Neue Cerber Variante mit kleinen Veränderungen

Nach kurzem “Winterschlaf” tritt die Ransomware “Cerber” erstmalig wieder mit neuer Version in Erscheinung. Der Erpressungs-Trojaner ist ein alter Bekannter und anders als seine älteren Versionen verschlüsselt die neue Version nicht nur die Dateien, sondern auch deren Erweiterungen.

Zum Ärgernis für Administratoren und Anwender, denn das erschwert zudem die Erkennung und die Wiederherstellung der Daten aus vorhandenen Backups.

Bislang zeigte sich der Erpressung-Trojaner Cerber mit konstanter Vorgehensweise, verschlüsselte viele Datei-Formate und erweitert die verschlüsselten Dateien mit .cerber1, .cerber2 und .cerber3 bis den Emsisoft Experten (xXToffeeXx und SwiftOnSecurity) erstmalig die neue Version des Cerber ins Netz ging. Wie abgebildet werden die Erweiterungen auch verschlüsselt:

Bild: bleepingcomuter.com – Cerber mit verschlüsselter Erweiterung

Wie in der Abbildung zu sehen, behält die verschlüsselte Datei den Ursprungsnamen, erhält aber eine zufällige Erweiterung (1.doc.a82d). Diese beleibt auf demselben System gleich, aber laut der Experten ändert sich die Erweiterung von Computer zu Computer.

 

Weiterhin hinterlassen die Kriminellen nach erfolgreicher Verschlüsselung diverse “_HELP_HELP_HELP_ {RAND} _”  Dateien in jedem Ordner sowie auf dem Desktop des Anwenders. Nach klicken der “HELP DECRYPT{RAND}.html” öffnet sich der Web-Browser mit der Warnung “Your documents, photos, databases and other importent files have been encrypted” und fordert entsprechendes Lösegeld für die Wiederherstellung der Daten.

Bild: bleepingcomputer.com – Erpresserwarnung

Optisch ein wenig angepasst, hat sich letztendlich an der Warnung und der Lösegeldforderung nichts geändert. Weiterhin werden über das gesicherte Tor- Bezahlsystem 1 Bitcoin (ca. 1.129,68 €) für die Wiederherstellung fällig. Um das Opfer unter Druck zu setzten, steigt nach Ablauf von 5 Tagen der Betrag auf 2 Bitcoins.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Die neue Version des Cerber hat zu seiner Vorgängerversion einige Änderungen in der Vorgehensweise erfahren, sodass derzeit eine Wiederherstellung der verschlüsselten Daten nicht möglich ist.

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen!

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner blindinfiziert.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com;