60222 (Benutzername)
Ähnlich der E-Mails mit einer Nummer und der Endung .pdf als Betreff („2709201617510860766.pdf“), die den Verschlüsselungs- und Erpressungstrojaner „Locky“ mitbringen, wurden am Dienstag, dem 27. September 2016 die folgenden E-Mails nur mit einer Nummer und dem Benutzernamen des Empfängers versendet, die den Verschlüsselungs- und Erpressungstrojaner „Cerber“ verteilen:
Betreff: 60222 (Benutzername)
Diese Nachricht hat eine hohe Prioritätsstufe.
Anlage: EMAIL_056792366_(Benutzername).zip
Der E-Mail ist ein .zip-Archiv beigefügt, welches zunächst eine weitere .zip-Datei enthält (z. B. „ORDER-12146.zip“). Darin ist ein JavaScript mit dem gleichen Namen enthalten (z. B. „ORDER-12146.js“). Das JavaScript lädt von einer Domain jetonlyseath.top/log.php?f=1.dat eine Datei nach und speichert diese z. B. als „d19hmgjeb.exe“ auf dem System. Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Cerber“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 6/57.
Klicken Sie daher nicht auf die Anlage und öffnen Sie diese nicht! Führen Sie die darin enthaltene Datei nicht aus!
Bereits in den letzten Tagen hat es weitere E-Mails in deutscher Sprache gegeben, mit denen diese Software verteilt wurde (siehe „Fehlende Informationen [Geschдftsjahr 15/16]“ vom Bundesfinanzhof vom 23.09.2016).
Die Software benennt alle wichtigen Dateien in .cerber3 um. Ein Beispiel der .html- und .txt-Datei, die automatisch geöffnet wird, finden Sie in der Warnung vom 23.09.2016.