瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中了CERBER4勒索病毒。求助(附件为样本)
kennychenda - 2017-1-27 2:58:00
您找不到所需的文件?
您文件的内容无法阅读?

这是正常的,因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。

这意味着您的文件并没有损坏!您的文件只是被修改了,这个修改是可逆的,解密之前您无法使用您的文件。

安全解密您文件的唯一方式是购买特别的解密软件“Cerber Decryptor”。

任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的!


--------------------------------------------------------------------------------

您可以在您的个人页面上购买解密软件:

请稍候...http://p27dokhpz2n7nvgr.1plugt.top/2257-03C1-E159-0502-978A


--------------------------------------------------------------------------------
http://p27dokhpz2n7nvgr.15nhsf.top/2257-03C1-E159-0502-978A
--------------------------------------------------------------------------------
http://p27dokhpz2n7nvgr.14gmtu.top/2257-03C1-E159-0502-978A
--------------------------------------------------------------------------------
http://p27dokhpz2n7nvgr.1321z6.top/2257-03C1-E159-0502-978A
--------------------------------------------------------------------------------
http://p27dokhpz2n7nvgr.1dp6un.top/2257-03C1-E159-0502-978A
如果这个页面无法打开,请 点击这里 生成您个人页面的新地址。

您将在这个页面上看到如何购买解密软件以恢复您的文件。

您可以在这个页面使用“Cerber Decryptor”免费恢复任何文件。


--------------------------------------------------------------------------------

如果您的个人页面长期不可用,有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器:

使用您的上网浏览器(如果您不知道使用 Internet Explorer 的话);
在浏览器的地址栏输入或复制地址 https://www.torproject.org/download/download-easy.html.en 并按 ENTER 键;
等待站点加载;
您将在站点上下载 Tor 浏览器;下载并运行它,按照安装指南进行操作,等待直至安装完成;
运行 Tor 浏览器;
使用“Connect”按钮进行连接(如果您使用英文版);
初始化之后将打开正常的上网浏览器窗口;
在浏览器地址栏中输入或复制地址
http://p27dokhpz2n7nvgr.onion/2257-03C1-E159-0502-978A

按 ENTER 键;
该站点将加载;如果由于某些原因等待一会儿后没有加载,请重试。
如果在安装期间或使用 Tor 浏览器期间有任何问题,请访问 https://www.baidu.com 并在搜索栏中输入“怎么安装 Tor 浏览器”,您将找到有关如何安装洋葱 Tor 浏览器的说明和教程。


--------------------------------------------------------------------------------

附加信息:

您将在任何带有加密文件的文件夹中找到恢复您文件(“*HELP_HELP_HELP*.hta”)的说明。

带有加密文件的文件夹中的(“*HELP_HELP_HELP*.hta”)说明不是病毒,(“*HELP_HELP_HELP*.hta”)说明将帮助您解密您的文件。

请记住,最坏的情况都发生过了,您的文件还能不能用取决于您的决定和反应速度


麦青儿回复::
您的附件是勒索病毒运行后,释放的文件,就是一个文档,教用户如何解锁的,本身是没有危害的,所以瑞星不把它作为病毒处理:

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3)

附件: 样本.rar
天月来了 - 2017-1-27 8:11:00
没好办法

这个加密方式是第三方不可解的。

文件备份候等碰运气吧,或许将来制毒者能放出密钥。
kennychenda - 2017-1-27 12:57:00
那现在瑞星可以防御了吗?我是开着瑞星中的。。
天月来了 - 2017-1-28 8:43:00
此毒不断针对全球主流杀毒软件做免杀处理

防御这块瑞星的传统监控难以解决,因为不断免杀处理嘛。

至于行为防御那块又因为加密行为在普通用户那也是存在自我加密的操作的,所以瑞星主动防御也没激进的去严格阻止非微软的程序的加密行为。

一句话,瑞星目前难以防御。

此毒目前还有一特点,好象制毒者自己会失误没能在服务器上保留密钥成功,也就是说即便你汇那几万元过去,可能也是解不了的,钱也不会回来。:kaka6:
数字飞扬 - 2017-1-28 22:20:00
对于加密病毒,美国的CIA和FBI都束手无策
只能以防为主,用HIPS或COMODO自动沙箱,可以收到比较好的效果
用瑞星内核加固的文件规则,将文档所在的重要的目录进行权限保护,可有效防止病毒对其读写操作
内核加固默认是放行白名单程序和带数字签名程序的,这样WPS、office等软件能够编辑文件,其它程序就没有权限动文件
1
查看完整版本: 中了CERBER4勒索病毒。求助(附件为样本)