Cerber ransomware exige al usuario el pago de alrededor de 500 dólares en BTC para la desencriptación de los archivos. Se ha informado que Cerber crypto virus infecta a los usuarios de forma masiva, encriptando sus archivos con una fuerte encriptación AES. Todos los usuarios que han sido afectados por este ransomware y tenían sus archivos encriptados con las extensiones de archivo .CERBER deben eliminar inmediatamente este ransomware. Es aconsejable utilizar otros métodos para restaurar los datos en lugar de pagar a los ciberdelincuentes.
Resumen de la amenaza
| Nombre |
Cerber |
| Tipo | Ransomware |
| Breve descripción | El software malicioso encripta archivos de los usuarios después de que reinicien a la fuerza su PC, enviando los mensajes de rescate llamados “# DECRYPT MY FILES #” |
| Síntomas | El usuario puede recibir mensajes de rescate e “instrucciones” ,y también un mensaje de sonido, todos ellos enlazando con una página web y un desencriptador. |
| Método de distribución | A través de un paquete de exploits. /Exploit kit/. |
| Herramienta para detectar |
Compruebe si su sistema ha sido afectado por Cerber
Descargar
Herramienta para eliminar malware
|
| Experiencias de los usuarios | Únase a nuestro foro para Discutir Cerber Ransomware. |
Cerber Ransomware – Distribución
Este cripto-malware puede utilizar un exploit script malicioso para descargarse en su ordenador. Este método aumenta la probabilidad de infectar al usuario con éxito. Tales kits pueden generalmente ser distribuidos a través de macros maliciosos en Microsoft Office o documentos en PDF. Esto significa que cuando se abre un documento de este tipo y se habilita el modo de edición en el mismo, puede haber en él un código que le infecte con el kit. La mayoría de los usuarios son engañados para abrir tales correos electrónicos no deseados, ya que pueden asemejarse a un remitente de confianza o conocido. Los remitentes más imitados son por lo general:
- Su jefe.
- Alguien de su lista de contactos.
- PayPal.
- Amazon.
- eBay.
- AliExpress y Alibaba.
- Su banco.
- Facebook u otras redes sociales.
Cerber Ransomware en detalle
Una vez que el ransomware se haya ejecutado se ha informado que crea una carpeta con dígitos personalizados en el directorio %AppData% de Windows, por ejemplo:
- {0219HH-S24NI2-NUS-2JISAI-PL0KK}
No sólo esto, sino que en la carpeta, el ransomware pone nombres a archivos ejecutables aleatorios que pueden ser sus diferentes módulos que realizan diferentes acciones en el PC del usuario. Uno de los módulos ha sido reportado por los investigadores de malware que detecta la ubicación del ordenador del usuario. En caso de que el PC afectado sea de ciertos países de Europa del Este, el ransomware no activa la encriptación y se elimina solo. Sin embargo, en caso de que el usuario sea de cualquier otro país, Cerber ejecuta el siguiente comando para reiniciar el ordenador:
→ “C:\Windows\System32\bcdedit.exe /set {info} safeboot network”
Esto va generalmente con un falso mensaje de error añadido, lo que le da una excusa al usuario que reinicie su ordenador. Los mensajes de error pueden ser tales como “Un proceso crítico del sistema ha denegado el acceso” con un signo de exlamación en ellos y notifican que el sistema cerrará la sesión.
En lo que respecta la encriptación de los archivos, Cerber utiliza diferentes módulos para encriptar los archivos del usuario. Uno de los módulos es un archivo que contiene la lista de extensiones para las que el encriptador escanea. Estas son las extensiones a las que Cerber se puede dirigir y encriptar:
→ .contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv (Source: Bleeping Computer)
Después del escaneo, Cerber codifica los archivos con un algoritmo de cifrado AES de 256 bits que ha sido clasificado como encriptación Suite.B que se utiliza para la codificación de datos clasificados por el gobierno de Estados Unidos. No sólo esto, sino que también Cerber cambia la extensión del archivo a .CERBER. Así es como se ve un archivo encriptado antes y después:
→ Antes de la encriptación:
New Text Document.txt
Después de Cerber:
2308z2b.cerber
No sólo esto, sino que también Cerber manda varios archivos tipo nota de rescate al escritorio del usuario:
- # DECRYPT MY FILES #.html
- # DECRYPT MY FILES #.txt
- # DECRYPT MY FILES #.vbs
La secuencia de comandos “.vbs” es particularmente interesante, ya que han informado los usuarios afectados que incluye el mensaje de rescate transcrito a partir de texto a voz en formato de audio. Cerber notifica a los usuarios repitiendo varias veces “¡Atención! Sus archivos han sido encriptados!” junto con breves instrucciones sobre lo que se debe hacer. Esto se considera que es una táctica de los creadores de Cerber ransomware para asustar a los usuarios.
A diferencia de los otros mensajes de rescate, Cerber es muy breve en su notificación al usuario afectado:
→ “CERBER
Sus documentos, fotos, bases de datos y otros archivos importantes han sido encriptados!
Para desencriptar los archivos sigan las instrucions:
1.Descargar e instalar el abra la página web:
// El enlace web para el servicio de desencriptación aquí con un dominio .onion} //
4. Siga las instrucciones en este sitio web”
En el enlace web para la desencriptación, el ransomware tiene soporte en 12 idiomas diferentes entre los que los usuarios pueden elegir. También cuenta con un temporizador de cuenta atrás y un servicio que proporciona información sobre cómo pagar el dinero del rescate y detecta si se ha pagado o no el dinero.
Eliminar Cerber ransomware y restaurar .CERBER archivos encriptados
En cuanto a la eliminación del ransomware, se recomienda utilizar un software anti-malware avanzado porque el ransomware puede auto-borrarse a sí mismo después de la encriptación, pero el kit de explotar aún puede permanecer en el equipo. Para una eficacia máxima, se recomienda utilizar la eliminación descrita paso a paso más abajo.
Si desea restaurar correctamente los archivos, la desencriptación directa simplemente no funcionará, debido a que aún no se ha creado para este ransomware. Sin embargo, vamos a mantenerles al día en nuestro foro. Mientras tanto, hemos proporcionado los métodos de restauración de archivos alternativos a continuación.
Eliminar manualmente Cerber de su ordenador
Observación! Notificación importante sobre la amenaza de Cerber requiere la interferencia con los archivos y registros del sistema. Por lo tanto, puede causar daños a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no se preocupe. Usted mismo puede hacer la eliminación en 5 minutos, usando una herramienta de eliminación de software malicioso malware removal tool.
Inicie su PC en modo seguro
Para Windows 7, XP y Vista.
2. Para Windows 8, 8.1 y 10.Para sistemas operativos WindowsXP, Vista y 7:
1. Retire todos los CD y DVD, y reinicie el ordenador desde el menú “Inicio”.
2. Seleccione una de las dos opciones que aparecen a continuación:
– Para PCs con un solo sistema operativo : Pulse la tecla “F8” ” repetidamente después de que la primera pantalla de arranque aparezca durante el reinicio del ordenador. En caso de que aparezca el logotipo de Windows en la pantalla, usted tiene que repetir la misma tarea de nuevo.
Para PCs con múltiples sistemas operativos: Las teclas de flechas le ayudarán a seleccionar el sistema operativo que prefiere iniciar en modo seguro (Safe Mode). Pulse la tecla “F8” tal como se ha descrito para los ordenadores con un solo sistema operativo.
3. En cuanto aparezca la pantalla “ Opciones avanzadas de inicio ” seleccione la opción Modo seguro que desea utilizando las teclas de flecha. Al hacer su selección, pulse “Enter”.
4. Inicie sesión en el ordenador utilizando su cuenta de administrador.
Mientras el ordenador está en modo seguro, las palabras “Modo Seguro” aparecerán en las cuatro esquinas de la pantalla.
Paso 1: Abra el menú Inicio.
Paso 2: Mientras mantiene pulsado el botón Shift haga clic en el botón Power y luego haga clic en Reiniciar (Restart).
Paso 3: Tras el reinicio, aparecerá el menú mencionado más abajo. Desde allí se debe elegir Solución de problemas Troubleshoot.
Paso 4: Usted verá el menú Solución de problemas. Desde este menú se puede seleccionar Opciones avanzadas Advanced Options.
Paso 5: Después de que aparezca el menú ¨Opciones avanzadas (Advanced Options) haga clic en Configuración de inicio (“Startup Settings”).
Paso 6: Haga clic en Reiniciar Restart.
Paso 7: Aparecerá un menú para el reinicio. Usted debe elegir el Modo Seguro pulsando el número correspondiente y la máquina se reiniciará.
Cerber eliminar automáticamente mediante la descarga de un programa anti-malware avanzado.
Elimine Cerber con la herramienta de SpyHunter Anti-Malware
1. Instalar SpyHunter para buscar y eliminar Cerber.2. Escanear con SpyHunter para detectar y eliminar Cerber.Se recomienda realizar un análisis antes de comprar la versión completa del software para asegurarse de que la versión actual del software malicioso puede ser detectado por SpyHunter.
Paso 2: Guíese mediante las instrucciones de descarga previstas para cada navegador.
Paso 3: Después de haber instalado SpyHunter, esperar a que se actualice automáticamente..
Paso 1: Después de que el proceso de actualización haya terminado, haga clic en “Escanear el equipo ahora” (‘Scan Computer Now’) button.
Paso 2: Después de que SpyHunter haya terminado de escanear su PC para cualquier archivo de Cerber haga clic en el botón ‘Fix Threats’ ( Corregir Amenazas) para eliminarlos de forma automática y permanente.
Paso 3: Una vez que las intrusiones en su PC se hayan eliminado, es muy recomendable reiniciarlo.
STOPZilla AntiMalwarePaso 1: Descargue STOPZilla al hacer clic aquí..
Paso 2: Aparecerá una ventana emergente. Haga clic en el botón “Guardar archivo” (‘Save File’) button. Si no se guarda, haga clic en el botón Descargar(Download) y guardarlo después.
Paso 3: Tras haber descargado la configuración, basta con abrirla.
Paso 4: El programa de instalación debería aparecer. Haga clic en el botón ‘Siguiente’ (‘Next’).
Paso 5: : Compruebe el círculo de verificación “Acepto el acuerdo” (‘I accept the agreement’) si ha revisado y acepta las condiciones. Luego haga clic en el botón ‘Siguiente’ (‘Next’).
Paso 6: Revise y haga clic en el botón “Instalar” (‘Install’) button.
Paso 7: Cuando el proceso de instalación se haya completado, haga clic en el botón “Finalizar” (‘Finish’).
2. Escanear su PC con STOPZilla AntiMalware, para eliminar por completo todos los archivos asociados con Cerber.
Paso 1: Iniciar STOPZilla, si no se ha puesto en marcha después de instalar.
Paso 2: Espere a que el software escanee automáticamente y luego haga clic en el botón ¨Reparación Ahora” (Repair Now). Si no se actualiza de forma automática, haga clic en el botón “Escanear ahora¨ (‘Scan Now’).
Paso 3: Después de eliminar todas las amenazas y objetos asociados, debería reiniciar su PC.
