Onde encontro o executável do Cerber e as entradas do Registro?

Question

Onde encontro o executável do Cerber e as entradas do Registro?

#1 resposta do (4 votos)

1

Um servidor que eu estou administrando foi infectado por um ransomware chamado Cerber. Eles exigem um pagamento (como é o ponto de tais vírus).

A partir de agora, reduzi a fonte de infecção e removi-a. Eu pesquisei um pouco e encontrado vários artigos sobre como removê-lo do sistema. Especialmente o do bleepingcomputer era bastante esclarecedor.

Dizem que o vírus está localizado em %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe . Infelizmente essa pasta não existe no sistema infectado :( Eles também fornecem várias chaves de registro onde o executável do vírus é iniciado:

HKCU\Control Panel\Desktop\SCRNSAVE.EXE "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun   "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run    "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Nenhuma dessas entradas existe.
Onde (ou até mesmo como) eu encontro o executável do vírus para que eu possa apagá-lo do sistema?

windows malware windows-registry virus

por Vogel612 24.06.2016 / 20:59

1 resposta

Tags windows malware windows-registry virus

Como encontro o tempo total de execução de vídeos em um diretório? Convertendo C # Regex para PowerShell

score 4 · Answer 1

Parece haver uma nova vertente do vírus que se coloca em um local um pouco diferente e usa diferentes chaves de registro.

Você deve encontrar o vírus em %AppData%\{7DD25B43-EDEC-C6A2-4E97-EB6E11BD11CD3} .

Especialmente interessante: o vírus só pode acessar o registro do usuário atual. Por conseguinte, aninhado no HKEY_USERS/[...]/ hive em vez de HKEY_CURRENT_USER por vezes. As entradas do registro nas respectivas seções são as mesmas.

Como posso encontrar isso se não souber o caminho ou se os caminhos "publicitados" não funcionarem?

Consegui descobrir o vírus verificando cuidadosamente o TaskManager na conta do Administrador quando o usuário infectado efetuou login. Para simplificar isso, você pode exibir as colunas "Image Path Name" e "Command Line" nos Detalhes -Tab do TaskManager.
Nesse caso, qualquer coisa disfarçando como executável do Windows ou SCRNSAVE.EXE de \AppData\Roaming é altamente suspeita e deve ser investigada.