Table des matières
Il y a une foule de détails et de liens qui peuvent être déduits avec le nom de la dernière infection par le crypto surnommé « Cerber2 ». Les symptômes d’une attaque par cette nouvelle menace de ransomware comprennent une confusion des cryptées, des fichiers .cerber2 donc inaccessibles dans l’ordinateur infecté, ainsi que des messages d’avertissement effrayants qui demandent des Bitcoins. Ce guide dissèque la peste, la liste de ses liens avec un précurseur, et fournit des conseils pour le supprimer de votre ordinateur.
La résilience des infrastructures de ransomware varie si une telle chose est sur votre ordinateur. Certains chevaux de Troie utilisent les serveurs C2 pour faire fonctionner l’échange de clés privées cryptographiques. En outre, il existe des souches qui sont dotées d’interaction avec les victimes uniquement par e-mail, tandis que d’autres ont tous été automatisés par le biais d’une interface web spécialement conçue. Celui en question, dénommé Cerber2, va prendre l’itinéraire le plus techniquement sophistiqué. Il a emprunté la plupart de ses caractéristiques de haut niveau à son prédécesseur appelé Cerber, y compris les noms des notes de rançon et la norme de cryptage. Cependant, ces propriétés malignes ont été améliorées, plus il y a des nouveautés qui sont uniques pour cette race.
Ce programme peut se retrouver sur un PC Windows de plusieurs façons. La technique de distribution commune implique le phishing, où un utilisateur reçoit un email piégé entrant avec un attachement dangereux déguisé en une facture, documents fiscaux, rapport de suivi UPS ou similaires. Dans ce scénario, la prévention est de ne pas ouvrir les ZIP douteux ou (document Microsoft Office avec des macros) les pièces jointes d’email. L’autre vecteur de propagation est basé sur le phénomène pour exploiter les kits. Dans ces circonstances, la seule chose qui peut vraiment aider et contrecarrer l’infection est de patcher le logiciel sur la machine, sinon la rançon sera déployée quand une page web piratée est visité.
Tout à fait prévisible, Cerber2 trouve et encrypte la plupart des fichiers stockés sur les disques locaux, les lecteurs réseau et les périphériques amovibles. Les exceptions comprennent des éléments auxiliaires qui maintiennent le système d’exploitation pour fonctionner en douceur. Les dossiers personnels subissent un mauvais brouillage avec un algo appelé Advanced Encryption Standard ou AES. Par opposition à l’utilisation de clés de 16 octets par l’édition précédente de Cerber, la nouvelle incarnation génère les 32 octets. Ceci, naturellement, aggrave la récupération de données. Le format des fichiers cryptés change aussin – l’infection remplace les noms de fichiers originaux avec 10 caractères hexadécimaux ainsi que l’extension .cerber2.
Dès que le ransomware est dans la partie crypto du compromis, il commence à communiquer avec la victime sur les voies de sortie. De là, il crée un certain nombre de nouvelles entrées au sein de chaque répertoire qui contient des fichiers cryptés, à savoir # DECRYPTER MES FICHIERS # .html, # DECRYPTER MES FICHIERS # .txt et # DECRYPTER MES FICHIERS # .vbs. Soit dit en passant, ce dernier lance une alerte audio en arrière-plan qui dit, « Vos documents, voss photos, votre base de données et autres fichiers importants ont été chiffrés.» Pour couronner le tout, Cerber2 change le fond d’écran et affiche ce qu’il veut.
Le flux de travail de récupération imposé par le virus implique une page Tor à laquelle l’utilisateur infecté est dirigé. Intitulée « Cerber Decryptor », cette page exprime clairement les exigences des cyberescrocs : la personne doit présenter environ 1,5 BTC à un certain portefeuille Bitcoin pendant 5 jours, ou bien la rançon va doubler. La version 2 du ransomware, malheureusement, est trop cryptée pour se fissurer, ce qui ne donne pas beaucoup de marge de manœuvre. Certaines des tactiques applicables de la restauration des données sont couvertes ci-dessous, bien qu’il puisse n’y avoir aucune certitude qu’ils fonctionneront. Cela vaut quand même la peine d’essayer.
Suppression automatique du virus Cerber2
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Cerber2
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthode pour restaurer les fichiers .cerber2
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Cerber2 crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez sur le ransomware Cerber v2 soit complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.