Eliminar Cerber ransomware y restaurar .CERBER archivos encriptados

sensorstechforum-cerber-ransomware-eliminar

Cerber ransomware exige al usuario el pago de alrededor de 500 dólares en BTC para la desencriptación de los archivos. Se ha informado que Cerber crypto virus infecta a los usuarios de forma masiva, encriptando sus archivos con una fuerte encriptación AES. Todos los usuarios que han sido afectados por este ransomware y tenían sus archivos encriptados con las extensiones de archivo .CERBER deben eliminar inmediatamente este ransomware. Es aconsejable utilizar otros métodos para restaurar los datos en lugar de pagar a los ciberdelincuentes.

¡NOVEDAD! Un desencriptador gratuito ha sido lanzado para archivos codificados por Cerber ransomware. Para aprender a desencriptar los archivos, por favor lea el siguiente artículo.

Resumen de la amenaza

Nombre

Cerber

Tipo Ransomware
Breve descripción El software malicioso encripta archivos de los usuarios después de que reinicien a la fuerza su PC, enviando los mensajes de rescate llamados “# DECRYPT MY FILES #”
Síntomas El usuario puede recibir mensajes de rescate e “instrucciones” ,y también un mensaje de sonido, todos ellos enlazando con una página web y un desencriptador.
Método de distribución A través de un paquete de exploits. /Exploit kit/.
Herramienta para detectar Compruebe si su sistema ha sido afectado por Cerber

Descargar

Herramienta para eliminar malware

Experiencias de los usuarios Únase a nuestro foro para Discutir Cerber Ransomware.

sensorstechforum-cerber-ransomware-eliminar

Cerber Ransomware – Distribución

Este cripto-malware puede utilizar un exploit script malicioso para descargarse en su ordenador. Este método aumenta la probabilidad de infectar al usuario con éxito. Tales kits pueden generalmente ser distribuidos a través de macros maliciosos en Microsoft Office o documentos en PDF. Esto significa que cuando se abre un documento de este tipo y se habilita el modo de edición en el mismo, puede haber en él un código que le infecte con el kit. La mayoría de los usuarios son engañados para abrir tales correos electrónicos no deseados, ya que pueden asemejarse a un remitente de confianza o conocido. Los remitentes más imitados son por lo general:

  • Su jefe.
  • Alguien de su lista de contactos.
  • PayPal.
  • Amazon.
  • eBay.
  • AliExpress y Alibaba.
  • Su banco.
  • Facebook u otras redes sociales.

Cerber Ransomware en detalle

Una vez que el ransomware se haya ejecutado se ha informado que crea una carpeta con dígitos personalizados en el directorio %AppData% de Windows, por ejemplo:

  • {0219HH-S24NI2-NUS-2JISAI-PL0KK}

No sólo esto, sino que en la carpeta, el ransomware pone nombres a archivos ejecutables aleatorios que pueden ser sus diferentes módulos que realizan diferentes acciones en el PC del usuario. Uno de los módulos ha sido reportado por los investigadores de malware que detecta la ubicación del ordenador del usuario. En caso de que el PC afectado sea de ciertos países de Europa del Este, el ransomware no activa la encriptación y se elimina solo. Sin embargo, en caso de que el usuario sea de cualquier otro país, Cerber ejecuta el siguiente comando para reiniciar el ordenador:

“C:\Windows\System32\bcdedit.exe /set {info} safeboot network”

Esto va generalmente con un falso mensaje de error añadido, lo que le da una excusa al usuario que reinicie su ordenador. Los mensajes de error pueden ser tales como “Un proceso crítico del sistema ha denegado el acceso” con un signo de exlamación en ellos y notifican que el sistema cerrará la sesión.

En lo que respecta la encriptación de los archivos, Cerber utiliza diferentes módulos para encriptar los archivos del usuario. Uno de los módulos es un archivo que contiene la lista de extensiones para las que el encriptador escanea. Estas son las extensiones a las que Cerber se puede dirigir y encriptar:

.contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv (Source: Bleeping Computer)

Después del escaneo, Cerber codifica los archivos con un algoritmo de cifrado AES de 256 bits que ha sido clasificado como encriptación Suite.B que se utiliza para la codificación de datos clasificados por el gobierno de Estados Unidos. No sólo esto, sino que también Cerber cambia la extensión del archivo a .CERBER. Así es como se ve un archivo encriptado antes y después:

Antes de la encriptación:
New Text Document.txt
Después de Cerber:
2308z2b.cerber

No sólo esto, sino que también Cerber manda varios archivos tipo nota de rescate al escritorio del usuario:

  • # DECRYPT MY FILES #.html
  • # DECRYPT MY FILES #.txt
  • # DECRYPT MY FILES #.vbs

La secuencia de comandos “.vbs” es particularmente interesante, ya que han informado los usuarios afectados que incluye el mensaje de rescate transcrito a partir de texto a voz en formato de audio. Cerber notifica a los usuarios repitiendo varias veces “¡Atención! Sus archivos han sido encriptados!” junto con breves instrucciones sobre lo que se debe hacer. Esto se considera que es una táctica de los creadores de Cerber ransomware para asustar a los usuarios.

A diferencia de los otros mensajes de rescate, Cerber es muy breve en su notificación al usuario afectado:

“CERBER
Sus documentos, fotos, bases de datos y otros archivos importantes han sido encriptados!
Para desencriptar los archivos sigan las instrucions:
1.Descargar e instalar el abra la página web:
// El enlace web para el servicio de desencriptación aquí con un dominio .onion} //
4. Siga las instrucciones en este sitio web”

En el enlace web para la desencriptación, el ransomware tiene soporte en 12 idiomas diferentes entre los que los usuarios pueden elegir. También cuenta con un temporizador de cuenta atrás y un servicio que proporciona información sobre cómo pagar el dinero del rescate y detecta si se ha pagado o no el dinero.

Eliminar Cerber ransomware y restaurar .CERBER archivos encriptados

En cuanto a la eliminación del ransomware, se recomienda utilizar un software anti-malware avanzado porque el ransomware puede auto-borrarse a sí mismo después de la encriptación, pero el kit de explotar aún puede permanecer en el equipo. Para una eficacia máxima, se recomienda utilizar la eliminación descrita paso a paso más abajo.

Si desea restaurar correctamente los archivos, la desencriptación directa simplemente no funcionará, debido a que aún no se ha creado para este ransomware. Sin embargo, vamos a mantenerles al día en nuestro foro. Mientras tanto, hemos proporcionado los métodos de restauración de archivos alternativos a continuación.

Eliminar manualmente Cerber de su ordenador

Observación! Notificación importante sobre la amenaza de Cerber requiere la interferencia con los archivos y registros del sistema. Por lo tanto, puede causar daños a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no se preocupe. Usted mismo puede hacer la eliminación en 5 minutos, usando una herramienta de eliminación de software malicioso malware removal tool.

1. Inicie su PC en modo seguro para aislar y eliminar archivos y objetos relacionados con Cerber files and objects
2. Haga copias de seguridad de sus datos, para asegurarlos contra ataques e infecciones en el futuro.

Cerber eliminar automáticamente mediante la descarga de un programa anti-malware avanzado.

1. Elimine Cerber con la herramienta de SpyHunter Anti-Malware
2. Recuperar archivos encriptados por Cerber
Opcional: Uso de herramientas Anti-Malware alternativos

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.