Ransomware Cerber entwickelt sich kontinuierlich weiter, neue Funktionen hinzugefügt

Als IT-Experten zum ersten Mal auf Cerber getroffen sind, waren sie sich noch nicht der anstehenden Herausforderung bewusst. Ruft man sich den Höllenhund Cerberus des griechischen Mythos in Erinnerung, scheint der Virus seinen Namen sogar ganz und gar gerecht zu werden. Abgesehen davon, dass die Ransomware wertvolle persönliche Daten sperren kann, ist sie nämlich nun auch dazu in der Lage ihre Opfer buchstäblich zu adressieren und die infizierten Computer mit einem Botnetz, das die Ransomware Cerber ausbreitet, zu verbinden.

Zu aller Anfang schien der Virus nicht ganz so furchterregend. Er vermittelte den Eindruck einer gewöhnlichen Ransomware, die Benutzerdaten auf dem Computer verschlüsselt. Für die Wiederherstellung der Dateien wurde die Bezahlung von 500 USD (zurzeit ungefähr 447 Euro) für das Entschlüsselungsprogramm Cerber Decryptor verlangt. Bedauerlicherweise hat sich Cerber rasend schnell in eine ausgewachsene Cyberbedrohung entwickelt, welche jetzt nicht nur normalen Computernutzern, sondern auch IT-Fachmännern Kopfschmerzen bereitet. Nach der Verschlüsselung der Dateien und dem Hinzufügen der Dateiendung .cerber zerstört die erpresserische Software nun auch noch wichtige Registrierungsschlüssel und erzeugt gefälschte Systemwarnungen, welche das System zwangsweise neustarten. Dazu kommt, dass mit der Ausführung eines bestimmten VBScripts eine Audiodatei abgespielt wird, wo über die derzeitige Situation auf dem Computer, die Verschlüsselung der Dokumente, Bilder, Datenbanken und anderen wichtigen Dateien, informiert wird.

In Bezug auf die Verbreitung dieser schrecklichen Bedrohung sind auch ihre Wege beachtenswert. Cerber infiziert seine Opfer hauptsächlich mit RTF-Textdokumenten, die mit einer E-Mail übertragen werden. An dieser Stelle sollten wir wohl anmerken, dass die Hacker ihre Technik, um Nutzer davon zu überzeugen schädliche E-Mails zu öffnen, gemeistert haben. Häufig nutzen sie nämlich beunruhigende Betreffe wie „Your FedEx Delivery“, „Confirm your order“, „PayPal: Your Account Has Been Suspended“ oder „Your BestBuy order has been delivered“. Eins der neueren Exemplare liest sich zum Beispiel wie folgt:

You received a voice mail: VOICE452-894-6472.wav
Caller-Id: 452-894-6472
Message- Id: J9G54T
This e-mail contains a voice message.
Download and extract the attachment to listen to the message.

Sent by Microsoft Exchange Server

Der Cerber-Virus scheint in der Kategorie der Ransomware zum Juwel der Bedrohungen geworden zu sein, welcher großen Schaden anrichten kann. Was können wir als normale Nutzer also gegen solche Bedrohungen machen? Der Virus hat uns leider daran erinnert, dass im Internet nichts und niemand vertrauenswürdig ist. Jede offiziell aussehende E-Mail muss also mit größter Vorsicht betrachtet werden. Zu guter Letzt ist ein effektiver Schutz natürlich das Ausrüsten des Computers mit den aktuellsten Versionen von Antiviren- und ähnlichen Sicherheitsprogrammen.