Eine Ransomware, die spricht

Die Erpressersoftware Cerber „Ransom_Cerber.A“ kann laut Rhena Inocencio, Threat Response Engineer bei Trend Micro,  nur Englisch sprechen. Cerber weise seine Opfer in einer Textdatei aber auch an, den Tor-Browser herunterzuladen und über das gleichnamige Anonymisierungsnetzwerk eine bestimmte Website zu besuchen. Sie bietet Nutzern weitere Sprachen an, darunter auch Deutsch.

Inocencio erläuterte weiter, zu der unter Anderem entdeckten json-Datei:

„Bei näherer Betrachtung dieser Konfigurationsdatei haben wir festgestellt, dass sich diese Ransomware sehr leicht anpassen lässt“

„Das erlaubt es dem Herausgeber, die Lösegeldforderung und die zu verschlüsselnden Dateitypen zu verändern und auch einzelne Länder auszuschließen.“

Damit liegt die Vermutung nahe, dass die Erpressersoftware Cerber für den Verkauf an gewerbsmäßige Cyberkriminelle gedacht sei, um an deren Bedürfnisse angepasst zu werden.

Wie erfolgt die Verbreitung?

Es sind manipulierte Anzeigen auf ganz normalen Websites, also Malvertising-Kampagnen, die mithilfe des Exploit-Kits Nuclear die Cerber-Ransomware verbreiten. Da Cerber auch als Ransomware-as-a-Service im russischen Untergrund gehandelt wird, vermuten die Forscher, dass die Verbreitung bald zunehmen wird.

Als Schutz vor Erpressersoftware empfiehlt Trend Micro eine als 3-2-1 bezeichnete Backupstrategie. Dabei werden insgesamt drei verschiedene Kopien aller Daten erzeugt, und zwar auf mindestens zwei unterschiedlichen Medien, wobei eine Kopie extern an einem sicheren Ort hinterlegt wird. Somit sind Nutzer auch vor dem Ausfall eines Sicherungsmediums und einem Verlust von Daten durch Feuer oder Diebstahl geschützt.

Angreifer wollen Lösegeld

Die Hintermänner verlangen ein Lösegeld von 1,24 Bitcoin, was derzeit rund 523 Dollar entspricht. Es erhöht sich innerhalb von sieben Tagen auf 2,48 Bitcoin, also rund 1046 Dollar.