Hỏi Đáp Là gì

Cerber ransomware là gì

File CERBER là gì? Cách mở file .CERBER? Những phần mềm mở file .CERBER và sửa file lỗi. Convert N/A CERBER file sang định dạng khác.

.CERBER File Extension

File name	CERBER File
File Type	Cerber Ransomware Encrypted File
Nhà phát triển	N/A
Phân loại	Encoded Files
Định dạng	N/A
Độ phổ biến	3 ★ [2 Bình chọn]

File .CERBER là file gì?

CERBER là Encoded Files - Cerber Ransomware Encrypted File, dưới định dạng N/A được phát triển bởi N/A.

Một tập tin CERBER là một tập tin được mã hóa bởi Cerber ransomware, một loại virus được sử dụng bởi tội phạm mạng để chiếm quyền điều khiển tập tin máy tính của người dùng. Nó chứa tập tin cá nhân của người dùng, chẳng hạn như một .DOC, .JPG, hoặc file .MP3, mã hóa với các phương pháp mã hóa AES-265 và RSA. file CERBER trở nên phổ biến vào năm 2016 và tương tự như .LOCKY và .ZZZZZ tập tin được tạo ra bởi Locky ransomware.

What is a CERBER file?

A CERBER file is a file encrypted by Cerber ransomware, a virus used by cybercriminals to hijack a user's computer files. It contains a user's personal file, such as a .DOC, .JPG, or .MP3 file, encrypted with AES-265 and RSA methods. CERBER files became popular in 2016 and are similar to .LOCKY and .ZZZZZ files that are created by Locky ransomware.

Cách mở .CERBER file

Để mở file .CERBER click đúp [double click] vào tập tin. Hoặc phải chuột [right click] vào tập tin và chọn Mở [Open] Một số file mở rộng cần cài phần mềm chuyên dụng để mở. Trong một số trường hợp file .CERBER bị lỗi cần phải sửa [fix] mới có thể mở được. Dùng các phần mềm/hoặc công cụ dưới đây để mở và sửa file lỗi.

Phần mềm mở file .CERBER

Dưới đây là danh sách các phần mềm có thể mở, chuyển đổi hoặc sửa file file .CERBER do người dùng đóng góp.

Chuyển đổi file .CERBER

File .CERBER có thể được chuyển đổi sang định dạng khác để phù hợp với mục đích sử dụng. Thông thường các phần mềm có thể mở file có thể chuyển đổi được định dạng khác.

Trong tuần qua trên mạng đã xuất hiện thêm một mối đe dọa của họ mã độc đòi tiền chuộc có tên gọi Cerber.

Cerber hiện là mã độc mới được phát hiện và liệt vào danh sách các ransomware, có mối đe dọa cao với khả năng mã hóa các tập tin của người sử dụng và sau đó cung cấp tính năng TTS [text-to-speech] để nạn nhân nhận được thông điệp về khoản tiền chuộc.

Sau khi mã hóa dữ liệu trên máy tính nạn nhân , virus sẽ để lại những thông báo đòi tiền chuộc ở dạng .TXT , HTML và VBS tại mỗi thư mục có chứa dữ liệu bị mã hóa .

Mã độc này đòi tiền chuộc 1.24 Bitcoin [ khoảng 520$ ] và khoản tiền này tăng lên gấp đôi nếu như sau 1 tuần không trả tiền chuộc .

Các file dữ liệu bị mã hóa và đổi tên file thành các kí tự ngẫu nhiên đuôi .cerber
Virus chủ yếu lây nhiễm theo phương thức đính kèm trong mail spam, chèn link độc hại trên web, trong các ứng dụng chat, Skype..
Kaspersky sẽ phát hiện và ngăn chặn tuy nhiên khi người dùng click vào link mã độc, quá trình mã hóa xảy ra rất nhanh,các biến thể virus và đường dẫn thay đổi liên tục nên chương trình chưa kịp xử lý thì sẽ bị mã hóa dữ liệu.
Những ổ mạng chia sẻ map vào máy có quyền Write đều có thể bị mã hóa file từ máy trạm bị nhiễm virus.
Rất nhiều người dùng còn sử dụng phiên bản Workstation 6 cũ bị hạn chế các tính năng phòng chống virus so với phiên bản Endpoint mới.

Xem thêm thông tin tại đây:

Cách thức xử lý khi bị lây nhiễm virus mã hóa

Khi dữ liệu bị mã hóa sẽ không có cách nào giải mã được [do virus sử dụng thuật toán mã hóa bảo mật và phức tạp]. Hiện Kaspersky có ra mắt công cụ hỗ trợ việc giải mã, tuy nhiên chỉ hỗ trợ được một số trường hợp đã lấy được key giải mã trên máy chủ của hacker. Công cụ giải mã của Kaspersky được download tại đây: //noransom.kaspersky.com/
Không làm theo các hướng dẫn của hacker để tránh mất tiền và lây nhiễm virus thêm.
Xác định và ngắt máy tính bị lây nhiễm khỏi hệ thống mạng, update chương trình Kaspersky và quét lại toàn bộ máy tính.
Kiểm tra tính năng System Protection của Windows có được bật trên các ổ đĩa hay không, nếu có thì sử dụng chương trình ShadowExplorer để khôi phục lại trạng thái file trước đó.
Các nguyên nhân có thể xảy ra hiện tượng máy tính bị lây nhiễm virus mã hóa khi đang sử dụng phần mềm diệt virus Kaspersky:
Không bật đầy đủ các tính năng diệt virus của Kaspersky , đặc biệt là tính năng System Watcher,Mail Antivirus, Self-defense.
Phần mềm Kaspersky chưa được cập nhật đầy đủ.
Khi người dùng nhận được email có mã độc vô tình mở ra, mặc dù có thông báo nguy hiểm của Kaspersky nhưng không để ý, hoặc Kaspersky phát hiện và chặn lại tuy nhiên chương trình virus đã chạy trước và dữ liệu đã bị mã hóa

Khuyến nghị

Đảm bảo mọi máy tính được cài đặt phần mềm diệt virus phiên bản mới nhất để nhận dạng được loại mã độc này, kiểm tra xử lý những máy bị lỗi chương trinh Antivirus ngay khi phát hiện được
Ngăn chặn tình trạng người dùng tạm dừng chương trình phần mềm diệt virus, tắt các tính năng của phần mềm diệt virus
Đảm bảo các máy được cập nhật mẫu virus mới thường xuyên.
Cảnh báo cho người dùng tuyệt đối không click vào đọc những email lạ có chứa file đính kèm, thường là có tên người gửi và subject tiếng nước ngoài.
Sử dụng Outlook thay vì dùng trực tiếp web mail.
Cập nhật các bản vá của hệ điều hành.
Bật tính năng System Protection của Windows để có thể khôi phục file khi cần
Kiếm tra bật tính năng System Watcher, Mail Antivirus, Self-defense của chương trình Kaspersky. Kiểm tra lại cấu hình Mail-antivirus tự động cách ly/xóa file đính kèm khi phát hiện virus.
Backup lại dữ liệu thường xuyên để dự phòng. Ngoài dữ liệu trên hệ thống máy chủ cần thực hiện backup những dữ liệu quan trọng trên máy người dùng.
Cấu hình việc chia sẻ dữ liệu cho người dùng, ngăn cấm việc thay đổi dữ liệu dùng chung full quyền cho người dùng nếu thực sự không cần thiết.

Chân thành cám ơn Quý khách hàng đã ủng hộ công ty Nam Trường Sơn và sản phẩm Kaspersky trong thời gian qua. Trong quá trình sử dụng, nếu Quý khách hàng có bất kỳ yêu cầu hỗ trợ kỹ thuật nào xin vui lòng liên hệ với công ty Nam Trường Sơn để được hỗ trợ.

Hotline: 024 6281 8045 | Email:

admin 21/04/2016

Đóng góp bởi Trần Phương Uyên 28/07/2021

Ransomware là gì? Mức độ nguy hiểm và cách ngăn chặn

I. Ransomware là gì?

1. Định nghĩa

Ransomware là một loại virus được mã hóa, được Bộ Tư pháp Hoa Kỳ xem là mô hình hiện đại của tội phạm mạng với nguy cơ gây tổn thương hệ thống mạng toàn cầu. Khi ransomware lây nhiễm vào máy tính, nó sẽ mã hóa hoặc chặn những truy cập dữ liệu trên đĩa. Để hoạt động bình thường trở lại, người dùng phải chuyển tiền vào tài khoản mới gỡ được ransomware.

Ransomware là gì?

2. Cơ chế hoạt động

Ransomware khi lây nhiễm vào máy tính người dùng sẽ mã hóa file dữ liệu thành các đuôi kí tự lạ. Ví dụ: *.Doc > *.docm ; *.xls > *.cerber, … Ở mỗi thời điểm, các đuôi mã hóa lại khác nhau khiến chúng ta tốn rất nhiều công sức để xác định. Máy tính tính bị nhiễm ransomware không hề hiện ra thông báo từ hacker. Một máy tính bị nhiễm ransomware thì khả năng cao những máy còn lại trong hệ thống cũng gặp tình trạng tương tự. Để chuộc lại file bị nhiễm ransomware, người dùng phải trả tiền cho hacker qua các đồng tiền ảo như Bitcoin,...

Cơ chế hoạt động

II. Nguồn gốc

1. Giai đoạn hình thành

Ransomware được phát hiện ở Nga vào năm 2005-2006. Ở giai đoạn đầu tiên, ransomware có dạng biến thể TROJ_CRYZIP.A. Các nhà phân tích dữ liệu phát hiện ra rằng khi biến thể dạng Trojan này xâm nhập vào máy, dữ liệu ngay lập tức bị mã hóa, muốn truy cập vào lại thì phải có mật khẩu. Và để nhận được mật khẩu, chủ dữ liệu được yêu cầu trả $300.

Giai đoạn hình thành

2. Phát triển

Theo thời gian, Ransomware mở rộng phạm vi của mình, ăn vào cả các tệp văn bản, bảng tính có định dạng đuôi như *.doc, *.xl, *.exe, …

Năm 2011, giới thông tin thế giới ghi nhận sự xuất hiện của một dạng Ransomware khác có tên SMS Ransomware. Ngoài những đặc tính thông thường, SMS Ransomware còn gửi thông báo yêu cầu người dùng phải liên lạc với hacker qua số điện thoại được cung cấp cho đến khi chuyển tiền đúng như yêu cầu.

Ngoài ra, một phiên bản khác của Ransomware cũng làm mưa làm gió khi tấn công vào MBR của hệ điều hành máy chủ. Nói cách khác, nó sẽ khiến cho hệ điều hành không thể hoạt động được.

Phát triển

3. Lan rộng

Xuất hiện đầu tiên ở Nga nhưng chỉ trong một thời gian ngắn, loại virus này đã lan khắp châu Âu. Đỉnh điểm là vào năm 2012, một số lượng lớn vụ tấn công bởi Ransomware được ghi nhận ở châu Âu và cả Mỹ, Canada. Đến bây giờ, Ransomware có thể xuất hiện ở bất kỳ nơi đâu trên thế giới.

Lan rộng

III. Phân loại Ransomware

1. Locker ransomware

Locker ransomware còn có một tên gọi khác là Non-encrypting ransomware. Loại phần mềm này không mã hóa file mà thay vào đó là chặn hoàn toàn người dùng truy cập thiết bị. Ví dụ như một máy tính bị nhiễm locker ransomware sẽ không thể thao tác gì ngoài bật tắt máy. Trên màn hình máy lúc này sẽ xuất hiện thông báo hướng dẫn cách gửi tiền để trả máy về bình thường.

Locker ransomware

2. Ransomware Crypto

Ransomware Crypto hay Encrypting Ransomware là loại ransomware phổ biến nhất. Chúng mã hóa các file dữ liệu bằng cách bí mật kết nối với server của hacker, tạo một chìa khóa để mã hóa và đổi tên đuôi các file. Đồng thời, các hacker này sẽ gửi thông báo đòi tiền chuộc về máy và đôi khi còn tạo áp lực thời gian cho nạn nhân. Nếu không trả trong thời gian quy ước, file có thể bị nâng cấp mã hóa, khiến ảnh hưởng xấu đến dữ liệu.

Ransomware Crypto

3. Các chủng nguy hiểm nhất

Hiện tại, người ta ghi nhận rất nhiều chủng ransomware với mức độ nguy hiểm khác nhau. Trong số các loại ransomware được biết đến, ba loại nguy hiểm nhất là WannaCry, CryptoLocker và Petya. Ngoài ra những cái tên khác cũng có thể làm hại máy tính của bạn có thể kể đến như Locky, TeslaCrypt, ...

Các chủng nguy hiểm nhất

IV. Phân biệt Ransomware với các phần mềm malware bình thường

1. Sự khác biệt

Ransomware hay các phần mềm malware độc hại thông thường có điểm chung là làm mọi cách để ẩn mình và phá hoại file trong âm thầm. Thế nhưng, sự khác biệt to lớn của ransomware là cơ chế mã hóa vô cùng phức tạp. Các mã hóa này mở đường cho phần mềm độc hại ăn sâu vào file dữ liệu, vượt qua cả những rào cản mà các phần mềm diệt virus tạo ra. Tuy nhiên, các phần mềm diệt virus cũng đang dần trở nên “nhạy” hơn với ransomware.

Sự khác biệt

2. Phương pháp ẩn mình của Ransomware

Ransomware được các hacker trang bị cho nhiều thuật toán “ẩn mình”, phổ biến nhất là các thuật sau:

Detection: Đây là phương pháp do thám. Các phần mềm độc hại sẽ dò xét môi trường để đề phòng nguy cơ chúng đang ở trong một môi trường bị ảo hóa và trốn tránh được sự phát hiện của các nhà nghiên cứu bảo mật. Nhưng đổi lại, phương pháp này khiến chúng không thể tạo ra một chữ ký bảo mật cập nhật.
Timing: Mọi thứ đều không thể đạt đến mức hoàn hảo và các phần mềm diệt virus cũng vậy. Dù liên tục phát ra các cảnh báo nhưng chúng vẫn khó có thể bảo vệ mọi khía cạnh của hệ thống, nhất là khi đối mặt với virus nguy hiểm như ransomware. Ransomware sẽ tranh thủ xâm nhập vào khoảng thời gian khi thiết bị đang bật/tắt, lúc các phần mềm diệt virus chưa kịp khởi động.
Communication: Khi thâm nhập vào file dữ liệu, các ransomware sẽ ngay lập tức liên lạc với máy chỉ huy [C&C server] để nhận hướng dẫn. Thế nhưng các phần mềm diệt virus có thể lợi dụng đặc điểm này để phát hiện các địa chỉ IP cụ thể và ngăn chặn các giao tiếp đó.
False Operation: Khi máy tính bị nhiễm ransomware, một chương trình giả mạo có thể hiện ra. Người dùng không có nhiều kỹ năng sẽ lầm tưởng đây là một chương trình bình thường của hệ điều hành và làm theo các hướng dẫn của chúng khiến các virus lây lan nhanh hơn.

Phương pháp ẩn mình của ransomware

V. Ngăn chặn ransomware

Đến thời điểm hiện tại, ransomware vẫn rất khó để loại bỏ. Vì thế, để đỡ tốn nhiều thời gian cũng như công sức, bạn nên bảo vệ dữ liệu của mình trước nhất.

Nếu muốn phòng chống ransomware, bạn có thể áp dụng một số cách sau đây:

Không sử dụng các mạng wifi miễn phí, nguồn gốc không rõ ràng.
Hạn chế click vào các đường link lạ, các email không rõ địa chỉ.
Thường xuyên sao lưu dữ liệu, cài đặt các phần mềm chống virus và thường xuyên cập nhật.
Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập.
Tạo nhiều rào cản trên các hệ thống mạng của bạn.
Có kế hoạch phục hồi khi lỡ bị mất dữ liệu.

Ngăn chặn ransomware

VI. Nên làm gì khi bị nhiễm Ransomware?

Trong trường hợp bị nhiễm Ransomware, hãy thực hiện những bước sau đây:

Bước 1: Cô lập và tách mạng, hệ thống: hãy cách ly phần đã bị nhiễm với hệ thống, tắt các hệ thống đó, rút mạng để phòng trường hợp virus lây lan.
Bước 2: Xác định và xóa các ransomware: Cố gắng tìm ra các phần độc hại đang bị lây nhiễm trên máy, xác định chủng và lên kế hoạch xóa bỏ chúng.
Bước 3: Xóa máy bị nhiễm và khôi phục từ bản sao lưu: Phòng trường hợp các ransomware còn sót lại, hãy xóa toàn bộ các dữ liệu bị nhiễm và khôi phục lại từ đầu qua các bản sao lưu.
Bước 4: Phân tích và giám sát hệ thống: Sau khi đã loại bỏ hoàn toàn các ransomware, bạn nên ngồi lại phân tích các yếu tố lây nhiễm để có cách bảo vệ dữ liệu phù hợp.

Nên làm gì khi bị nhiễm Ransomware?

VII. Một số vụ tấn công nổi tiếng

1. WannaCry

Đứng đầu trong danh sách là WannaCry - loại mã độc gây hoang mang trên toàn thế giới năm 2017. WannaCry lợi dụng một lỗ hổng của hệ điều hành Microsoft, từ đó lan rộng và ảnh hưởng đến các máy tính khác cùng mạng. Mã độc này đã lây lan đến 250.000 máy tính trên 116 nước [bao gồm cả Việt Nam] và để lại thiệt hại khổng lồ với hàng trăm triệu USD.

Sau khi được xử lý, chính phủ Mỹ, Anh và cả tập đoàn Microsoft đã buộc tội Triều Tiên với cáo buộc đứng sau các vụ tấn công này.

WannaCry

2. GandCrab

Tháng 1/2018, một mã độc phát tán qua các quảng cáo đưa người dùng tới trang chứa mã độc hay các email. Mã độc này mang tên GandCab. Và để xóa bỏ, người dùng được yêu cầu cài đặt một trình duyệt tên Thor, thanh toán bằng tiền ảo như Bitcoin với mức giá từ $200 - $1200 tùy mức độ lây nhiễm.

Ở Việt Nam, vào độ cuối năm 2018, có đến hơn 3900 máy tính bị nhiễm GandCab mã hóa dữ liệu và tống tiền.

GandCrab

3. Bad Rabbit

Năm 2017, nhiều quốc gia ở Đông Âu ghi nhận sự xuất hiện của một loại mã độc tên Bad Rabbit. Chỉ trong một thời gian ngắn, mã độc này đã gây khủng hỏa trầm trọng tới nhiều chính phủ, doanh nghiệp như sân bay Odessa ở Thổ Nhĩ Kỳ, bộ giao thông Ukraine, …

Qua một yêu cầu cập nhật Adobe Flash giả, Bad Rabbit thâm nhập vào máy chủ với việc dụ dỗ người dùng tải về một file Adobe Flash bị hack.

Bad Rabbit

4. NotPetya

Tương đồng với WannaCry, NotPetya cũng lợi dụng lỗ hổng của Microsoft để ăn vào các dữ liệu của người dùng. Nhưng điểm nguy hiểm của loại ransomware này đó là chúng có thể lây lan từ máy tính này sang máy tính khác, từ dữ liệu này sang dữ liệu khác một cách tự động. Hơn nữa, chúng còn dã man phá hủy ổ cứng của nạn nhân dù có được trả tiền chuộc hay không.

NotPetya

Trên đây là bài viết về khái niệm cũng như những điều bạn có thể chưa biết về Ransomware. Hy vọng thông qua bài viết bạn đã có cho mình những kiến thức bổ ích. Đừng quên chia sẻ bài viết lí thú này với mọi người nữa nhé!