Премахни Cerber 5 вирус (Безплатно упътване)
Упътване за премахване на Cerber 5 вируси
Какво е Рансъмуер вирусът Cerber 5?
Вирусът Cerber 5 е „на свобода“, заедно с Cerber 5.0.1. Какво знаем за тези зловредни програми?
Скорошното пускане на вируса Cerber 5 е поредният голям скок за семейството на Cerber вируса. Въпреки че хакерите разработват този рансъмуер от известно време, никога не е бил толкова разпространен и активен, колкото е сега. И изглежда, че хакерите се опитват да вземат колкото се може повече от този успех. Въпреки че на пръв поглед новата версия на вируса не дава много информация за направените промени (вирусът все още използва разширението .[4 chars] за обозначаване на криптираните файлове), можем да предположим, че определено не е за подценяване. От друга страна, би следвало хакерите да са отстранили евентуалните уязвимости на вируса или поне да са подобрили ефективността на събиране на откупа. Ще ви държим в течение, ако се появят нови важни открития за този вирус. За сега, можем само да ви посъветваме да вземете мерки за защита на компютъра си, ако все още не сте го направили. Също така, винаги трябва да разполагате с подготвен защитен инструмент, в случай че бъдете заразени и трябва да премахнете Cerber 5 от компютъра си. Препоръчваме ви да инвестирате в утвърден и професионален антивирусен софтуер като FortectIntego.
Новата версия на рансъмуер вируса Cerber на практика е идентична с по-старите, включително Cerber 4.1.5 и Cerber 4.1.6, които се появяват през есента. Наскоро се появи неочаквана версия и изглежда, че това е модифициран вариант на петата. За първи път забелязан на 25 ноември 2016, вирусът Cerber 5.0.1 е на навън и е готов да атакува компютърните потребители, така че бъдете внимателни! Рансъмуер вирусът Cerber 5.0.1 в момента се анализира от нашия изследователски екип, но до сега не са забелязани значителни изменения. Тази версия изглежда еднаква с нейните предшественици – тя добавя генерирани на случаен принцип файлови разширения и заключва файловете чрез AES и RSA криптиращи шифри. В настоящия момент те не могат да се декриптират с безплатните декриптиращи инструменти.
Всички тези вируси в момента се разпространяват чрез експлоатационния инструмент RIG (RIG exploit kit), който е използван и при разпространението на Locky вируса. Разликата е в това е, че докато Locky използва RIG-E версията на експлоатационния инструмент, Cerber 5 използва RIG-V (така наречения “VIP” вариант на паразита). И да се върнем отново на приликите между Cerber 5 и останалите нови версии на вируса – те очевидно започват със съобщението за откуп, което вирусът оставя на работния плот на заразения компютър. Може да видите пример за това по-долу. Петата версия добавя файлово разширение .secret към списъка на целевите файлове и пропуска файлове по-малки от 2,560 байта.
Your documents, photos, databases and other important files have been encrypted by „Cerber Ransomware 5.0.0“! (Документите, снимките, базите ви с данни и други важни файлове са криптирани от „Рансъмуер вируса Cerber 5.0.0“!)
If you understand all importance of the situation (Ако сте наясно с важността на положението)
then we propose to you to go directly to your personal page (предлагаме ви да отидете на личната си страница,)
where you will receive the complete instructions (където ще получите пълни инструкции)
and guarantees to restore your files. (и гаранции за възстановяване на файловете)
There is a list of temporary addresses (Има списък с персонализирани адреси,)
to go on your personal page below (които да посетите на личната си страница):
XXXXXXXXXXXXXXXXXXXXXXXX
http://ffoqr3ug7m726zou.b4abvx.top/FEA4-AFFB-5CA1-0091-B992
http://ffoqr3ug7m726zou.lruwth.top/FEA4-AFFB-5CA1-0091-B992
http://fforq3ug7m726zou.onion.to/FEA4-AFFB-5CA1-0091-B992
Съобщението очевидно не ни дава никаква информация за откупа, нито за начина на плащане. Въпреки това, можем да предположим, че както и при по-старите версии, откупът варира в зависимост от количеството и важността на заразените файлове. По-подробни инструкции за възстановяването на информацията са дадени във файла README.hta, който вирусът оставя на работния плот. Ако жертвата на вируса реши да плати, както винаги, създателите на Cerber са „професионалисти“ и пренасочват потребителя към лесен и разбираем сайт за плащане. Макар че не ви съветваме да плащате откупа. Доста по-безопасно е да премахнете Cerber 5, което да ви осигури, че информацията на компютъра няма да бъде отново криптирана.
Как този рансъмуер вирус прониква в компютъра на жертвата?
Cerber 5 е поредната версия на този зловреден вирус, който се разпространява чрез RIG-V експлоатационен инструмент. Тази техника за проникване в системата е доста по-ефективна от разпространението на заразени прикачени файлове в имейли. Както споменахме, това не е без причина. В действителност, спамът все още е един от най-широко използваните методи за хакване на компютри и Cerber 5 не отстъпва от това правило. Но новият подход, с експлоатационен инструмент, отключва много повече възможности. Вирусът не трябва задължително да бъде изтеглен на компютъра от самите потребители, а може да проникне чрез кракове и пропуски в неактуализирани програми или дефектен софтуер за сигурност. Няма нужда да казваме, че поддържането на системата и нейните приложения актуализирани е едно от ключовите неща, които могат да ни предпазят от проникването на рансъмуер.
Какви действия да предприемем, когато сме атакувани от Cerber 5:
Вирусът Cerber 5 трябва да бъде премахнат единствено с надежден и актуализиран защитен инструмент. Използването на кракнат или пиратски софтуер може само да влоши нещата и да нанесе необратими щети на компютъра. Затова е по-добре да не рискувате, а да изберете надеждни инструменти за премахването на Cerber 5. И все пак, трябва да ви предупредим, че съвременният софтуер не гарантира задължително незабавното и безпроблемно премахване на вируса. Могат да възникнат някои проблеми и от това, че вирусът блокира антивирусния скенер. Това е често срещано препятствие, с което се сблъскват жертвите на рансъмуера, когато се опитват да изчистят компютрите си от паразитите. За щастие, нашите специалисти са открили ефективен начин за справяне с това. По-долу ще прочетете как да отблокирате антивирусната си програма.
Упътване за ръчно премахване на Cerber 5 вируси
Рансъмуер: Инструкции за премахване на рансъмуер в Безопасен режим (Safe Mode)
Важно! →
Ръководството за ръчно премахване може да се окаже малко сложно за редовите компютърни потребители. Изискват се напреднали IT знания, за да се изпълни правилно (ако липсват или sа повредени важни системни файлове, това може да компрометира цялата операционна система Windows), а самото изпълнение може да отнеме часове. Затова силно препоръчваме да се използва описания по-горе автоматичен метод.
Стъпка 1. Влезте в Безопасен режим с мрежа/Safe Mode with Networking
Ръчното премахване на зловреден софтуер е най-добре да се направи в Безопасен режим/Safe Mode.
Windows 7 / Vista / XP
- Натиснете Start > Shutdown > Restart > OK.
- Когато компютърът ви стане активен, започнете да натискате бутона F8 (ако това не проработи, опитайте с F2, F12, Del и др. – всичко зависи от модела на дънната ви платка) многократно, докато видите прозореца Разширени опции за стартиране/Advanced Boot Options.
- От списъка изберете Безопасен режим с мрежа/Safe Mode with Networking.
Windows 10 / Windows 8
- Кликнете с десен бутон на мишката върху Start бутона и изберете Настройки/Settings.
- Скролнете надолу и изберете Актуализации и Сигурност/ Update & Security.
- В левия край на прозореца изберете Възстановяване/Recovery.
- Скролвате отново надолу, докато откриете Раздел за разширено стартиране/Advanced Startup section.
- Натискате Рестартирай сега/ Restart now.
- Изберете Отстраняване на неизправности/Troubleshoot.
- Отидете в Разширени опции/Advanced options.
- Изберете Настройки при стартиране/Startup Settings.
- Натиснете Рестартиране/Restart.
- Сега натиснете 5 или кликнете върху 5) Активирай Безопасен режим с мрежа/Enable Safe Mode with Networking.
Стъпка 2. Спрете съмнителните процеси
Мениджърът на задачите на Windows (Windows Task Manager) е полезен инструмент, който показва всички процеси, които протичат във фонов режим. Ако има процес, който се управлява от зловреден софтуер, трябва да го спрете:
- На клавиатурата натискате Ctrl + Shift + Esc за да стартирате Мениджъра за задачите/Windows Task Manager.
- Кликвате върху Повече информация/More details.
- Скролвате надолу до раздела Процеси във фонов режим/Background processes и търсите съмнителни процеси.
- С десен бутон на мишката кликвате и избирате Отворете местоположението на файла/Open file location.
- Връщате се обратно при процеса, кликвате с десен бутон и избирате Край на задачата/End Task.
- Изтрийте съдържанието на зловредната папка.
Стъпка 3. Проверете Startup програмите
- Натиснете Ctrl + Shift + Esc на клавиатурата, за да отворите Мениджъра на задачите/Windows Task Manager.
- Отидете в раздела Startup.
- Кликнете с десен бутон върху съмнителната програма и натиснете Деактивирай/Disable.
Стъпка 4. Изтрийте файловете на вируса
Файловете свързани със зловредния софтуер могат да бъдат открити на различни места в компютъра ви. По-долу ще видите инструкции, които ще ви помогнат да ги откриете:
- Напишете Disk Cleanup в полето за търсене на Windows и натиснете Enter.
- Изберете дялът, който искате да почистите (C: е основния ви дял по подразбиране и е много вероятно зловредните файлове да са точно в него).
- Скролнете през списъка с Файлове за изтриване/Files to delete и изберете следните:
Temporary Internet Files/Временни Интернет файлове
Downloads/Изтегляния
Recycle Bin/Кошче
Temporary files/Временни файлове - Изберете Почистете системните файлове/Clean up system files.
- Също така може да потърсите и за още зловредни файлове, скрити в следните папки (напишете ги в търсачката на Windows/Windows Search и натиснете Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
След като приключите, рестартирайте компютъра в нормален режим.
Премахнете Cerber 5, използвайки System Restore
-
Стъпка 1: Рестартирайте компютъра си, за да Safe Mode with Command Prompt
Windows 7 / Vista / XP- Натиснете Start → Shutdown → Restart → OK.
- Когато компютърър Ви се активира, натиснете F8 няколко пъти, докато видите прозореца Advanced Boot Options
- Изберете Command Prompt от списъка
Windows 10 / Windows 8- Натиснете Power в Windows логин екран. Сега натиснете и задръжте Shift, което е на клавиатурата Ви, и след това натиснете Restart..
- Сега изберете Troubleshoot → Advanced options → Startup Settings и накрая натиснете Restart.
- След като компютърът Ви е активен, изберете Enable Safe Mode with Command Prompt в Startup Settings прозореца.
-
Стъпка 2: Рестартирайте системните си файлове и настройки
- След като се появи Command Prompt прозорец, въведете cd restore и кликнете Enter.
- Сега напишете rstrui.exe и натиснете Enter отново..
- Когато се появи нов екран, натиснете Next и изберете Вашия restore point преди инфекцията с Cerber 5. След това натиснете Next.
- Сега кликнете Yes, за да започни system restore.
Бонус: Възстановяване на информацията
Представеното по-горе ръководство има за цел да ви помогне да премахнете Cerber 5 от компютъра си. За да възстановите криптираните си файлове ви препоръчваме използването на подробно ръководство, изготвено от специалистите по компютърна сигурност на virusi.bg?Ако файловете ви са криптирани от Cerber 5, може да използвате няколко начина за тяхното възстановяване:
Надвийте криптирането на Cerber 5 с Data Recovery Pro
Рансъмуер вирусът Cerber се счита за един от най-агресивните паразити в наши дни, така че възстановяването на информацията след атака е с много слаба вероятност. Въпреки това, софтуер като Data Recovery Pro може да се използва за преодоляване на криптирането и за възстановяване на част от криптираната информация.
- Свали Data Recovery Pro;
- Следвайте стъпките за инсталиране на Data Recovery и инсталирайте програмата на компютъра си;
- Стартирайте и сканирайте компютъра за криптирани файлове от рансъмуер вируса Cerber 5;
- Възстановете ги.
Възстановяване на файловете със свойството По-стари версии на Windows (Windows Previous Versions feature)
Свойството По-стари версии на Windows (Windows Previous Versions) може да се използва за възстановяването на отделни файлове, но няма да помогне за пълно възстановяване на системата. Освен това, за да заработи тази техника, трябва да е активирана функцията Системно възстановяване (System Restore).
- Открийте криптирания файл, който искате да възстановите и кликнете с десния бутон на мишката върху него;
- Изберете “Properties” и отидете на бутона “Previous versions”;
- Тук проверете всички налични копия на файла “Folder versions”. Изберете версията, която искате да възстановите и кликнете върху “Restore”?
ShadowExplorer идва на помощ!
ShadowExplorer е инструмент, който може да се използва за възстановяване на софтуера от Моментните снимки на томове (Volume Shadow Copies) на файловете, ако вирусът не ги е разрушил по време на криптирането. В инструкциите по-долу сме обяснили как да използвате този инструмент:
- Изтегляне на Shadow Explorer (http://shadowexplorer.com/)
- Следвайте Инсталационния помощник на Shadow Explorer и инсталирайте приложението на компютъра си;
- Стартирайте програмата и разгледайте падащото меню в горния ляв ъгъл, за да изберете диска с криптирана информация. Проверете какви папки има там;
- Кликнете с десния бутон на мишката върху папката, която искате да възстановите и изберете “Export”. Може, също така, да изберете и мястото,където желаете да бъде съхранена.
Накрая, винаги трябва да мислите за защита от крипто-рансъмуери. За да защитите компютъра си от Cerber 5 и други рансъмуери, използвайте добър анти спайуер, като например FortectIntego, SpyHunter 5Combo Cleaner или Malwarebytes
Препоръчано за Вас
Не позволявайте на правителството да ви шпионира
Правителствата имат много причини за проследяване на потребителски данни и шпиониране на гражданите, затова е добре да се замислите и да разберете повече за съмнителните практики за събиране на информация. За да избегнете нежелано проследяване или шпиониране, трябва да бъдете напълно анонимни в Интернет.
Може да изберете различно местоположение, когато сте онлайн и имате достъп до желани материали без ограничение на специфично съдържание. Може да се радвате на Интернет връзка без рискове да бъдете хакнати, като използвате VPN услугата Private Internet Access.
Управлявайте информацията, която може да бъде използвана от правителството или трети страни и сърфирайте в мрежата без да бъдете шпионирани. Дори да не участвате в някакви незаконни дейности или се доверявате на избора си на услуги и платформи, имайте едно наум за собствената си сигурност и вземете превантивни мерки като използвате VPN услуга.
Архивиране на файлове в случай на атака на зловреден софтуер
Компютърните потребители могат да понесат различни загуби, които се дължат на кибер инфекции или на техни собствени грешки. Софтуерни проблеми, причинени от зловреден софтуер или загуба на информация, дължаща се на криптиране, могат да доведат до различни последици за устройството ви или дори до непоправими щети. Когато разполагате с адекватни актуални резервни файлове лесно може да се възстановите след подобен инцидент и да се върнете към работата си.
Актуализациите на резервните файлове след всяка промяна в устройството са изключителни важни, за да може да се върнете на точното място, на което сте спрели работа, когато зловреден софтуер или друг проблем с устройството е причинило загуба на информация или е прекъснало работата ви.
Когато разполагате с предишна версия на важен документ или проект, може да избегнете чувството на безсилие и стреса. Доста е полезно в случай на изненадваща зловредна атака. Използвайте Data Recovery Pro за възстановяване на системата.