VBScript, quando executado lerá a mensagem “Os seus documentos, bases de dados e outros ficheiros importantes foram desencriptados!” através de altifalantes dos computadores dos utilizadores. De forma a descarregar o desencriptador dos utilizadores devem pagar um resgate de 1.24 BitCoin (no momento da pesquisa, o equivalente a $546.72). Se o resgate não for pago dentro de 7 dias, dobrará dentro de 2.48 BTC. Também é evidenciado que os utilizadores podem apenas pagar usando o navegador Tor e seguindo as instruções dentro do website indicado. Infelizmente, no momento da pesquisa não havia nenhuma ferramenta capaz de desencriptar estes ficheiros afectados por Cerber. Por esta razão, a única solução para este problema é restaurar sistema a partir de uma cópia de segurança.

Instruções de desencriptação de Cerber

Sendo um ransomware crupto, Cerber partilha muitas similaridades com outros malware tais como Cerber, CryptoWall, CTB-Locker, Crypt0L0ckerTeslaCrypt e muitos outros. Todos se comportam exatamente da mesma forma - encriptam os ficheiros e encorajam os utilizadores a pagar um resgate de forma a desencriptar estes ficheiros. As únicas diferenças entre estes vírus é o algoritmo usado para encriptar os ficheiros e o montante do resgate. Esteja atento que não há nenhuma garantia de que os seus ficheiros nunca sejam desencriptados, mesmo que pague o resgate. Pagar o resgate é o equivalente a enviar o seu dinheiro para os criminosos virtuais - ao fazê-lo, irá apoiar o seu modelo de negócio malicioso. Por esta razão, nunca pague o resgate e não tenta contatar com estas pessoas. Malware como Cerber são mais propensos a serem distribuídos via anexos de e-mail fraudulentos, redes P2P (por exemplo, Torrent), actualizações de software falsas e trojans. Por esta razão, os utilizadores devem ter muita cautela ao abrir anexos de emails não reconhecidos. É também muito importante certificar que os ficheiros desejados são descarregues a partir de fontes fidedignas. Além disso, certifique-se de manter o software instalado atualizado e use os pacotes anti-vírus ou anti-spyware atualizados.

Após a infiltração no computador das vítimas, o ransomware Cerber objetiva os ficheiros objetivados com estes extensões:

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv

Screenshot do ficheiro #DECRYPT MY FILES#.html:

ransomware cerber a desencriptar os meus ficheiros html

Instruções de descarregamento do Cerber Decryptor:

Como conseguir?
1. Crie uma carteira Bitcoin (recomendamos Blockchain.info)
2. Compre o montante necessário de Bitcoins
Não se esqueça da comissão da transação na rede Bitcoin (0.0005 BTC).
3. Envie 1.24 Bitcoins para este endereço Bitcoin: -
4. Controle a transação do montante no painel abaixo.
5. Obtenha um link e descarregue o software.

Texto apresentado no ficheiro #DECRYPT MY FILES#.txt:

Os seus documentos, fotos, bases de dados e outros ficheiros importante foram desencriptados!
Para desencriptar os seus ficheiros siga as instruções:
---------------------------------------------------------------------------------------
1. Descarregue e instale o "Navegador Tor" de https://www.torproject.org/
2. Execute-o
3. No "Navegador Tor" abra o website:
hxxp://decrypttozxybarc.onion/[redacted]
4. Siga as instruções neste website
---------------------------------------------------------------------------------------

Mensagem indica que os ficheiros das vítimas foram encriptados:

A mensagem de aviso indica que os ficheiros oram encriptados pelo ransomware Cerber

O texto dentro desta mensagem:

DESENCRIPTADOR CERBER
Os seus documentos, fotos, bases de dados e outros ficheiros importante foram desencriptados!
Para desencriptar os seus ficheiros, necessita de comprar o software especial -.
Todas as transações devem ser executadas via rede bitcoin apenas.
Dentro de 7 dias pode comprar este produto a um preço especial 1.24 BTC (aproximadamente $524).
Após 7 dias, o preço deste produto irá aumentar até 2.48 BTC (aproximadamente $1048).

Remoção do ransomware Cerber:

Menu rápido: Rápida solução para remover vírus .cerber

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo mostra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Cerber. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.


BAIXAR
Removedor para vírus .cerber

Ao descarregar qualquer programa listado neste site está a concordar com a nossa Política de Privacidade e com os Termos de Uso. Verificador gratuito do SpyHunter é para a deteção de víirus, para remover as infeções detetadas vai precisar de comprar uma versão completa deste produto. Mais informações sobre SpyHunter. Se desejar a desinstalação de SpyHunter, siga estas instruções. Todos os produtos que recomendamos foram cuidadosamente testados e aprovados pelos nossos técnicos como sendo das melhores soluções para a remoção destas ameaças.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo mostra como remover vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, insira a seguinte linha: cd reestore e prima ENTER.

restauro de sistema usando comandos escreva cd restore

3. Seguidamente, insira esta linha: rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Seleccione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Cerber no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Cerber restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Cerber são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controle dos ficheiros encriptados por Cerber também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Cerber.)

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza qualquer tentativa sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

EasySync CryptoMonitor - elimina a infeção de encriptação e coloca na lista negra para que não seja novamente executado:

aplicação de prevenção ransomware cryptomonitor

Outras ferramentas conhecidas para remover o ransomware Cerber:

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.