Diese Ransomware verschlüsselt Ihre Dateien und liest Ihnen dann die Lösegeldforderung vor

Aus Russland mit Liebe : Cerber Ransomware verschlüsselt zuerst Ihre Dateien und liest dann die Lösegeldforderung vor

Malware-Autoren sind bekannt dafür, ein einfallsreiches Volk zu sein, und man kann ihnen vertrauen, dass sie mit einer Ransomware kommen, die tatsächlich die Lösegeldforderung an das Opfer vorliest.

Cerber ist eine neueste Ransomware, die die Dateien des Zielopfers verschlüsselt und dann eine TTS (Text-to-Speech)-Funktion bietet, die die Lösegeldforderung vorliest.

Die Ransomware wurde von zwei unabhängigen Sicherheitsforschern, @BiebsMalwareGuy und @MeegulWorth, entdeckt und von Forschern von Bleeping Computer und Malwarebytes analysiert.

Cerber wurde letzte Woche erstmals von Sicherheitsforschern von SenseCy analysiert. Die Forscher von SenseCy gaben an, dass Cerber von russischen Programmierern geschrieben wurde, die es als RaaS-Dienst auf unterirdischen Hackerforen in Russland bewerben und verkaufen.

Ransomware-as-a-Service (RaaS) ist ein neues Geschäftsmodell, das in Russland schnell wächst. Im Rahmen von RaaS bieten die Malware-Programmierer eine vollständig codierte Ransomware für einen festen Betrag an Cyberkriminelle an, die sie dann über Spam- und Spear-Phishing-Kampagnen verbreiten. Die Autoren nehmen nur einen kleinen Anteil, wenn das Opfer das Lösegeld bezahlt.

Cerber ist in vielerlei Hinsicht eine einzigartige Ransomware. Eine der Eigenschaften von Cerber ist, dass sie russischsprachige Länder vermeidet. Die Forscher sagten, dass der Code von Cerber darauf hinweist, dass er speziell entwickelt wurde, um Infektionen von Benutzern in ehemaligen Sowjetländern zu vermeiden.

Ein weiterer Kniff in den Operationen von Cerber ist die Tatsache, dass die Ransomware, bevor sie Dateien verschlüsselt, eine Fehlermeldung anzeigt, durch die sie den Benutzer dazu bringt, den Computer neu zu starten. Die Ransomware zwingt den PC, im „Abgesicherten Modus mit Netzwerk“ neu zu starten, und startet dann den Computer erneut im normalen Modus.

Nach diesem erzwungenen Neustart beginnt Cerber, Dateien mit einem AES-Algorithmus zu verschlüsseln. Die Ransomware zielt auf 380 Dateitypen ab, und während des Verschlüsselungsprozesses vermischt sie die Dateinamen und fügt die .cerber-Erweiterung am Ende hinzu. Sobald Cerber die Kontrolle über den PC des Opfers übernimmt, fügt es drei Notizen im Text-, HTML- und VBS-Format in jeden Ordner ein, in dem es Daten verschlüsselt hat. Wenn das Opfer auf die Notiz klickt, wird Cerber die Lösegeldforderung dem Benutzer vortragen.

Die Lösegeldforderung verlangt 1,24 Bitcoin (520 $ / 475 €), eine Summe, die sich nach der ersten Woche verdoppelt. Wie üblich müssen die Benutzer das Lösegeld in Bitcoin über eine Dark-Web-URL (.onion-Domain) bezahlen.

Cerber ist derzeit nicht entschlüsselbar.