Cerber, neue, sprechende Ransomware

Es gibt einen neuen Erpressungstrojaner mit dem Namen Cerber, der mit “ausgewachsenen Fähigkeiten” wie Sprachausgabe oder “Special Preis für Sofortzahler” daher kommt. Hier ein paar Infos zu diesem Teil.


Werbung



Die Entwickler von Malware haben offenbar ein Faible für die griechische Mythologie. Wenn ich richtig erinnere war Cerber (oder Cerberus bzw. Kerberus) der Höllenhund, der den Eingang zur Unterwelt, den Hades, bewachte. Der Name Cerber der neuen Ransomware scheint sich an diesem Höllenhund anzulehnen.

Im Blog von Malwarebytes hat man sich Cerber vorgenommen und eine Analyse des Verschlüsselungstrojaners veröffentlicht. Die Ransomware wird in russischen Untergrundforen gehandelt. Sobald die Infektion mit Cerber erfolgt ist, erzeugt der Trojaner einen versteckten Ordner in %APPDATA%. Dann wird der Schädling in diesem Ordner unter wechselnden Programmnamen wie csrstub.exe, dinotify.exe, ndadmin.exe, setx.exe, rasdial.exe, RelPost.exe, ntkrnlpa.exe ausgeführt. Und es wird ein Link im Ordner:

%APPDATA%/Microsoft/Windows/Start Menu/Programs/Startup

auf die Malware erzeugt. Die Malware trägt sich zudem in den Run- und RunOnce-Schlüsseln der Registrierung ein. Verschlüsselte Dateien erhalten die Dateinamenerweiterung .cerber. Dem betroffenen Nutzer wird dann sowohl eine Textnachricht, als auch eine – allerdings in englischer Sprache – akustische Nachricht übermittelt, dass seine Dateien verschlüsselt wurden. Trend Micro hat wohl diese “sprechende Ransomware” erstmals entdeckt, wie man bei ZDNet.com nachlesen kann.


(Quelle: Malwarebytes)

Die “Entwickler” haben auch sonst kräftig investiert und bieten beispielsweise eine Webseite für die Opfer an, die Erläuterungen in mehreren Sprachen bereithält. Wer die Seite einmal besucht, erlebt noch eine Überraschung. Innerhalb der ersten sieben Tage nach dem ersten Besuch der Webseite wird ein spezieller Preis für das Lösegeld in Form von Bitcoins genannt. Nach diesem Datum erhöht sich der Preis – und das Ganze wird noch in Form eines Countdowns angezeigt. Ist doch nett – oder? Die Szene professionalisiert sich.


Werbung

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Kommentare zu Cerber, neue, sprechende Ransomware

  1. sandy sagt:

    Vielen Dank für den Hinweis!

    Wie genau wird der Trojaner denn verteilt? Ist dazu auch schon irgendetwas Konkreteres bekannt?

  2. deo sagt:

    Die Erpresser Masche kriegt durch die hohe Zahlungsbereitschaft der Opfer so richtig Fahrt.
    Ich sichere mittlerweile meine Images auch noch auf USB-Platte, da die internen Festplatten auch in Gefahr sind.

    Die Verbreitung soll über gefälschte Software Updates und Trojaner erfolgen.
    Wenn zum Beispiel jemand nach Treiber für veraltete Hardware sucht, landet er unweigerlich bei sogenannten Treiber Updater Seiten, die unübersichtlich mit allerlei sonstigen Links und Tools gespickt sind und da kann man schon mal auf den falschen Link klicken und schon ist es passiert, wenn der Browser ohne Abfrage installiert.
    Aber meistens wird der Suchende in seiner Verzweiflung alles installieren, um seine veraltete Hardware wieder in die Gänge zu bekommen, zum Beispiel nach einem Zwangsupdate” auf Windows 10.

    • Marc sagt:

      es ist egal ob intern oder externe Platten, wenn diese dauerhaft bzw. zum Zeitpunkt des Angriffs angeschlossen sind.
      Des weiteren weiß man ja oft nicht ob Befall mit Aktivierung zeitlich gleichzusetzen ist.

      … in Sachen Treiber bin ich ja der Meinung, dass die diese gerade im Wege der Zwangsupdates mit ausgerollt gehören. Die Dritthersteller sollten verpflichtet werden, keine direkt anzubieten.

      • deo sagt:

        Meine USB-Platten sind nur so lange angeschlossen, wie es braucht, um Kopiervorgänge abzuschließen. Es wird noch so weit kommen, dass man wieder auf DVDs oder Blu-rays sichert, weil darauf nichts nachträglich verschlüsselt werden kann.
        Die 300GB Blu-ray soll ja auch noch kommen.

        • Dekre sagt:

          FRAGE:
          Ist es empfehlenswert sich ein Blue-Ray-Ding im PC einzubauen anstelle DVD? Für Datensicherung wohl gar nicht so schlecht. Oder?

        • Dekre sagt:

          Ich denke, dass gut gelagerte CD/DVD und dann neue Blu-Ray (hier aber keine Erfahrung) länger halten könnten. Es geht ja nur um die Variante der mehreren Sicherungen. Richtig ist, dass auch man gucken, muss, ob wirklich alles auf dem Medium dann drauf ist. Hatte da schon paar mal böse Überraschungen.

          Können denn nicht auch Festplatten (egal ob intern oder extern) durch mechanischen Beanspruchungen bzw. Nicht-Beanspruchung (!) kaputt gehen? Hatte da mal so was gehört (zu letzteren), liegt aber auch schon etliche Jahre zurück.

  3. Dekre sagt:

    Einfache Lösung:
    1. Bitcoins sofort verbieten und einziehen!
    2. EZB-Chef Draghi und ergänzende Anhänger des Internetgeldes sofort entlassen, wegen Begünstigung krimineller Vereinigungen.

    UND dann ist Ruhe im Karton.

    • Marc sagt:

      oder die Anwender besser schulen, anstatt nur vor die Kisten zu setzen und der Meinung sein, wird schon passen.
      Es kann doch auch niemand ohne Führerschein ein Fahrzeug fahren.

      • Dekre sagt:

        Die Kriminellen fahren auch ohne Führerschein Kfz aller Größenklassen.

        • Sho-Lee sagt:

          Autos verbieten, weil damit kriminelle Taten vollbracht werden können…?

          • Dekre sagt:

            Die logischen Schlüsse, die man ziehen könnte sind schon bizarr und dann auch nicht durchdacht, obwohl diese sich anbieten könnten. Manche hatten in ähnlichen Fällen schon so was vor (sog. Entscheidungsträger und Politiker).
            Da sind wir uns einig, dass alles etwas grenzlastig ist. @Marc sagt schon richtig, dass man schon etwas nachdenken muss (also schulen sagt er, oder auch lernen, lernen, nochmals lernen!).
            ABER es geht ja immer um Knete, Geld… Und wenn auch Bitcoins sog. Internetgeld ist, so hat der internationale Zahlungsverkehr davon Kenntnis. Alles andere würde mich wundern. Das hier aber auszudiskutieren würde hier zu weit führen.

    • Andres Müller sagt:

      Auch ich denke das Bitcoin den Durchbruch für die Gattung Erpresser -Trojaner/Viren gebracht hat. Anonyme Geldströme über das Internet, das ist es was Kriminelle benötigen um schliesslich an reales Geld zu kommen.

      Bitcoin ist nebenbei auch geeignet für die Mafia, für Geheimdienste, für Organisationen wie den IS und nicht zuletzt um Steuern zu hinterziehen und den Staat zu schädigen.

      PS: Die meiste Ransomware lässt die Windows -Installation und auch alles in %Appdata% und tmp oder temp unbeschädigt. Der Grund ist dass die Kriminellen ein funktionierendes System benötigen um erstens den auf das Gerät individualisierte Erpresser-Text anzuzeigen und damit Windows ohne Absturz neu startet. Die Ransomware liest dazu die Strings der Pfade aus, womit dann alle Pfade mit zum Beispiel “Windows” oder “Appdata” im Text unbehelligt verlassen werden. Wenn man also sein Backup in einen Pfad mit solchen Worten im String erstellt, so sollte man zum Beispiel bei Locky sicher sein.
      Vermutlich wird das auch bei dem neuen Virus so sein. Im Übrigen gibt es Backupsoftware welche in einen Container in einer eigenen Partition ohne Laufwerksbuchstaben speichern können, zum Beispiel Paragon Festplattenmanager (gibt davon auch bezahlbare Versionen mit beschränktem Leistungs-Umfang).

      • Sho-Lee sagt:

        Vor Bitcoins gab es Ukash und andere bargeldlose Zahlungsmethoden…

        • Dekre sagt:

          habe das schon hier im Blog thematisiert, anderswo.
          Mit Bitcoins zu spielen und diese zu haben ist schon ein Verbrechen. Das gilt auch für Hochschulen, die sich darauf einließen.

          • Nobody sagt:

            Zitat: “Mit Bitcoins zu spielen und diese zu haben ist schon ein Verbrechen.”
            Mit Verlaub, aber das ist Unsinn.

      • Mobby sagt:

        Hallo,

        sind die Daten in dem Container des Festplattenmanager von Paragon wirklich sicher? Ist es nicht denkbar, dass ein Trojaner darauf zugreift bzw. diesen Bereich einfach löscht?

  4. Nobody sagt:

    Schon sehr kundenfreundlich die Gangster.
    Die Sprachausgabe zukünftig noch in Deutsch und die bekommen die volle Punktzahl bei der Stiftung Warentest. 😉

  5. rassmann.alexander sagt:

    Ich kann in diesem Blog nur empfehlen, sich ein Whitelisting Tool zu installieren! Das Hauptproblem mit den heutigen Antivirenprogrammen ist nämlich, dass sie nur das finden, was ihnen der Hersteller an Signatur zur Verfügung stellt. Nehmen Sie z.B. das Panda Adaptive Defense (von der spanischen Firma Panda Security). Hier wird kein Prozess gestartet der nicht freigegeben ist. Freigegeben nicht durch Sie sondern durch Panda.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.