Ir ao conteúdo
  • Cadastre-se
bdsnobre

Infecção por cerber3

Recommended Posts

Boa tarde, esta é minha primeira postagem, infelizmente devido a invasão esta semana em 2 maquinas quando estava acessando remotamente 2 maquinas com o software Ammyy Admin.

Nas 2 situações comecei a operar a maquina remotamente e no meio do processo a conexão caiu, quando retornou estava uma tela cinza com mensagem em inglês c letras verdes. Pelo que verifiquei estava solicitando resgate pela desincriptação dos arquivos da maquina. Todos os arquivos da maquina estavam encriptados com a extensão CERBER3. Se alguem puder ajudar ou ver se tem  relação com este software de acesso remoto,agradeço, pois utilizo ele para atender alguns clientes...

Screenshot_20160922-141235.png

Screenshot_20160922-141228.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde @bdsnobreque infelicidade a sua que isso tenha ocorrido. 

Seguem minhas dicas:

Tem um tópico aqui com esse assunto:

Use o site abaixo para definir qual a variante do ransoware:

https://www.nomoreransom.org/crypto-sheriff.php (você já sabe então mais fácil)

Veja se tem alguma ferramenta para a variante desse ransoware aqui

https://www.nomoreransom.org/decryption-tools.html

Tente esse site também contém diversas ferramentas, pode ser que alguma lhe auxilie em seu caso. 

http://support.kaspersky.ru/viruses/utility#

Espero que isso lhe sirva. 

Estou passando por uma situação semelhante, mas que em meu caso está quase irreversível. Espero que tenha mais sorte. 

Att., 

Edegar

Compartilhar este post


Link para o post
Compartilhar em outros sites

No caso a maquina afetada era de um cliente que nao tenho acesso agora. Vou tentar o contato novamente para tentar esta possivel solução @Edgar Cardoso. Valeu mesmo...

Compartilhar este post


Link para o post
Compartilhar em outros sites
20 horas atrás, bdsnobre disse:

No caso a maquina afetada era de um cliente que nao tenho acesso agora. Vou tentar o contato novamente para tentar esta possivel solução @Edgar Cardoso. Valeu mesmo...

De nada espero que a solução funcione. 

De-nos um feedback depois. 

Att.,

Edegar

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não, tentei mas não deu certo, pelo que li a ferramenta deles só trabalha com a variação 1 do cerber, esse três muita gente comenta que ainda não há um modo de recuperação

Compartilhar este post


Link para o post
Compartilhar em outros sites

Galera, é o seguinte.....fui atacado pelo ransonware no inicio de dezembro.....e como a maioria das pessoas meus back ups ficavam conectados via usb a maquina. coclusão....toda minha vida de fotos, vídeos, viagens, enfim....tudo foi criptografado, conversei com DEUS e o mundo para tentar resolver e depois de ter a opnião de alguns feras da informática, programadores e formados em TI, cheguei ao veredito....***** !!!!  esses Hackers.....são um verdadeiros *****´s....os caras são extremamente inteligentes....não existe como chegar até eles, se comunicar ou o que quer que seja....e mais pelo que tenho pesquisado a ***** é que cada máquina é encryptada com uma extensão diferente...tipo...o arquivo que era .JPG.....foi encryptado para o final .9f7c (no meu caso) no caso de fulano a extensão é X de cilhano a extensão é Y e por ai vai...cada computador eles encryptam com uma extensão única que não serve para resolver o caso de um amigo ou quem quer que seja...eles deixam o famoso recado que você foi atacado e que deve pagar a quantia de tantos bitcoins para obter o cerber decryptor......pois bem....de tão apavorado resolvi pagar o resgate.....sem ter a menor garantia que os hackers iam cumprir com sua promessa de desemcryptar os arquivos....seguindo as instruções para pagar o resgate em bitcoin ,depois de pesquisar muito cheguei a um site do Brasil...BIT-CAMBIO - em são paulo - av. paulista BITCAMBIO.   lá tive de fazer cadastro, esperar aprovação e tudo mais, porém você conta com atendimento de chat on line o que foi fundamental para eu entender dessa parada.....uma vez comprado os bit-coins, que o fiz através de transferência bancaria via banco do Brasil direto para a conta da BIT-CAMBIO depois de 30-45 min estava disponível os bit-coins na minha conta que é criada junto com seu cadastro.....ai você tem que seguir as instruções do anexo deixado junto com a invasão....você é obrigado a baixar um navegador (sem nenhuma segurança) chamado TOR....( você não pode digitar nenhum tipo de senha ou acessar redes sociais enquanto esse TOR estiver instalado no seu PC) ele é uma porta aberta aos invasores que terão acesso total a esses dados caso você digite ou acesse... uma vez instalado esse TOR você abre o navegador e cola o endereço deixado pelos hackers ...vai abrir uma pagina com o link de endereço para transferência desse resgate (bitcoins) ...o endereço deverá ser usado no site onde você comprou os bitcoins ( no caso você tem que transferir os bitcoins pelo BITCAMBIO.COM.BR) (mesmo local onde você adquiriu com a grana ok?)...lá no site bitcambio vai ter seu crédito em bitcoins e vai ter uma opção para transferência desses bit coins...ai você pega o endereço de transferência (que vai estar nas instruções deixadas pelos invasores) e vai cadastrar e transferir através do bitcambio..... esse endereço que os hackers deixam já é um tipo de borderô de pagamento que, quando os bitcoins caem na conta deles, através daquele numero eles sabem que o resgate pago se refere a sua máquina específica..... ai você vai na pagina que você abriu no TOR e vai ter uma opção no pé da pagina que diz que quando você fizer o pagamento deve atualizar a pagina....como você já fez o pagamento do resgate a pagina vai te dar acesso para você baixar um arquivo que no meu caso se chamava decrypter.exe  ...uma vez baixado o decrypter. você tem que desativar qualquer tipo de anti vírus- inclusive o Windows defender, pois eles não permitem o decrypetr rodar...uma vez desativado os anti vírus, você tem de estar com o TOR aberto (navegador) ai executa o arquivo decrypter.exe.....ele vai fazer uma varredura no seu computador para saber que os arquivos encriptados na sua máquina são exatamente os da extensão que se refere ao atalho o qual você pagou aquele resgate e consecutivamente correspondem ao final 9f7c....(fóda né?) uma vez checado que se trata do computador certo vai aparecer uma mensagem em inglês, conectando-se a rede anônima... uma vez conectado ele vai perguntar se você quer decryptar um local especifico ou se você quer executar no computador inteiro...eu coloquei num primeiro momento que queria que fosse o computador inteiro ( o que demorou muitooooo ) ps...você deve ter um no brake, pois se desligar a maquina ou acabar a energia enquanto roda o decrypter os arquivos que estiverem sendo lidos naquele momento vai pro céu ok?)   pois bem...ficou a tarde toda, a noite toda....quando foi 03:00 manhã a benção do Windows ativou o Windows defender.....quando acordei de manhã e olhei aquilo quase desmaiei... o HD principal ainda não tinha sido restaurado, somente outro que não tinha importância....mais por sorte eu repeti todo o procedimento e consegui resgatar tudo que me interessava....ai de madrugada o Windows do inferno ativou o defender de novo...e como faltava o C; para restaurar quando repeti a operação começou dar erro que não era possível conectar com a rede anônima...ai já estava salvo o que eu precisava, e o que perdi no drive C: não importava....espero ter ajudado....aprendi que não se deve fazer o back up de dados em hd que fique conectado a máquina, fiz back up de tudo e agora gravei tudo em outros hd´s que so poderão ser atacados pelas baratas, pois ficam dentro do guarda roupa...(quero ver atacar agora hacker do inferno) agora formatei minha maquina e uso o MALWAREBITES - anti-malware (versão premium) deixo o defender ativado 24 hrs, e ainda deixo minimizado o gerenciador de tarefas para olhar de vez em quando quem está sendo executado em minha maquina....se a maquina ficar lenta pode correr e olhar no gerenciador e na proteção em tempo real se está sendo atacado.... espero tê-los ajudado com meu relato, Jesus fachini - Brasilia - DF....FELIZ 2017 !!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Meu cliente tem kaspersky em todas as estações e nos servidores, firewall dele bem configurado, e foi vitima, ainda me pergunto como esse vírus consegue entrar, uma grande brecha são arquivos mapeados por scripts, pois neles contem usuário e senha, desta forma fica fácil, fazer backup em nuvem nao resolve se deixar o programa aberto rodando direto, tem que abrir fazer o bk e fechar, o problema é: bks de server muitas vezes tem muitos gigas, clientes meus tem bks de mais de 500gb, tem que deixar o programa aberto quase o fds todo (dia preferido por eles para atacarem), em empresas onde clientes fazem acesso remoto direto ao server é pior, porque nao podemos bloquear os usuarios para ter acesso, por experiente, acho que a melhor forma de garantir sua segurança é bk sempre atualizado em hd externo (ideal mais de um, assim roda incremental diario e no outro roda bk full) bk via copia de sombra tambem ajuda, pois em casos onde nao é deletado (como no crysis) pode acessar e recuperar tudo, ainda busco uma solução de bk em nuvem via ftp, pois desta forma nao ficaria nenhum programa aberto sincronizando. bom vamos ajudar com formas de se prevenir tambem, de forma a ajudar outros usuarios a evitar esta grande dor de cabeça. 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×