中了.cerber3病毒了，一天之后才知道新版有反勒索服务，怎么破_360社区
和前天中.zepto病毒的那个一样，360、腾讯管家都没用
重要文档和照片全被加密成.cerber3，被勒索要2个比特币，杀毒都没解决任何问题！
产品答疑师
您好 请问您在中毒前是否有安装360安全卫士？
本帖最后由 360fans_ 于
18:20 编辑
您好 请问您在中毒前是否有安装360安全卫士？
安装了，但是不是测试版，9月6日中的病毒
产品答疑师
这样 您添加我qq沟通把 。
这样 您添加我qq沟通把 。已经加了
LV1.上等兵
您好 请问您在中毒前是否有安装360安全卫士？我电脑也中了cerber3病毒，电脑上装着360杀毒软件。。怎么办呢？
LV1.上等兵
我也中了cerber3~
LV1.上等兵
我的电脑不知怎么也中.cerber3病毒，文件图片全完了，自已电脑也装了360安全卫士和360杀毒， 真希望360能解决！！！
LV1.上等兵
楼主问题解决了吗？我也中了万恶的cerber3病毒，能否解密啊？？？
今天刚刚中了cerber3，特地赶来求助，请问一下是如何解决的大家
LV1.上等兵
16日晚下载某纪录片字幕文件时中的毒,全部照片，视频，WORD文件，RAR压缩文件，数据库文件被加密为cerber3后缀。原来装了江民，现在已装上360.
怎么办有没有解密工具
怎么办有没有解密工具目前没有，什么时候能有也不知道
我的电脑刚中了cerber3病毒软件, 所有Office文件都被加密并被修改了文件名称& &怎么解密和打开?
LV1.上等兵
今天下午中了cerber3病毒，求360能解决！
热门推荐最新主帖
360社区客户端下载Mac用户请注意！或有勒索病毒向你袭来
Mac用户请注意！或有勒索病毒向你袭来
苹果公司用户成为黑客首次针对Macintosh电脑的攻击目标。Ransomeware是目前增长最快的一种网络安全威胁因素，被感染的计算机数据将会被加密。之后，受害者需要支付一定的赎金以获取密码来解锁数据。
　　【机锋资讯】在去年初，有不少苹果手机遭遇了一波锁屏勒索事件，当时主要是在事主的iPhone手机上突然跳转页面，提示iPhone已丢失并被抹掉，请重新登录激活。一旦输入Apple ID和密码，屏幕就会变黑，显示：此iPhone已丢失，请与我联系&&而对方会回复需要解锁费的事件。现在类似事件又在苹果MAC上演。　
　　3月7日消息，据外媒报道，苹果公司用户成为黑客首次针对Macintosh电脑的攻击目标。Ransomeware是目前增长最快的一种网络安全威胁因素，被感染的计算机数据将会被加密。之后，受害者需要支付一定的赎金以获取密码来解锁数据。
　　一些安全专家预测，这些被勒索病毒感染的用户向网络犯罪分子支付的赎金总额已经超过数亿美元。这些网络犯罪分子的目标通常是微软公司的Windows操作系统。
　　苹果公司的发言人表示，苹果公司上周末已经采取一定的措施来防止黑客的入侵。但他并未透露更多的防范细节。
　　此类病毒会在感染后的三天之内对电脑上的数据进行加密。这也就意味着，如果苹果公司已经成功克制住了这些病毒，那么上周末感染病毒的用户在本周一将不会被加密。
　　苹果公司表示，他们计划在官方博客上提供免费咨询，帮助Mac用户检测是否感染了此类病毒，并为他们及时提供帮助和保护。
(window.slotbydup=window.slotbydup || []).push({
id: '2331703',
container: s,
size: '600,200',
display: 'inlay-fix'
12345678910
扫我~关注“机锋网”微信公众号
第一时间获取有价值的新闻！
友情链接：查看:19920|回复：27
论坛首席记者
近期有多家用户感染新的勒索软件病毒，感染该病毒后系统中多种文档文件会被加密，需要支付$300美金或比特币获取密钥才能将文件解密。
感染客户会弹出以下勒索窗口：
甚至桌面也会被锁定：
(64.46 KB)
关于这只病毒的详细信息如下：
传播渠道：
此木马病毒可能通过聊天工具，电子邮件，恶意网站传播，或由其他病毒释放而来。
病毒行为：
1. 释放其自身的复制到以下目录：
%Application Data%\{随机字母的文件名}.exe
(注意：%Application Data%是当前用户的ApplicationData 文件夹,在Windows 2000, XP，Server 2003系统中通常为 C:\Documents and Settings\{帐户名称}\Application Data,在Windows 7及以上版本系统中通常为 C:\Users\{user name}\AppData\Roaming.)
2. 会创建互斥量，以避免自己重复运行
3. 会在注册表中添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = &%Application Data%\{随机文件名}.exe&
4. 会添加以下注册表键值：
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files
(14.18 KB)
其中子键file下方列出的是已被加密的文件列表s9=f???D?y:宋体;mso-ascii-font-family:Cmso-ascii-theme-font:minor-mso-fareast-font-family:宋体;mso-fareast-theme-font:minor-mso-hansi-font-family:Cmso-hansi-theme-font:minor-latin'&释放其自身的复制到以下目录：
%Application Data%\{随机字母的文件名}.exe
(注意：%Application Data%是当前用户的ApplicationData 文件夹,在Windows 2000, XP，Server 2003系统中通常为 C:\Documents and Settings\{帐户名称}\Application Data,在Windows 7及以上版本系统中通常为 C:\Users\{user name}\AppData\Roaming.)
2. 会创建互斥量，以避免自己重复运行
3. 会在注册表中添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = &%Application Data%\{随机文件名}.exe&
4. 会添加以下注册表键值：
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files
(35.12 KB)
5. 该病毒会连接以下域名以获取加密的密钥：
gktibioivpqbot.net
kktvnsdykphojs.co.uk
jmyeansxbbiibw.org
qnamcbakhsitnw.ru
ppfuovpjxejnoy.biz
这些地址中任意一个可连接的域名最终指向ip地址为93.189.44.187 的服务器
6. 在获取加密密钥后以下类型文档将被加密
*.3fr *.accdb *.arw *.bay *.cdr *.cer *.cr2*.crt *.crw *.dbf *.dcr *.der *.dng *.doc *.docm *.docx *.dwg
*.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb*.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12
*.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt*.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf*.srw *.wb2
*.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm*.xlsx
7. 勒索者接受以下支付方式
防护方法：
1. 从网关处阻止恶意地址的连接
2. 将防毒软件病毒码更新至最新
3. 不要随意点开未知发送者的邮件附件
4. 不要随意接收并运行聊天工具中发送的文件（包括看上去是图片文件或office文档的文件）
5. 不要随意访问未知的国外站点，特别是黄色站点或是视频下载站点
6. 重要文档请注意备份
助理工程师
针对第五点，可不可以直接在防火墙档掉域名和该IP地址以达到防护的目的呢？
论坛首席记者
引用:原帖由 Aimin001 于
13:42 发表
针对第五点，可不可以直接在防火墙档掉域名和该IP地址以达到防护的目的呢？ 理论上是可行的
菜刀在手，问天下谁是英雄
这么强悍的病毒呀
～Near.~一个人，要是不逼自己一把，根本不知道自己有多优秀
助理工程师
引用:原帖由 redhat9i 于
13:58 发表
理论上是可行的 感谢版主分享！
论坛首席记者
引用:原帖由 Nico_Lv 于
13:59 发表
这么强悍的病毒呀 对呀，越来越流氓了
菜刀在手，问天下谁是英雄
助理工程师
一般防火墙很难对付了吧，防患于未然才好。
那就是说写hosts也可以了
gktibioivpqbot.net&&127.0.0.1
&&127.0.0.1
kktvnsdykphojs.co.uk 127.0.0.1
jmyeansxbbiibw.org 127.0.0.1
qnamcbakhsitnw.ru 127.0.0.1
ppfuovpjxejnoy.biz 127.0.0.1
论坛首席记者
引用:原帖由 mo听风 于
09:46 发表
那就是说写hosts也可以了
gktibioivpqbot.net&&127.0.0.1
&&127.0.0.1
kktvnsdykphojs.co.uk 127.0.0.1
jmyeansxbbiibw.org 127.0.0.1
qnamcbakhsitnw.ru 127.0.0 ... 可以！！！！
菜刀在手，问天下谁是英雄
初级工程师
感谢楼主贴出
本帖最后由 redhat9i 于
16:01 编辑
有解密的方法吗？
论坛首席记者
引用:原帖由 hqq0000 于
17:33 发表
有解密的方法吗？ 没有
菜刀在手，问天下谁是英雄
高级工程师
刚刚看了看，国外论坛关于这个病毒的争论都翻到106页了..各类猜想，逆向解密尝试等等
论坛首席记者
引用:原帖由 beanxyz 于
11:57 发表
刚刚看了看，国外论坛关于这个病毒的争论都翻到106页了..各类猜想，逆向解密尝试等等
/forums/t/506924/cryptolocker-hijack-program/page-106 ... 都是些高人啊
菜刀在手，问天下谁是英雄
高级工程师
引用:原帖由 redhat9i 于
12:17 发表
都是些高人啊 刚刚看了看他们的讨论，有一点我不太确定，你提到的那个网站IP，貌似他的主要功能是进行勒索，用户必须在3天内提交公钥，他会生成对应的密钥解密，而公钥加密是由病毒实现的，那么这样的话，单纯的屏蔽这个IP应该没用吧？
那个讨论前几页还在说shadow copy貌似可以找回旧的备份记录，但是后几页说最新的变种病毒已经会自动删除shadow copy了，所以还是离线保存的记录更可靠。现有的各类杀软也只能删除该病毒，但是如果已经中招了，是没法解密的。而且这个病毒的权限是按照当前用户的权限来跑的，所以如果用户权限太高，有可能网络磁盘，本地磁盘都会被感染加密！
论坛首席记者
引用:原帖由 beanxyz 于
12:34 发表
刚刚看了看他们的讨论，有一点我不太确定，你提到的那个网站IP，貌似他的主要功能是进行勒索，用户必须在3天内提交公钥，他会生成对应的密钥解密，而公钥加密是由病毒实现的，那么这样的话，单纯的屏蔽这个IP应该没用吧？
那个讨论前 ... 据厂商的消息说是要从那几个站点下载秘钥加密，理论上拦截那些站点的通信就不会被加密。要真的中了这个病毒删了也没多大意义，因为文件已经被加密了，杀毒软件也是不会去帮你解密的，他的作用就是帮你防御病毒、杀灭病毒，并不会对病毒造成的损坏、改动进行修复
菜刀在手，问天下谁是英雄
高级工程师
引用:原帖由 redhat9i 于
14:25 发表
据厂商的消息说是要从那几个站点下载秘钥加密，理论上拦截那些站点的通信就不会被加密。要真的中了这个病毒删了也没多大意义，因为文件已经被加密了，杀毒软件也是不会去帮你解密的，他的作用就是帮你防御病毒、杀灭病毒，并 ... NSA应该发挥作用了，找个啥后门摸上去就找到开发者了
这个病毒这么牛xx，真的中这个病毒就没办法了吗
论坛首席记者
引用:原帖由 风中的云 于
15:59 发表
这个病毒这么牛xx，真的中这个病毒就没办法了吗 目前是没啥好的办法
菜刀在手，问天下谁是英雄
昨天我在虚拟机测试了一下，好像都没用发布： 9:21:08 |作者: —— |来源： 华强电子网&&&&&&&据国外媒体报道，俄罗斯安全厂商卡巴斯基公司周五宣布发现一种史上最复杂的Android木马，Android手机一旦感染该木马，将被恶意扣费，并失去设备管理员权限，无法删除该木马。&&&&&&&这种危险的新木马被称为Backdoor.AndroidOS. Obad.a。据称，感染了Obad木马的Android手机会自动向增值服务号码发送短信，并自动安装一些其他恶意软件。此外，该木马还能通过蓝牙将恶意软件安装至其他Android手机，而且可以在Android控制台中执行远程命令。&&&&&&&卡巴斯基的专家表示，Obad木马会通过代码混淆的方式将自己隐藏起来，并能够对一些新发现的Android漏洞进行攻击。正因为如此，安全专家很难对该木马进行追踪并修补相关漏洞。最危险的是，Obad木马能够窃取管理员权限，而且系统中不会列出木马所注册的设备管理器，从而导致用户几乎取消木马的设备管理权限。&&&&&&&虽然Obad木马很强大，但现在尚未大面积传播。卡巴斯基公司已经将这种新发现的安全威胁告知谷歌公司。&手机病毒的危害&&&&&&&历史上最早的手机病毒出现在 2000年，当时，手机公司Movistar收到大量由计算机发出的名为“Timofonica”的骚扰短信，该病毒通过西班牙电信公司 “Telefonica”的移动系统向系统内的用户发送脏话等垃圾短信。事实上，该病毒最多只能被算作短信炸弹。真正意义上的手机病毒直到2004年6月才出现，那就是“Cabir”蠕虫病毒，这种病毒通过诺基亚s60系列手机复制，然后不断寻找安装了蓝牙的手机。之后，手机病毒开始泛滥。&&&&&&&手机病毒一般具有传染性、破坏性的手机程序。感染手机病毒后可能导致用户信息被窃，如个人通讯录、个人信息、日程安排、各种网络帐号、银行账号和密码等。也给传播非法信息提供渠道，现在，彩信大行其道，为各种色情、非法的图片、语音、电影开始地传播提供了便利。 恶意的病毒还将破坏手机软硬件，手机病毒最常见的危害就是破坏手机软件、硬件，导致手机无法正常工作。造成通讯网络瘫痪如果病毒感染手机后，强制手机不断地向所在通讯网络发送垃圾信息，这样势必导致通讯网络信息堵塞。这些垃圾信息最终会让局部的手机通讯网络瘫痪。更严重的将会损毁 SIM卡、芯片等硬件，导致使用者无法正常使用手机。&主流系统的安全性能：安卓不乐观，iOS封闭换取稳定&&&&&&&iOS作为一个非开源的OS，一直饱受开发者诟病，但从安全方面来看，闭源的iOS从架构层面来看就对病毒形成了良好的阻断机制。iPhone、iPad、iPod Touch建有多个安全层。低级的硬件和固件功能保护可以防止恶意软件和病毒，高级的OS功能可以确保个人信息、企业数据安全，防止未授权使用，协助阻止攻击。iOS安全模式在保护信息的同时，也支持移动使用、支持第三方程序、支持同步。系统大部分是基于产业标准安全设计原理开发的，许多时候，苹果还增加了设计，在不牺牲使用性的前提上强化安全。这份文件提供了安全技术的细节，也介绍了iOS平台内部功能的执行。&&&&&&&而Android是一个开放源系统，这也就意味着黑客也能够掌握此系统的基本结构和源代码。很多用户都反映称自己的Android手机遭受病毒的攻击，造成了丢失重要资料以及恶意扣费等损失。据软件商店分析公司Distimo新发布的报告来看，谷歌官方Android Market中的免费软件已经达到了70%左右。更糟糕的是，为了争夺用户，一些个人的软件商店甚至会提供大量盗版软件让用户下载。这也从侧面揭示出Android系统和相关软件的安全性问题很难得以保障。2012年Android手机安全报告称，全球的Android系统安全威胁中，中国大陆地区以26.7%的比例高居首位，其中以隐私信息窃取为目的的恶意软件高达24.3%，居所有恶意行为之首。此外，复旦大学计算机科学技术学院的研究团队在选取了国内具有代表性的七大应用商城中330个热门应用程序进行模拟安全检测。结果表明，七大应用商城的总体泄露率达58%，这意味着将近六成的Android应用程序存在问题和约8500万人受到隐私泄露威胁。另一项研究数据显示，在某应用商城40个最热门的应用中，存在泄露问题的有25个，根据下载量推算，92万用户的隐私信息“被出卖”。大量Android系统用户的隐私信息面临泄露的风险。（责编：xavier）找到1条结果上一篇:下一篇:发表评论（已有0位网友评论）验证码：&&&&&瑞萨的MCU在汽车电子领域可谓声名赫赫，其实近年来在工业、智&&&&&11月27日，大疆创新推出了首款智能农业喷洒防治无人机——大&&&&&中国智能手机市场已经趋近饱和，进一步所面临的将是寒冬，受此影勒索病毒紧急通告
&绿盟科技安全团队捕获勒索病毒样本（Locky），经过分析，此勒索病毒会以邮件的形式进行传播。用户一旦感染该病毒，会自动加密电脑文件。除支付赎金外，目前尚无解密办法。鉴于勒索病毒造成的严重后果，绿盟科技发出此紧急公告，提醒用户注意防范，避免感染。
1.对于个人客户：
1）升级防病毒软件到最新病毒库。
2）定期异地备份重要文件。
3）针对不明邮件中的附件，切勿随意打开。
4）在windows中开启显示扩展名设置，针对可执行(.EXE、.COM、.SCR、.PIF)、脚本(.BAT、.CMD、.JS、.JSE、.VBS、.VBE、.WSF、.WSH、.PS1、.PSC1)等扩展名的文件，切勿双击打开，针对office中的宏提示，不要进行点击运行。
5）在高权限的cmd里执行，将以下后缀的文件默认打开程序变为记事本：
ftype JSFile=C:\Windows\System32\Notepad.exe %1
ftype JSEFile=C:\Windows\System32\Notepad.exe %1
ftype VBSFile=C:\Windows\System32\Notepad.exe %1
ftype VBEFile=C:\Windows\System32\Notepad.exe %1
ftype WSFFile=C:\Windows\System32\Notepad.exe %1
ftype WSHFile=C:\Windows\System32\Notepad.exe %1
2.对于企业客户
1）升级企业防病毒到最新病毒库。
2）定期异地备份文件数据。
3）提醒员工不要打开来历不明的邮件。
4）部署绿盟高级威胁分析系统TAC。
5）升级邮件过滤系统。
6）在高权限的cmd里执行，将以下后缀的文件默认打开程序变为记事本：
ftype JSFile=C:\Windows\System32\Notepad.exe %1
ftype JSEFile=C:\Windows\System32\Notepad.exe %1
ftype VBSFile=C:\Windows\System32\Notepad.exe %1
ftype VBEFile=C:\Windows\System32\Notepad.exe %1
ftype WSFFile=C:\Windows\System32\Notepad.exe %1
ftype WSHFile=C:\Windows\System32\Notepad.exe %1
勒索病毒以邮件附件方式传播。附件是一个zip压缩包，包含执行脚本，以js文件格式结尾。
点击运行后，会下载勒索软件，感染运行后，即对本地文件进行加密。
勒索软件的业务逻辑
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】