Cerber Ransomware in Version 2 im Umlauf

wp_vcerber2Ein Experte von Trend Micro hat eine neue Version der Ransomware Cerber entdeckt, die nicht nur optisch anders in Erscheinung tritt, sondern auch bedeutende Änderungen unter der Haube erfahren hat.

Bei der Infizierung der Systeme verfolgt die Ransomware Cerber2 gewohnte Methoden und erpresst nach erfolgreicher Verschlüsselung der Dateien seine Opfer durch Zahlung eines Lösegeldes. Da aber in der Vergangenheit immer wieder Wege gefunden wurden die Lösegeldzahlung zu umgehen, setzen die Cyber-Kriminellen stetig auf eine Erweiterung, Änderung und Optimierung Ihres Schadcodes, um es den Sicherheits-Experten möglichst schwer zu machen.

Cerber2: So dürfte das geänderte Erscheinungsbild des neuen Cerber bei seinem Opfern in Erscheinung treten. Es erscheint nach erfolgreicher Infizierung und Verschlüsselung der Daten mit einer großflächigen verpixelten Warnung, worauf dem Opfer mitgeteilt wird, dass seine Dokumente, Fotos, Datenbanken und andere wichtige Dateien jetzt verschlüsselt sind (Bild). Weiterhin werden mehrere temporäre Adressen für Informationen und Zahlungsbedingungen angegeben.

Bildschirmfoto 2016-08-05 um 09.40.54

Bild: bleepingcomputer.com – Warnung des Cerber2

Anders als in der ersten Version des Cerbers wurden im Cerber2 diverse Programmier-Fehler im Code beseitigt und der interne Packer ersetzt. Eine Anaylse des Quelltextes der Ransomware wird deutlich erschwert und die Erkennungsrate von installierten Sicherheitssystemen deutlich gesenkt. Zudem nutzt die Ransomware jetzt eine Microsoft Verschlüsselungs-Engine, wodurch nun  statt einer 16 Bit nun eine 32 Bit Verschlüsselung bei den Dateien des Opfers für Schaden sorgt.

Auf diese Datei-Formate hat es der Cerber2 abgesehen:

Bildschirmfoto 2016-08-05 um 14.04.14

Bild: bleepingcomputer.com – Dateiformate

Der Cerber2 hat zu seiner Vorgängerversion einige Änderungen erfahren, sodass derzeit eine Wiederherstellung der verschlüsselten Daten des Anwenders mit dem von Trend Micro bereitgestellten Decryptor bislang nicht möglich ist.

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen!

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner blindinfiziert.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezillaan, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht aufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.
Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich imForum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com; 

2 thoughts on “Cerber Ransomware in Version 2 im Umlauf”

  1. Guten Tag, seit gestern lief mein PC sehr langsam. Heutre habe ich schwierigkleiten, ihn zu starten und er braucht dann lange Zeiten bei der arbeit. Seit dem 28.07. habe ich Windows 10 installiert. Virenschutz ESET ligth. Nach einem Scan damit zeigt mir das Programm 0 gefunden an, die Datei zeigt an, dass er keine Datei öffnen konnte!
    heute nachmittag bekam ich einen anruf von einem Herrn Richard von Microsoft, der mir mitteilte, dass MSC festgestellt hat, dass mein Computer langsam bis gar nicht läuft.
    Er wollte mir helfen, dies zu ändern. Über Timeviewer zeigte er mir die bedfallenen Programme auf und zeigte mir, dass meine Registirierung abgelaufen/gelöscht sei. Mit einem Mail – Absender Microsoft – Windowsservice – msc.onlineservice@outlook.com
    zeigte er mit dann auf, was es kostet, den PC wieder ans Laufen zu bringen. Ein Schutz für 3 jahre kostet 149€, 5 jahre 199€ und lifetime 299€. Und dann erst das Geld, dann die Reparatur.
    Absender Microsoft Corporation PVT-LTD Headquaters, Manchester Business Park, Manchester M 22 5TG. Helpline Webseite: support.microsoft.com/help, Western Union
    Ich habe ihn gestoppt. er soll morgen nochmals anrufen.
    Ich bin ratlos! Können Sie mir helfen bzw. weiterhelfen?
    Mit freundlichen Grüßen
    Gregor Hermann (bedingt Computerfest)

    1. Hallo Gregor,

      da bist Du offensichtlich einer Betrugsmache (siehe Blogeinträge zu diesem Thema) aufgesessen und es ist sehr wahrscheinlich, dass Dein PC nun infiziert ist. Damit wir Dir helfen können, die Malware wieder zu bereinigen, eröffne bitte ein neues Thema in unserem Forum unter “Hilfe und Schädlingsbekämpfung – Windows” und schildere dort das Problem.

      Ciao Petra | Botfrei.de

Kommentare sind geschlossen.