iFeras

عضو فعال
التسجيل
25/5/14
المشاركات
133
الإعجابات
39
#62
Loading the key

The sample comes with a public RSA key shipped in the configuration file (described in the previous section).

Below – decrypting public key from Base64:

base64_pkey
Key is imported using function CryptImportPublicKeyInfo.

import_pkey

Configuration mentioned: “rsa_key_size“: 576 – but it turns out to be a 2048 bit key (BLOB size – 276 bytes)

rsa_key

Installation

A file name of the dropped sample is created in a pretty interesting way. It is not fully random, but based on name of some file existing in the system, that is searched in the system using a random filter (format: “[random char]*[random char]. exe”, i.e “p*h.exe”):

find_name_candidate

The found file is compared with some built-in blacklist. When it pass the check, it is chosen as the new name of the dropped copy of the malware.

In order to prevent user from finding the malicious file by its creation timestamp it is changed to the timestamp of kernel32.dll existing on the local system.

After the successful installation, the initial malware sample terminates and deploys the dropped copy instead.

create_process

UAC Bypass

Cerber uses tricks to bypass Windows User Account Controll (UAC) and deploy itself with elevated privileges. It is achieved by the following steps:

Search an executable in C:\Windows\system32, that can auto elevate it’s privileges.
Search in it’s import table a DLL that can be hijacked
Copy the DLL into %TEMP% folder and patch it – add a code in a new section and patch entry point in order to redirect execution there. It will be used in order to run the cerber sample with elevated privileges. It uses: WinExec(“[cerber_path] -eval 2524“, SW_SHOWNORMAL)
Inject the code into explorer.exe – it is responsible for executing the UAC bypass. Creates a new folder in C:\Windows\system32 and copy there both files – an EXE and the patched DLL – under original names, then it deploys the EXE causing DLL to load and execute the malicious code.
When the UAC bypass is executed successfully, it is signalized to the original cerber sample by setting a property cerber_uac_status – added to a Shell_TrayWnd. Then, the original sample deletes dropped files and exits. Otherwise, it tries the same trick with different pair of EXE + DLL.
See below how it looks in action:

First, it searches an application that can be used to elevate privileges. The check is based on the fields in application manifest:


true
autoelevete_candidate

Among it’s imported DLLs it searches a candidate suitable to be hijacked. This DLL is copied into %TEMP% folder

copy_to_temp

Then, it creates a suspended process of explorer.exe, allocates memory in it’s context and injects there own code. Details given below.

Injection into explorer is performed in several steps. First – malware is coping memory from the context of current process into the context of explorer.exe. Current image of Cerber sample is replicated into a memory allocated in explorer at 0x70000. Similarly, the page containing filled data is copied at offset 0x91000 in explorer.

explorer_inject1

In order to run the injected code when the explorer.exe is resumed, malware performs patching of the carrier’s Entry Point:

explorer_inject2

Now, Explorer’s execution starts from the call to injected code. It is a function of Cerber sample – at RVA 0x55E1, called with a parameter 0x91000 – pointer to the memory page containing various dynamically loaded data, like function’s handlers, paths of the files to be used, etc.
From inside this code injected to explorer, the DLL patched for UAC bypass is copied under the original name – along with the appropriate EXE. The executable is deployed (using ShellExecuteExW) and along with it, the patched DLL also runs.

uac_pair

The d3d9.dll is used in order to run the Cerber sample with elevated privileges. Entry Point of the DLL is patched with a jump to the new section.

patched_EP

The new section contains the code that is supposed to execute the Cerber sample:

added_code
Successful UAC bypass is signalized by setting a property named “cerber_uac_status” in a found window of the class “Shell_TrayWnd“. The initial Cerber sample waits for this status to change. If the timeout passed and it didn’t changed it makes a new attempt of UAC bypass – using a different pair (EXE+DLL). Otherwise it cleans up the environment and terminates. Infection proceeds from inside of the elevated sample.
inject_into_explorer

In case if UAC level is set to default (or lower), Cerber can bypass it silently. However, in case if it is set to the highest, the following alert pops up:

uac_notification








 

iFeras

عضو فعال
التسجيل
25/5/14
المشاركات
133
الإعجابات
39
#63
UAC Bypass

Cerber uses tricks to bypass Windows User Account Controll (UAC) and deploy itself with elevated privileges. It is achieved by the following steps:

Search an executable in C:\Windows\system32, that can auto elevate it’s privileges.
Search in it’s import table a DLL that can be hijacked
Copy the DLL into %TEMP% folder and patch it – add a code in a new section and patch entry point in order to redirect execution there. It will be used in order to run the cerber sample with elevated privileges. It uses: WinExec(“[cerber_path] -eval 2524“, SW_SHOWNORMAL)
Inject the code into explorer.exe – it is responsible for executing the UAC bypass. Creates a new folder in C:\Windows\system32 and copy there both files – an EXE and the patched DLL – under original names, then it deploys the EXE causing DLL to load and execute the malicious code.
When the UAC bypass is executed successfully, it is signalized to the original cerber sample by setting a property cerber_uac_status – added to a Shell_TrayWnd. Then, the original sample deletes dropped files and exits. Otherwise, it tries the same trick with different pair of EXE + DLL.
 

iFeras

عضو فعال
التسجيل
25/5/14
المشاركات
133
الإعجابات
39
#65
ما هي العدوى .Cerber؟

.Cerber (يعرف أيضا باسم Cerber رانسومواري) هو تطبيق مزعجة التي يمكن أن تسبب لك العديد من المشاكل غير المرغوب فيها. وعادة ما يدخل .Cerber آلات بيانات المستخدمين الكمبيوتر مع مساعدة أساليب مشكوك فيها. ويصنف .Cerber رانسومواري-نوع من البرامج الضارة ويجب عليك بالتأكيد قضاء بعض الوقت بغية القضاء على العدوى غضب. .Cerber يعمل بطريقة مماثلة كغيره من الأمراض الخبيثة، وعلى سبيل المثال، لوكي، تيسلاكريبت، كريبتووال وخزانة الحظر الشامل للتجارب. وينبغي أن تمحى جميع الطلبات المذكورة آنفا دون تردد. لدينا فريق البحوث سوف تساعدك على إزالة .Cerber. يمكنك العثور على كافة المعلومات حول إزالة .Cerber في نهاية هذه المقالة.

Cerber Locker virus
كيف يعمل فيروس .Cerber؟

العدوى مرة العدوى .Cerber يجد الجهاز الإلكتروني، سيتم تشفير جميع أنواع الملفات في نظام الكمبيوتر الخاص بك، على سبيل المثال،.jpg،.doc،.raw وغيرها. لكافة المستندات المشفرة .Cerber سيتم إضافة ملحق .Cerber. بعد أن يتم تشفير هذه الملفات، سوف يطلب المطورين .Cerber منك فدية. وهم يدعون أن يتم فك تشفير الملفات، إذا قمت بدفع المبلغ المطلوب. كنت من المفترض لدفع الفدية في أقرب وقت ممكن. وبعد سبعة أيام سوف يتضاعف الفدية. ومع ذلك، نحن لا أعتقد يجب أن تدفع على الإطلاق. في معظم الحالات لا رانسومواري المبدعين من فك تشفير الملفات المصابة. وهكذا، يجب أن تستثمر أموالك في مكان آخر. على سبيل المثال، عن طريق الحصول على أداة إزالة سمعة الخبيثة التي من شأنها حماية نظام الكمبيوتر الخاص بك من التهديدات المماثلة في المستقبل. أيضا، يجب عليك حذف فيروس .Cerber وقت ممكن. العدوى يمكن بسهولة أن تجتذب اهتمام حتى أكثر التهديدات مزعج.
كيف يمكنني الحصول على الملفات المشفرة مرة أخرى؟

ولسوء الحظ، ليس هناك الكثير الذي يمكنك القيام به من أجل فك تشفير الملفات. .Cerber رانسومواري الخداعية التي لا تبالي المشاكل الخاصة بك. .Cerber تريد فقط لتسديد المبلغ المطلوب في بيتكوينس. في هذه اللحظة، لا توجد أي الأدوات التي يمكن أن تساعدك على فك تشفير الملفات. ومع ذلك، يمكن أن تحصل لا تزال الملفات الخاصة بك، إذا قمت باستعادة النظام من نسخة احتياطية. من المهم جداً للحفاظ على الوثائق الأكثر حاجة في الأجهزة الإلكترونية المختلفة.
كيفية إزالة .Cerber من نظام جهاز الكمبيوتر الخاص بي؟

يجب إزالة .Cerber بجدية والقضاء على الفيروس في أقرب وقت ممكن. .Cerber لن يحقق أي فوائد أو الجهاز الظاهري. على العكس من ذلك، قد تجد قريبا حتى المزيد من التطبيقات مزعج على الكمبيوتر.

أفضل خيار ممكن لإزالة .Cerber من نظام جهاز الكمبيوتر الخاص بك لتنفيذ أداة إزالة البرامج ضارة متطورة. برنامج مكافحة فيروسات قوية سوف تكون قادرة على كشف وحذف .Cerber. وبمجرد تثبيت تطبيق مكافحة التجسس، سوف تحتاج إلى إجراء تفحص كامل لكمبيوتر. الأداة الأمنية ستكون مفيدة في المستقبل كذلك. إذا كنت تحتفظ بتطبيق الحماية من الفيروسات الخاص بك حتى الآن، سوف لا يكون لديك لمواجهة مثل هذه المشاكل المزعجة مرة أخرى من أي وقت مضى. وبالإضافة إلى ذلك، لا تنسى أن الاحتفاظ بالبيانات الهامة في جهاز آخر كذلك. وهذا سوف يضمن أن المستندات الخاصة بك آمنة.


إزالة .Cerber من ويندوز 7/ويندوز فيستا/ويندوز إكس بي

انقر فوق ابدأ، ثم حدد إيقاف التشغيل.
اختر إعادة التشغيل، ثم انقر فوق موافق. Windows 7 - restart
بدء التنصت على المفتاح F8 عند بدء تشغيل جهاز الكمبيوتر الخاص بك تحميل.
تحت "خيارات التمهيد المتقدمة"، اختر "الوضع الأمن" مع الاتصال بالشبكة. Remove .Cerber - boot options
فتح المستعرض الخاص بك وتحميل الأداة المساعدة لمكافحة البرامج الضارة.
استخدام الأداة المساعدة لإزالة .Cerber
إزالة .Cerber من ويندوز 8/ويندوز

في شاشة تسجيل الدخول إلى Windows، اضغط على زر الطاقة.
اضغط واضغط على المفتاح Shift وحدد إعادة تشغيل. Windows 10 - restart
انتقل إلى استكشاف الأخطاء وإصلاحها المتقدمة ← الخيارات ← "إعدادات بدء تشغيل".
اختر تمكين الوضع الأمن أو الوضع الأمن مع الاتصال بالشبكة ضمن إعدادات بدء التشغيل. Win 10 Boot Options
انقر فوق إعادة التشغيل.
قم بفتح مستعرض ويب وتحميل مزيل البرمجيات الخبيثة.
استخدام البرنامج لحذف .Cerber


منقول من موقع ::::

http://www.2-remove-virus.com/ae/get-rid-of-cerber/


تنبيه :

لست مسؤول عن تنزيل أي أدوات من أي مواقع فأنا لا أثق بأحد، تستطيع مشاهدة الصور في المقال والمتابعة معه في طريقة الإزالة .
 

maddinah

عضو جديد
التسجيل
19/5/13
المشاركات
19
الإعجابات
1
#67
'',
الحمدلله رب العالمين والصلاة والسلام على آخر الأنبياء والمرسلين صلى الله عليه وسلم
الموضوع شدني بقوة لإنني بأحاول أفك شفرته
الحمدلله قدرت أحل مشكلة ملفات الصوت فقط بطريقة معينة
ولكن لم تنجح الطريقة نفسها في حل مشكلة ملفات الفيديو والصور والمستندات
يعني مني بعيد إن شاء الله ولكن كأني محتاج أحد خبير في الإمتدادات يتعاون معي ونحل المشكلة سوياً....
أيش رأيكم نعمل مختبر مع بعض في أي مكان ونتشارك التجارب....
أنا مستعد.
 
ابوبشرى

ابوبشرى

عضو مميز
التسجيل
10/11/16
المشاركات
248
الإعجابات
27
#68
كيف ارفع ملف الى الموقع ليستفيد الخوة الاعضاء منه.............:confused:
مع الشكر ...اخوكم ابو بشرى من مصر
 

mohbahet

عضو جديد
التسجيل
24/8/06
المشاركات
4
الإعجابات
0
#69
انا عندى نفس المشكله
 

MohamedBoshra

عضو جديد
التسجيل
9/2/16
المشاركات
24
الإعجابات
3
الجنس
Male
#70
'',
الحمدلله رب العالمين والصلاة والسلام على آخر الأنبياء والمرسلين صلى الله عليه وسلم
الموضوع شدني بقوة لإنني بأحاول أفك شفرته
الحمدلله قدرت أحل مشكلة ملفات الصوت فقط بطريقة معينة
ولكن لم تنجح الطريقة نفسها في حل مشكلة ملفات الفيديو والصور والمستندات
يعني مني بعيد إن شاء الله ولكن كأني محتاج أحد خبير في الإمتدادات يتعاون معي ونحل المشكلة سوياً....
أيش رأيكم نعمل مختبر مع بعض في أي مكان ونتشارك التجارب....
أنا مستعد.
طيب اخي ممكن تشرح لي طريقة فك تشفير الملفات الصوتية .
 

omaya

عضو مشارك
التسجيل
6/5/08
المشاركات
47
الإعجابات
3
#72
جزاك الله كل خير
 

أعلى