Cerber ransomware, odstraneni?

[ruthan]

Ahoj,
na datove uloziste (klasicka Win7 masina) se nam dostal cerber a napadnul i zalohy, takze neni z ceho obnovit:) Prespektive ne vetsinu.

Kdyz googlim, mam pocit, ze se dostavam hlavne na stranky z nejakym bloatwarem, ktery se ze me snazi vytahnout penize.

Potreboval bych poradit hlavne cim zkonstrolovat a pak odstranit cerber, abych mohl spocitat skody a vedel, ze uz se nebude
sirit dal.

Do stavu nouze a normalnih bootu se dostanu.

Dle tohohle clasku mam tu:
1. Dec 2016 verzi
V adresarich mam soubory nahode pojmenovany, ale vzdycky s koncovkou .9861

Predpokladam, ze dekryptor porad neni?

[altrok]

Ahoj,

odstraneni viru by nemel byt problem - budou stacit logy FRST.txt a Addition.txt z FRST (staci z nouzoveho rezimu) http://forum.viry.cz/viewtopic.php?f=13&t=133100

Vyvoj desifrovacich nastroju nesleduju, ale doporucuju napsat na nasi sluzbu neslape.cz, kde funguje kolega, ktery ma s desifrovanim velke zkusenosti a bude vedet vic. Odstranenim viru ci dalsi neodbornou manipulaci s PC v nekterych pripadech muzes o obnovu dat definitivne prijit. Pokud jses smirenej se ztratou dat a opravdu ti staci smazat jen virus, dej logy viz vyse.

Mas k dispozici zdroj nakazy?

[ruthan]

Ahoj,
prikladam logy, ten potrebuju nejakej tool na odstraneni toho hnusu, jestli mi jeste nekde aktivne bezi, bezela tam realtime Avira, mozna se ho casem
naucila dat pryc, datum nakazy je 2.1.2017

Zdroj nakazy - nemam vsude se pise, ze je to z emailu, ale ty se na nasu neotvirali, myslim ze jsem to chytil, tak ze jsem si stahnul nejaky domeny generatory cerfikatu pro Filezillu, kdyz jsem chtel, aby mela s SFTP, protoze mi vyprsel certifikat, jinak leda dira v zabezpecni Windows 7, nebo dira v uTorrentu.

Jinak pokud ten clovek ma nastroj na decryptovani Cerberu 3+, tak bych i zaplatil, ale podle me nic takovyho neni..

[altrok]

AFAIK desifrovaci nastroj na Cerbera neni.


Mas par let starou Javu - vzhledem k tomu, ze se jedna o hodne deravy software, velice doporucuju jeho aktualizaci java.com/verify


Podezrely - C:\Users\Ruthan\Desktop\truecrypt connect volume by cmd.exe (virustotal.com)
V logu ransomware nevidim... pro jistotu bych tam pustil MBAM (mas tam par adwaru).


Znovu spust FRST64.exe, zatrhni checkbox 90 days a vytvor novy log FRST.txt - jeho obsah vloz do pristi odpovedi.

[ruthan]

Java nejde nainstalovat ve stavu nouze, nainstaluju ji, az podeji, ale vzhledem k tomu, ze dneska v browseru prakticky nepouziva, tak tim se dneska nic nechyti, jeji diru akorat vyuzije nejaky hnus, ktery uz se na komp dostal nejak jinak..

Ten - C:\Users\Ruthan\Desktop\truecrypt connect volume by cmd.exe to je v pohode, to je neco co jsem vytvoril sam, je to bat prevedeny do exe,
cili maximalne milna detekce.

Log s 90 day v je v priloze.

[altrok]

Otestujte na virustotal.com C:\Windows\msapss\bin\msapp.exe - pokud uz byl soubor otestovany, zvolte Reanalyse. Do pristiho prispevku dejte link (odkaz) s vysledky analyzy.

• Nainstalujte MBAM 3.0 http://www.bleepingcomputer.com/downloa ... i-malware/ (stale v nouzovem rezimu)
• na konci instalace zruste zatrzitko u volby Povolit bezplatnou zkusebni verzi Malwarebytes Anti-Malware Premium
• aktualizujte virovou databazi
• na zalozce Sken vyberte moznost Sken hrozeb a spustte sken (vezme cca 30 minut)
• do pristi odpovedi vlozte log s nalezy - probereme nalezy a pripadne je smazeme.

[ruthan]

Tak ten C:\Windows\msapss\bin\msapp.exe , urcite bude nejakej hnus.

Ten test porad jeste bezi se to zaseklo na 23 bodu:
https://virustotal.com/en/file/4de18ce0 ... 488209631/

Malware bytes scan neprilozim, jelikoz jsem to uz preinstaloval, ale mam starou zalohu, kdyby se objevil decryptor, pak veci sem nezachranil a mam pred sebou spoustu nastavovani.

[altrok]

Zasifrovane soubory mate zazalohovane, pocitac preinstalovany, takze z me strany uz tu neni co resit