中cerber加密病毒文件解密恢复方法

2017-02-05 来源：121健康网整理

2017年5月最新比特币勒索病毒攻击事件，NSA武器库免疫工具下载>>

一、cerber病毒位置与查杀

2016年8月4日发现命名为CERBER2的病毒。
2016年8月30日发现最新变种Cerber3
2016年11月25日，CERBER5变种

大部分感染cerber病毒的人是因为升级Adobe flash引起，小部分人是上了被劫持的网站感染的。cerber病毒通过网络通讯上载了病毒到你电脑的用户文件夹\appdata/roaming/{随机字串码}/{随机名称}.exe，从而感染了mbr启动来提权加密文件，重启后开始加密，然后勒索中毒者。（注意：有些人找不到这个病毒，请在文件查看选项取消隐藏系统文件，你会看到一个串码的文件夹，文件夹里面有个XXXXXXXXX.EXE文件躺在那里，就这玩意害死不少人啊。。杀之即可）360、腾讯管家等国内的杀毒软件可以查询到这个所说的exe 并且删除。预防此类勒索病毒需要每日更新杀毒软件病毒库，备份你的重要文件。

由于CERBER使用了MBR引导区BOOTKIT恶意程序技术，很多人的情况是重启后才加密的，启动后病毒提权为最高级管理员权限，甚至会加密360、腾讯电脑管家等文件夹的文件。如果要排除CERBER病毒，推荐微软牛逼的原生安全软件：Microsoft Security Essentials （win8.1版本后是自带的，win7 和 xp 用户需要自己下载更新后查杀）

记住：勒索信和被加密文件不是病毒，杀毒不会导致文件不能被解密。 (使用了Microsoft Security Essentials，360、腾讯管家等都可以放弃了，当然它们的其他功能还是看个人需求的）

很多人用不了Microsoft Security Essentials，建议百度下这几个英文Microsoft Security Essentials，就好。以下是用Microsoft Security Essentials查杀到的病毒：

二、cerber病毒解密方法，如何恢复文件

查杀病毒源后您有三个选择：

1. 花钱购买黑客的解密器。

2. 全盘格式化，无视一切。

3. 格式化系统盘，保留被加密数据，尝试使用解密软件“Ransomware File Decryptor” （注意：CERBER，用破解软件破解的成功率是有的，但是往往会出现文件被损坏，所以请测试破解软件的朋友先备份再测试）

有人反映MAC也中了CERBER4.0，其实不是，而是使用了虚拟机parallels（WINDOWS）核心导致的，MAC的系统原理不会导致中CERBER4.0。

三、其他恢复文件方法：

使用 Final Date 这样的数据恢复软件

因为病毒是先把你的文件加密生成新文件，然后删除你的原始文件，所以有比较大的几率使用这类磁盘数据恢复软件可以找回，英文路径的文件更有优势。

你需要做的时候发现中毒之后尽可能保证不在往硬盘内写入大量新数据。

缺点是这类软件一般是全盘扫描，耗时极长，判断哪些文件需要恢复，这个过程耗费精力很多。

而且由于这个病毒瞄准的是 pdf，doc，jpg 这类文档，这些文档一般很小，很琐碎，数量大，所以这种恢复方式估计真正实践起来也很繁琐，我试图用过，一看扫描全盘的剩余时间我就放弃了。