ad061c08e7b17e4999c6948d381794a2cf95e3861a866d2209ba7c46c9ce91e4

Sharing

Copy URL Twitter E-mail

General

Target

8efdd2828b0b20exeexeexeex.exe
Size

179KB
Sample

230708-vzm8nagd35
MD5

8efdd2828b0b2028ff0dd3899ea47028
SHA1

56198650733aee4d07d11a57676986b30990515d
SHA256

ad061c08e7b17e4999c6948d381794a2cf95e3861a866d2209ba7c46c9ce91e4
SHA512

680ca7f9be7e992dc66338f8a9ea8f1edad6768c71c5225fd403b6db919d1965a478afa93827a273b9e917223737fbb978dc00a6db4cfd1adbd6185cca8e3ece
SSDEEP

3072:4BSF3kHSHUN4yTGnBDhvj3AyxSlLGGwmyK0z2FWqnSGhloPv2:8SF3kHScNTeBDh73ATQJmyKHWDSl

Score

10^/10

Malware Config

Extracted

Path

C:\Users\Admin\Pictures\README.hta

Ransom Note

<!DOCTYPE html><html lang="en"><head><meta charset="utf-8"><title>CERBER RANSOMWARE - Instructions</title><HTA:APPLICATION APPLICATIONNAME="Cerber Ransomware - Instructions" SCROLL="yes" SINGLEINSTANCE="yes" WINDOWSTATE="maximize"><style>a {color: #04a;text-decoration: none;}a:hover {text-decoration: underline;}body {background-color: #e7e7e7;color: #222;font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif;font-size: 13pt;line-height: 19pt;}body, h1 {margin: 0;padding: 0;}hr {color: #bda;height: 2pt;margin: 1.5%;}h1 {color: #555;font-size: 14pt;}ol {padding-left: 2.5%;}ol li {padding-bottom: 13pt;}small {color: #555;font-size: 11pt;}ul {list-style-type: none;margin: 0;padding: 0;}.button {color: #04a;cursor: pointer;}.button:hover {text-decoration: underline;}.container {background-color: #fff;border: 2pt solid #c7c7c7;margin: 2.5%;min-width: 850px;padding: 2.5%;}.header {border-bottom: 2pt solid #c7c7c7;margin-bottom: 2.5%;padding-bottom: 2.5%;}.hr {background: #bda;display: block;height: 2pt;margin-top: 1.5%;margin-bottom: 1.5%;overflow: hidden;width: 100%;}.info {background-color: #efe;border: 2pt solid #bda;display: inline-block;padding: 1.5%;text-align: center;}.updating {color: red;display: none;}#change_language {float: right;}#change_language, #texts div {display: none;}</style></head><body><div class="container"><div class="header"><a href="#" id="change_language" onclick="return changeLanguage();" title="English">☑ English</a><h1>CERBER RANSOMWARE</h1>Instructions</div><div id="languages">☑ Select your language<ul><li><a href="#" title="English" onclick="return showBlock('en');">English</a></li><li><a href="#" title="Arabic" onclick="return showBlock('ar');">العربية</a></li><li><a href="#" title="Chinese" onclick="return showBlock('zh');">中文</a></li><li><a href="#" title="Dutch" onclick="return showBlock('nl');">Nederlands</a></li><li><a href="#" title="French" onclick="return showBlock('fr');">Français</a></li><li><a href="#" title="German" onclick="return showBlock('de');">Deutsch</a></li><li><a href="#" title="Italian" onclick="return showBlock('it');">Italiano</a></li><li><a href="#" title="Japanese" onclick="return showBlock('ja');">日本語</a></li><li><a href="#" title="Korean" onclick="return showBlock('ko');">한국어</a></li><li><a href="#" title="Polish" onclick="return showBlock('pl');">Polski</a></li><li><a href="#" title="Portuguese" onclick="return showBlock('pt');">Português</a></li><li><a href="#" title="Spanish" onclick="return showBlock('es');">Español</a></li><li><a href="#" title="Turkish" onclick="return showBlock('tr');">Türkçe</a></li></ul></div><div id="texts"><div id="en">Can't you find the necessary files? Is the content of your files not readable?It is normal because the files' names and the data in your files have been encrypted by "Cerber Ransomware".It means your files are NOT damaged! Your files are modified only. This modification is reversible. From now it is not possible to use your files until they will be decrypted.The only way to decrypt your files safely is to buy the special decryption software "Cerber Decryptor".Any attempts to restore your files with the third-party software will be fatal for your files!<hr>You can proceed with purchasing of the decryption software at your personal page:Please wait...<a id="megaurl" class="url" href="http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA</a>If this page cannot be opened  click here  to generate a new address to your personal page.At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.Also at this page you will be able to restore any one file for free to be sure "Cerber Decryptor" will help you.<hr>If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser:<ol><li>run your Internet browser (if you do not know what it is run the Internet Explorer);</li><li>enter or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li><li>wait for the site loading;</li><li>on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li><li>run Tor Browser;</li><li>connect with the button "Connect" (if you use the English version);</li><li>a normal Internet browser window will be opened after the initialization;</li><li>type or copy the address http://zutzt67dcxr6mxcn.onion/B255-1FAA-3B20-0502-34EA in this browser address bar;</li><li>press ENTER;</li><li>the site should be loaded; if for some reason the site is not loading wait for a moment and try again.</li></ol>If you have any problems during installation or use of Tor Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the search bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use.<hr>Additional information:You will find the instructions ("*.hta") for restoring your files in any folder with your encrypted files.The instructions ("*.hta") in the folders with your encrypted files are not viruses, the instructions ("*.hta") will help you to decrypt your files.Remember the worst situation already happened and now the future of your files depends on your determination and speed of your actions.</div><div id="ar" style="direction: rtl;">لا يمكنك العثور على الملفات الضرورية؟ هل محتوى الملفات غير قابل للقراءة؟هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cerber Ransomware".وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا. ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها.الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cerber Decryptor".إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك!<hr>يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية:أرجو الإنتظار...<a class="url" href="http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA</a>في حالة تعذر فتح هذه الصفحة  انقر هنا  لإنشاء عنوان جديد لصفحتك الشخصية.في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك.في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cerber Decryptor" سوف يساعدك.<hr>إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor:<ol><li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li><li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li><li>انتظر لتحميل الموقع;</li><li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li><li>قم بتشغيل متصفح Tor;</li><li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li><li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li><li>قم بكتابة أو نسخ العنوان http://zutzt67dcxr6mxcn.onion/B255-1FAA-3B20-0502-34EA في شريط العنوان في المتصفح;</li><li>اضغط ENTER;</li><li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li></ol>إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه.<hr>معلومات إضافية:سوف تجد إرشادات استعادة الملفات الخاصة بك ("*.hta") في أي مجلد مع ملفاتك المشفرة.الإرشادات ("*.hta") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*.hta") سوف تساعدك على فك تشفير الملفات الخاصة بك.تذكر أن أسوأ موقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك.</div><div id="zh">您找不到所需的文件？ 您文件的内容无法阅读？这是正常的，因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。这意味着您的文件并没有损坏！您的文件只是被修改了，这个修改是可逆的，解密之前您无法使用您的文件。安全解密您文件的唯一方式是购买特别的解密软件“Cerber Decryptor”。任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的！<hr>您可以在您的个人页面上购买解密软件：请稍候...<a class="url" href="http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA</a>如果这个页面无法打开，请 点击这里 生成您个人页面的新地址。您将在这个页面上看到如何购买解密软件以恢复您的文件。您可以在这个页面使用“Cerber Decryptor”免费恢复任何文件。<hr>如果您的个人页面长期不可用，有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器：<ol><li>使用您的上网浏览器（如果您不知道使用 Internet Explorer 的话）；</li><li>在浏览器的地址栏输入或复制地址 <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> 并按 ENTER 键；</li><li>等待站点加载；</li><li>您将在站点上下载 Tor 浏览器；下载并运行它，按照安装指南进行操作，等待直至安装完成；</li><li>运行 Tor 浏览器；</li><li>使用“Connect”按钮进行连接（如果您使用英文版）；</li><li>初始化之后将打开正常的上网浏览器窗口；</li><li>在浏览器地址栏中输入或复制地址 http://zutzt67dcxr6mxcn.onion/B255-1FAA-3B20-0502-34EA </li><li>按 ENTER 键；</li><li>该站点将加载；如果由于某些原因等待一会儿后没有加载，请重试。</li></ol>如果在安装期间或使用 Tor 浏览器期间有任何问题，请访问 <a href="https://www.baidu.com/s?wd=%E6%80%8E%E4%B9%88%E5%AE%89%E8%A3%85%20tor%20%E6%B5%8F%E8%A7%88%E5%99%A8" target="_blank">https://www.baidu.com</a> 并在搜索栏中输入“怎么安装 Tor 浏览器”，您将找到有关如何安装洋葱 Tor 浏览器的说明和教程。<hr>附加信息：您将在任何带有加密文件的文件夹中找到恢复您文件(“*.hta”)的说明。带有加密文件的文件夹中的(“*.hta”)说明不是病毒，(“*.hta”)说明将帮助您解密您的文件。请记住，最坏的情况都发生过了，您的文件还能不能用取决于您的决定和反应速度。</div><div id="nl">Kunt u de nodige files niet vinden? Is de inhoud van uw bestanden niet leesbaar?Het is gewoonlijk omdat de bestandsnamen en de gegevens in uw bestanden zijn versleuteld door “Cerber Ransomware”.Het betekent dat uw bestanden NIET beschadigd zijn! Uw bestanden zijn alleen gewijzigd. Deze wijziging is omkeerbaar. Vanaf nu is het niet mogelijk uw bestanden te gebruiken totdat ze ontsleuteld zijn.De enige manier om uw bestanden veilig te ontsleutelen is door de speciale ontsleutel-software “Cerber Decryptor” te kopen.Elke poging om uw bestanden te herstellen met software van een derde partij zal fataal zijn voor uw bestanden!<hr>U kunt op uw persoonlijke pagina de ontsleutel-software kopen:Even geduld aub...<a class="url" href="http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B255-1FAA-3B20-0502-34EA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B255-1FAA-3B20-0502-34EA</a>Als deze pagina niet geopend kan worden  klik dan hier  om een nieuw adres aan uw persoonlijke pagina toe te voegen.Op deze pagina zult u de complete instructies ontvangen hoe u de ontsleutel-software kun

Extracted

Path

C:\Users\Admin\Downloads\README.hta

Ransom Note

<!DOCTYPE html><html lang="en"><head><meta charset="utf-8"><title>CERBER RANSOMWARE - Instructions</title><HTA:APPLICATION APPLICATIONNAME="Cerber Ransomware - Instructions" SCROLL="yes" SINGLEINSTANCE="yes" WINDOWSTATE="maximize"><style>a {color: #04a;text-decoration: none;}a:hover {text-decoration: underline;}body {background-color: #e7e7e7;color: #222;font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif;font-size: 13pt;line-height: 19pt;}body, h1 {margin: 0;padding: 0;}hr {color: #bda;height: 2pt;margin: 1.5%;}h1 {color: #555;font-size: 14pt;}ol {padding-left: 2.5%;}ol li {padding-bottom: 13pt;}small {color: #555;font-size: 11pt;}ul {list-style-type: none;margin: 0;padding: 0;}.button {color: #04a;cursor: pointer;}.button:hover {text-decoration: underline;}.container {background-color: #fff;border: 2pt solid #c7c7c7;margin: 2.5%;min-width: 850px;padding: 2.5%;}.header {border-bottom: 2pt solid #c7c7c7;margin-bottom: 2.5%;padding-bottom: 2.5%;}.hr {background: #bda;display: block;height: 2pt;margin-top: 1.5%;margin-bottom: 1.5%;overflow: hidden;width: 100%;}.info {background-color: #efe;border: 2pt solid #bda;display: inline-block;padding: 1.5%;text-align: center;}.updating {color: red;display: none;}#change_language {float: right;}#change_language, #texts div {display: none;}</style></head><body><div class="container"><div class="header"><a href="#" id="change_language" onclick="return changeLanguage();" title="English">☑ English</a><h1>CERBER RANSOMWARE</h1>Instructions</div><div id="languages">☑ Select your language<ul><li><a href="#" title="English" onclick="return showBlock('en');">English</a></li><li><a href="#" title="Arabic" onclick="return showBlock('ar');">العربية</a></li><li><a href="#" title="Chinese" onclick="return showBlock('zh');">中文</a></li><li><a href="#" title="Dutch" onclick="return showBlock('nl');">Nederlands</a></li><li><a href="#" title="French" onclick="return showBlock('fr');">Français</a></li><li><a href="#" title="German" onclick="return showBlock('de');">Deutsch</a></li><li><a href="#" title="Italian" onclick="return showBlock('it');">Italiano</a></li><li><a href="#" title="Japanese" onclick="return showBlock('ja');">日本語</a></li><li><a href="#" title="Korean" onclick="return showBlock('ko');">한국어</a></li><li><a href="#" title="Polish" onclick="return showBlock('pl');">Polski</a></li><li><a href="#" title="Portuguese" onclick="return showBlock('pt');">Português</a></li><li><a href="#" title="Spanish" onclick="return showBlock('es');">Español</a></li><li><a href="#" title="Turkish" onclick="return showBlock('tr');">Türkçe</a></li></ul></div><div id="texts"><div id="en">Can't you find the necessary files? Is the content of your files not readable?It is normal because the files' names and the data in your files have been encrypted by "Cerber Ransomware".It means your files are NOT damaged! Your files are modified only. This modification is reversible. From now it is not possible to use your files until they will be decrypted.The only way to decrypt your files safely is to buy the special decryption software "Cerber Decryptor".Any attempts to restore your files with the third-party software will be fatal for your files!<hr>You can proceed with purchasing of the decryption software at your personal page:Please wait...<a id="megaurl" class="url" href="http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA</a>If this page cannot be opened  click here  to generate a new address to your personal page.At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.Also at this page you will be able to restore any one file for free to be sure "Cerber Decryptor" will help you.<hr>If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser:<ol><li>run your Internet browser (if you do not know what it is run the Internet Explorer);</li><li>enter or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li><li>wait for the site loading;</li><li>on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li><li>run Tor Browser;</li><li>connect with the button "Connect" (if you use the English version);</li><li>a normal Internet browser window will be opened after the initialization;</li><li>type or copy the address http://zutzt67dcxr6mxcn.onion/B420-D843-419F-0502-36DA in this browser address bar;</li><li>press ENTER;</li><li>the site should be loaded; if for some reason the site is not loading wait for a moment and try again.</li></ol>If you have any problems during installation or use of Tor Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the search bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use.<hr>Additional information:You will find the instructions ("*.hta") for restoring your files in any folder with your encrypted files.The instructions ("*.hta") in the folders with your encrypted files are not viruses, the instructions ("*.hta") will help you to decrypt your files.Remember the worst situation already happened and now the future of your files depends on your determination and speed of your actions.</div><div id="ar" style="direction: rtl;">لا يمكنك العثور على الملفات الضرورية؟ هل محتوى الملفات غير قابل للقراءة؟هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cerber Ransomware".وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا. ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها.الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cerber Decryptor".إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك!<hr>يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية:أرجو الإنتظار...<a class="url" href="http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA</a>في حالة تعذر فتح هذه الصفحة  انقر هنا  لإنشاء عنوان جديد لصفحتك الشخصية.في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك.في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cerber Decryptor" سوف يساعدك.<hr>إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor:<ol><li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li><li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li><li>انتظر لتحميل الموقع;</li><li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li><li>قم بتشغيل متصفح Tor;</li><li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li><li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li><li>قم بكتابة أو نسخ العنوان http://zutzt67dcxr6mxcn.onion/B420-D843-419F-0502-36DA في شريط العنوان في المتصفح;</li><li>اضغط ENTER;</li><li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li></ol>إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه.<hr>معلومات إضافية:سوف تجد إرشادات استعادة الملفات الخاصة بك ("*.hta") في أي مجلد مع ملفاتك المشفرة.الإرشادات ("*.hta") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*.hta") سوف تساعدك على فك تشفير الملفات الخاصة بك.تذكر أن أسوأ موقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك.</div><div id="zh">您找不到所需的文件？ 您文件的内容无法阅读？这是正常的，因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。这意味着您的文件并没有损坏！您的文件只是被修改了，这个修改是可逆的，解密之前您无法使用您的文件。安全解密您文件的唯一方式是购买特别的解密软件“Cerber Decryptor”。任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的！<hr>您可以在您的个人页面上购买解密软件：请稍候...<a class="url" href="http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA</a>如果这个页面无法打开，请 点击这里 生成您个人页面的新地址。您将在这个页面上看到如何购买解密软件以恢复您的文件。您可以在这个页面使用“Cerber Decryptor”免费恢复任何文件。<hr>如果您的个人页面长期不可用，有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器：<ol><li>使用您的上网浏览器（如果您不知道使用 Internet Explorer 的话）；</li><li>在浏览器的地址栏输入或复制地址 <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> 并按 ENTER 键；</li><li>等待站点加载；</li><li>您将在站点上下载 Tor 浏览器；下载并运行它，按照安装指南进行操作，等待直至安装完成；</li><li>运行 Tor 浏览器；</li><li>使用“Connect”按钮进行连接（如果您使用英文版）；</li><li>初始化之后将打开正常的上网浏览器窗口；</li><li>在浏览器地址栏中输入或复制地址 http://zutzt67dcxr6mxcn.onion/B420-D843-419F-0502-36DA </li><li>按 ENTER 键；</li><li>该站点将加载；如果由于某些原因等待一会儿后没有加载，请重试。</li></ol>如果在安装期间或使用 Tor 浏览器期间有任何问题，请访问 <a href="https://www.baidu.com/s?wd=%E6%80%8E%E4%B9%88%E5%AE%89%E8%A3%85%20tor%20%E6%B5%8F%E8%A7%88%E5%99%A8" target="_blank">https://www.baidu.com</a> 并在搜索栏中输入“怎么安装 Tor 浏览器”，您将找到有关如何安装洋葱 Tor 浏览器的说明和教程。<hr>附加信息：您将在任何带有加密文件的文件夹中找到恢复您文件(“*.hta”)的说明。带有加密文件的文件夹中的(“*.hta”)说明不是病毒，(“*.hta”)说明将帮助您解密您的文件。请记住，最坏的情况都发生过了，您的文件还能不能用取决于您的决定和反应速度。</div><div id="nl">Kunt u de nodige files niet vinden? Is de inhoud van uw bestanden niet leesbaar?Het is gewoonlijk omdat de bestandsnamen en de gegevens in uw bestanden zijn versleuteld door “Cerber Ransomware”.Het betekent dat uw bestanden NIET beschadigd zijn! Uw bestanden zijn alleen gewijzigd. Deze wijziging is omkeerbaar. Vanaf nu is het niet mogelijk uw bestanden te gebruiken totdat ze ontsleuteld zijn.De enige manier om uw bestanden veilig te ontsleutelen is door de speciale ontsleutel-software “Cerber Decryptor” te kopen.Elke poging om uw bestanden te herstellen met software van een derde partij zal fataal zijn voor uw bestanden!<hr>U kunt op uw persoonlijke pagina de ontsleutel-software kopen:Even geduld aub...<a class="url" href="http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.to/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.cab/B420-D843-419F-0502-36DA</a><a href="http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA" target="_blank">http://zutzt67dcxr6mxcn.onion.nu/B420-D843-419F-0502-36DA</a>Als deze pagina niet geopend kan worden  klik dan hier  om een nieuw adres aan uw persoonlijke pagina toe te voegen.Op deze pagina zult u de complete instructies ontvangen hoe u de ontsleutel-software kun

Targets

- Target
  
  8efdd2828b0b20exeexeexeex.exe
- Size
  
  179KB
- MD5
  
  8efdd2828b0b2028ff0dd3899ea47028
- SHA1
  
  56198650733aee4d07d11a57676986b30990515d
- SHA256
  
  ad061c08e7b17e4999c6948d381794a2cf95e3861a866d2209ba7c46c9ce91e4
- SHA512
  
  680ca7f9be7e992dc66338f8a9ea8f1edad6768c71c5225fd403b6db919d1965a478afa93827a273b9e917223737fbb978dc00a6db4cfd1adbd6185cca8e3ece
- SSDEEP
  
  3072:4BSF3kHSHUN4yTGnBDhvj3AyxSlLGGwmyK0z2FWqnSGhloPv2:8SF3kHScNTeBDh73ATQJmyKHWDSl
Score

10^/10

discovery ransomware spyware stealer
- Deletes shadow copies
  Ransomware often targets backup files to inhibit system recovery.
  ransomware
- Contacts a large (1024) amount of remote hosts
  This may indicate a network scan to discover remotely running services.
  discovery
- Contacts a large (1033) amount of remote hosts
  This may indicate a network scan to discover remotely running services.
  discovery
- Modifies extensions of user files
  Ransomware generally changes the extension on encrypted files.
  ransomware
- Reads user/profile data of web browsers
  Infostealers often target stored browser data, which can include saved credentials etc.
  spyware stealer
- Creates a large amount of network flows
  This may indicate a network scan to discover remotely running services.
  discovery
- Sets desktop wallpaper using registry
  ransomware
behavioral1 behavioral2

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

File Deletion

T1107

Modify Registry

T1112

Credential Access

Credentials in Files

T1081

Discovery

Network Service Scanning

T1046

Lateral Movement

Collection

Data from Local System

T1005

Command and Control

Exfiltration

Impact

Defacement

T1491

Inhibit System Recovery

T1490

Tasks

Sharing

General

Malware Config

Extracted

Extracted

Targets

Deletes shadow copies

Contacts a large (1024) amount of remote hosts

Contacts a large (1033) amount of remote hosts

Modifies extensions of user files

Reads user/profile data of web browsers

Creates a large amount of network flows

Sets desktop wallpaper using registry

MITRE ATT&CK Enterprise v6

Tasks

static1

behavioral1

behavioral2