RANSOM_CERBER.A
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild:
Oui
Overview
Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Utilise le planificateur de tâches Windows pour ajouter une tâche planifiée exécutant les duplicats de programme déposés.
Modifie les paramètres de zone d'Internet Explorer.
Détails techniques
Installation
Introduit les duplicats suivants au sein du système affecté, puis les exécute :
- %Application Data%\{GUID}\{random file from system32 folder}.exe
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Introduit les fichiers de composant suivants :
- %Desktop%\# DECRYPT MY FILES #.txt
- %Desktop%\# DECRYPT MY FILES #.html
- %Desktop%\# DECRYPT MY FILES #.vbs
- {folders containing encrypted files}\# DECRYPT MY FILES #.txt
- {folders containing encrypted files}\# DECRYPT MY FILES #.html
- {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
- %Tasks%\{random filename from system32 folder}
(Remarque : %Desktop% est le bureau de l'utilisateur actuel; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data dans Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Bureau sur Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Bureau sur Windows 2000, XP et Server 2003.)
Utilise le planificateur de tâches Windows pour ajouter une tâche planifiée exécutant les duplicats de programme déposés.
Technique de démarrage automatique
Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
Introduit les fichiers suivants dans le dossier de démarrage de l'utilisateur de Windows pour permettre son exécution automatique à chaque démarrage du système :
- %User Startup%\{random filename from system32 folder}.lnk
(Remarque : %User Startup% est le dossier Menu Démarrer de l'utilisateur actuel. Il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows NT ou de C:\Documents and Settings\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer.)
Autres modifications du système
Modifie les fichiers suivants :
- It renames encrypted files to {random name}.cerber
Modifie les clés/entrées de registre suivantes dans le cadre de sa routine d'installation :
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:8888;https=127.0.0.1:8888;"
(Note: The default value data of the said registry entry is {user-defined}.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"
(Note: The default value data of the said registry entry is {user-defined}.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyOverride = "<-loopback>;"
(Note: The default value data of the said registry entry is {user-defined}.)
Modification de la page d'accueil et de la page de recherche du navigateur Web
Modifie les paramètres de zone d'Internet Explorer.
Autres précisions
Chiffre les fichiers en utilisant les extensions suivantes :
- .contact
- .dbx
- .doc
- .docx
- .jnt
- .jpg
- .mapimail
- .msg
- .oab
- .ods
- .pps
- .ppsm
- .ppt
- .pptm
- .prf
- .pst
- .rar
- .rtf
- .txt
- .wab
- .xls
- .xlsx
- .xml
- .zip
- .1cd
- .3ds
- .3g2
- .3gp
- .7z
- .7zip
- .accdb
- .aoi
- .asf
- .asp
- .aspx
- .asx
- .avi
- .bak
- .cer
- .cfg
- .class
- .config
- .css
- .csv
- .db
- .dds
- .dwg
- .dxf
- .flf
- .flv
- .html
- .idx
- .js
- .key
- .kwm
- .laccdb
- .ldf
- .lit
- .m3u
- .mbx
- .md
- .mdf
- .mid
- .mlb
- .mov
- .mp3
- .mp4
- .mpg
- .obj
- .odt
- .pages
- .php
- .psd
- .pwm
- .rm
- .safe
- .sav
- .save
- .sql
- .srt
- .swf
- .thm
- .vob
- .wav
- .wma
- .wmv
- .xlsb
- .3dm
- .aac
- .ai
- .arw
- .c
- .cdr
- .cls
- .cpi
- .cpp
- .cs
- .db3
- .docm
- .dot
- .dotm
- .dotx
- .drw
- .dxb
- .eps
- .fla
- .flac
- .fxg
- .java
- .m
- .m4v
- .max
- .mdb
- .pcd
- .pct
- .pl
- .potm
- .potx
- .ppam
- .ppsm
- .ppsx
- .pptm
- .ps
- .pspimage
- .r3d
- .rw2
- .sldm
- .sldx
- .svg
- .tga
- .wps
- .xla
- .xlam
- .xlm
- .xlr
- .xlsm
- .xlt
- .xltm
- .xltx
- .xlw
- .act
- .adp
- .al
- .bkp
- .blend
- .cdf
- .cdx
- .cgm
- .cr2
- .crt
- .dac
- .dbf
- .dcr
- .ddd
- .design
- .dtd
- .fdb
- .fff
- .fpx
- .h
- .iif
- .indd
- .jpeg
- .mos
- .nd
- .nsd
- .nsf
- .nsg
- .nsh
- .odc
- .odp
- .oil
- .pas
- .pat
- .pef
- .pfx
- .ptx
- .qbb
- .qbm
- .sas7bdat
- .say
- .st4
- .st6
- .stc
- .sxc
- .sxw
- .tlg
- .wad
- .xlk
- .aiff
- .bin
- .bmp
- .cmt
- .dat
- .dit
- .edb
- .flvv
- .gif
- .groups
- .hdd
- .hpp
- .log
- .m2ts
- .m4p
- .mkv
- .mpeg
- .ndf
- .nvram
- .ogg
- .ost
- .pab
- .pdb
- .pif
- .png
- .qed
- .qcow
- .qcow2
- .rvt
- .st7
- .stm
- .vbox
- .vdi
- .vhd
- .vhdx
- .vmdk
- .vmsd
- .vmx
- .vmxf
- .3fr
- .3pr
- .ab4
- .accde
- .accdr
- .accdt
- .ach
- .acr
- .adb
- .ads
- .agdl
- .ait
- .apj
- .asm
- .awg
- .back
- .backup
- .backupdb
- .bank
- .bay
- .bdb
- .bgt
- .bik
- .bpw
- .cdr3
- .cdr4
- .cdr5
- .cdr6
- .cdrw
- .ce1
- .ce2
- .cib
- .craw
- .crw
- .csh
- .csl
- .db_journal
- .dc2
- .dcs
- .ddoc
- .ddrw
- .der
- .des
- .dgc
- .djvu
- .dng
- .drf
- .dxg
- .eml
- .erbsql
- .erf
- .exf
- .ffd
- .fh
- .fhd
- .gray
- .grey
- .gry
- .hbk
- .ibank
- .ibd
- .ibz
- .iiq
- .incpas
- .jpe
- .kc2
- .kdbx
- .kdc
- .kpdx
- .lua
- .mdc
- .mef
- .mfw
- .mmw
- .mny
- .moneywell
- .mrw
- .myd
- .ndd
- .nef
- .nk2
- .nop
- .nrw
- .ns2
- .ns3
- .ns4
- .nwb
- .nx2
- .nxl
- .nyf
- .odb
- .odf
- .odg
- .odm
- .orf
- .otg
- .oth
- .otp
- .ots
- .ott
- .p12
- .p7b
- .p7c
- .pdd
- .pem
- .plus_muhd
- .plc
- .pot
- .pptx
- .psafe3
- .py
- .qba
- .qbr
- .qbw
- .qbx
- .qby
- .raf
- .rat
- .raw
- .rdb
- .rwl
- .rwz
- .s3db
- .sd0
- .sda
- .sdf
- .sqlite
- .sqlite3
- .sqlitedb
- .sr2
- .srf
- .srw
- .st5
- .st8
- .std
- .sti
- .stw
- .stx
- .sxd
- .sxg
- .sxi
- .sxm
- .tex
- .wallet
- .wb2
- .wpd
- .x11
- .x3f
- .xis
- .ycbcra
- .yuv
Solutions
Step 1
En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.
Step 3
Effectuez un scan de l'ordinateur à l'aide de votre produit Trend Micro et prenez note des fichiers spécifiés comme étant RANSOM_CERBER.A
Step 4
Redémarrage en mode sans échec
Step 5
Supprimer cette valeur de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
Step 7
Suppression des tâches planifiées
- Ouvrez l'utilitaire Tâches planifiées de Windows. Cliquez sur Démarrer>Programmes>Accessoires>
Outils système>Tâches planifiées. - Recherchez toutes les tâches pour lesquelles la colonne Planification contient la valeur suivante :
!!!REPLACE THIS!!! - Faites un clic droit sur le ou les fichiers indiqués pour lesquels la valeur mentionnée ci-dessus s'affiche.
- Cliquez sur Propriétés. Dans le champ Exécuter, recherchez la chaîne suivante :
Cmd /c /rd /s /q C: - Si vous trouvez cette chaîne, supprimez la tâche.
Step 8
Recherche et suppression de ces fichiers
- %Desktop%\# DECRYPT MY FILES #.txt
- %Desktop%\# DECRYPT MY FILES #.html
- %Desktop%\# DECRYPT MY FILES #.vbs
- {folders containing encrypted files}\# DECRYPT MY FILES #.txt
- {folders containing encrypted files}\# DECRYPT MY FILES #.html
- {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
- %User Startup%\{random filename from system32 folder}.lnk
- %Desktop%\# DECRYPT MY FILES #.txt
- %Desktop%\# DECRYPT MY FILES #.html
- %Desktop%\# DECRYPT MY FILES #.vbs
- {folders containing encrypted files}\# DECRYPT MY FILES #.txt
- {folders containing encrypted files}\# DECRYPT MY FILES #.html
- {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
- %User Startup%\{random filename from system32 folder}.lnk
Step 9
Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant RANSOM_CERBER.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Participez à notre enquête!