真实的亲密见识勒索者病毒

  • 2017-05-13
  • 1,082
  • 0
  • 0
Cerber5.0变种来临。请大家第一时间保护好数据,并且安装杀毒软件:
很多朋友反馈MAC也中了CERBER4.0, 其实不是,而是使用了虚拟机parallels(WINDOWS)核心,导致的。。。。MAC的系统原理不会导致中CERBER4.0。。。看来虚拟机是个很深的坑。。。CERBER 全面变种为b477或者变成其他随机四位代码,国外媒体称为Cerber 4.0 而且新升级了勒索信,命名为”README.HTA,或者readme.exe”..黑客0DAY修复攻击。。。真他妈的勤快啊。。。请大家绝壁不能裸奔。。裸奔中毒概率大于80%

一个貌似解放军的队伍已经来临(测试中,请大家反馈)Using the Trend Micro Ransomware File Decryptor Tool 请下载这个ZIP, 根据趋势的解释是,本软件能针对CERBER进行恢复。但是本人目测恢复率极低,而且要求比较苛刻(要求本机第一个被感染的文件,尼玛如何判断本机第一个感染的文件?用搜索排序?)。这是趋势的原话,请有能力的童鞋翻译给大家。
CERBER Decryption Limitations
CERBER decryption must be executed on the infected machine itself (as opposed to another machine) since the tool needs to try and locate the first infected file for a critical decryption calculation.

Due to the method of decryption for CERBER, the tool may take several hours (average is 4) to complete decryption on a standard Intel i5 dual-core machine. In addition, the encryption logic for CERBER also is built in such a way that the more cores a CPU has, the lower percentage chance of success for the decryption because of its complexity.

Similar to some other types of ransomware encryption, some files may be only partially decrypted and may require a subsequent file repair.
(注意:CERBER,用破解软件破解的成功率是有的,但是往往会出现文件被损坏,所有请测试趋势破解软件的朋友先备份再测试,目前已经收到知友反馈,成功了,希望有更多案例反馈)
由于解放军TRENDMICRO的出现,Cerber出现新的变种Cerber2 ,二代的Cerber可能是针对趋势解密器的一个特定的变种。

目前来看Cerber2 和 Cerber1 没有特殊的区别,可能在加密算法上规避了解密器的破解。 所以Cerber2的破坏性和Cerber1可能是差不多的。请仔细阅读下面的处理方法。
2016年8月30日更新:Cerber2 再次变种为Cerber3:如图

如果你实在是没办法,又想等待各大杀毒厂商的免费的解密方法,请把
#DECRYPT MY FILES#.TXT 和一个小的CERBER加密文件放到邮箱ransomware@ 126.com. 有免费解密的方法的时候,我们会第一时间反馈到你的邮箱!

最早收到国内中毒者来信是2016年刚开学那会,来自一名西北大学的学生发来的求助,仔细看了下病毒特征就是文件后缀清一色变成了CERBER,前缀是一些10位的CODE。并且留下几分勒索信。
(如图所示)
病毒制作者看来非常喜欢用欧洲神话中的神兽来命名他们的病毒,比如14年末期出现过叫CHIMERA(奇美拉)的勒索病毒,今年又有命名为神兽CERBER的病毒,很遗憾的告诉这位问主,目前国内外均无人能破解CERBER,原因很简单:
1:密码学本身是极其偏门的学科
2:学术共识的机制就是算法公开,公钥(锁)公开,让全世界的智慧去尝试破解算法获取私钥。(屌)
3:破解一个极其简单的密码,需要大量的社会工程学和计算机算力资源。(参考苹果和FBI不得不说的那些屁事,4位数密码10次机会就够一个全球最屌的秘密机构操心了,FBI虽然胜算,但是真心不如华强北)
(题外话:密码学开源项目bitcoin就是一个例子,这个项目目前市值65亿美刀,谁破解了SHA256算法,这65亿美刀就归谁)

几点细节:

CERBER目前使用的加密算法未知。(4月17日更新来自malwarbytes blog 显示是使用RSA BASE64 公钥加密)

CERBER的勒索信#Decrypt My File # 进去的赎金网站基本靠的是GOOGLE翻译,那段中文能把你看醉。

CERBER的几千大洋买的解密器是所有勒索病毒里面最难使用的。(什么?还有其他相同类型的病毒? 答案是有的:请参考:
1:打开EXECL电脑中毒了,全部变成 LOCKY文件!! 勒索病毒 ?怎么办? 如何解密? – 计算机病毒
2:遭遇CryptoWall 4.0勒索病毒应该如何解决? – 互联网

这尼玛谁放的毒?
参考骇客(Cracker)有多可恶? – 唐平的回答

更新:据了解,很多童鞋都是更新adobe flash导致中毒的。 呵呵,flash导致的病毒太多,不计其数。

为什么我电脑中毒了? (逆向溯源是能精准查出病毒源头的,可惜费用实在高,几千-几万美元不等)所以不建议个人用户去纠结我是怎么中毒的,但是提醒一下:
中毒者有四个明显计算机使用的特点和习惯:
1: 处女座看见会直接倒地的乱,计算机的各种管理是没有的,更别说备份了。
2: 破解软件 非法软件 爱好者 (中毒者集中在流量宝 天翼校园客户端这2个软件的平凡使用)
3: 无意识的点击各种不明网站 邮件。
4: 更新病毒库 升级漏洞补丁的这事从来没干过的老司机。 (推荐勒索病毒防火墙:windows个人防火墙哪家强?windows defender )

我该怎么办?
首先当然是排除病毒源:由于CERBER使用了MBR引导区BOOTKIT恶意程序技术,很多人的情况是重启后才加密的,启动后病毒提权为最高级管理员权限,甚至会加密360 腾讯电脑管家等文件夹的文件。
如果要排除CERBER病毒!!!请看下面

推荐微软牛逼的原生安全软件:Microsoft Security Essentials
(win8.1版本后是自带的,win7 和 xp 用户需要自己下载更新后查杀)
记住:勒索信和被加密文件不是病毒,杀毒不会导致文件不能被解密。
(使用了Microsoft Security Essentials,360,腾讯管家等都可以放弃了,当然它们的其他功能还是看个人需求的)
很多人用不了Microsoft Security Essentials,建议百度下这几个英文Microsoft Security Essentials,就好。
以下是用Microsoft Security Essentials查杀到的病毒:

鉴于很多朋友使用360和腾讯管家查杀,目前也是可以查杀CERBER病毒,如果是没有任何杀毒软件的朋友,请参考第2条,用定位的方法找出病毒源文件。
(注意:第2条有些人找不到这个病毒,请在文件查看选项取消 隐藏系统文件,你会看到一个串码的文件夹,文件夹里面有个XXXXXXXXX.EXE文件躺在那里,就这玩意害死不少人啊。。杀之即可)

查杀病毒源后您有三个选择:

1:目前除了花钱买黑客那解密器玩意恢复你的文件,没其他办法。 (购买有风险,与层主无关)
顺便发一个几千大洋帮人买的CERBER解密器给有需要的人test.有测试过的朋友请回复(为毛没人回复)。
解密器链接:
请输入提取码 访问密码 0414
下载后使用如果碰到如图片这样的显示,

(解密器不能使用,是因为国内被GWF墙了,链接不到外网,请使用翻墙工具后试,会连接成功,填入验证码后显示no paid未支付赎金,如果付了赎金的童鞋会显示get privatekey 成功)

Cerber 勒索病毒查杀 文件解密恢复 防护方案
如果你的文件不是那么重要,也许放弃才是最好的选择。

2:全盘格式化 无视一切。

3:格式系统盘,保留被加密数据,等待解放军。 (说起来像A股被套一样)

以后怎么会不会中这鬼病毒?
参考“为什么我电脑中毒了”反着来。概率可以下降到很低很低很低。

如何保护你的重要信息不被勒索病毒侵害? (来自malwarebytes. 目前全球最关注勒索病毒的安全公司)
总结了下主要是,勒索病毒加密文件类型的危险级别为最高,其次是加密开机界面,再尔是其他木马

保持你的系统和游览器,及其他软件的更新
a. 说系统win10不好用的可以狗带了b.chrome游览器的安全性目前来看还是异常高c,国人有用正版软件的习惯么?呵呵了个呵呵

评论

偷偷告诉你,这还毛都没有 T T

发表评论