Zurück zu den Ursprüngen: Über die (leeren) E-Mails mit hoher Priorität wird nun wieder Cerber 5.0.1 verteilt

Achtung: Am Sonntag, den 27. November 2016 wurde durch unbekannte Dritte wieder die (so gut wie leere) E-Mail mit nur einer .zip-Datei als Anlage versendet. Diesmal fehlt sogar der Verwendungszweck und es wird wieder Cerber statt Locky nachgeladen. Am 06.10.2016 kamen solche E-Mails schon mal mit Cerber (damals ohne Angabe einer Version), bevor danach Locky diese Masche übernommen hat).

20161127_cerber_email

Bisher kam die E-Mail immer mit einer Zahl gefolgt von dem Empfängernamen (der Teil der E-Mail-Adresse vor dem @-Zeichen) als Betreff. Diesmal fehlt der Betreff komplett. Die Nachricht ist leer, sie hat eine hohe Priorität und bringt nur eine .zip-Datei mit dem Namen „MESSAGE_585705522393_(Empfänger).zip“ mit.

Das ZIP-Archiv enthält eine weitere .zip-Datei mit dem Namen „9.zip“. Darin ist ein JavaScript mit dem Namen „9.js“ enthalten.

 

Das Script lädt von der Domain www.sameoffpet.top/admin.php?f=2.dat die Cerber Ransomware in der neuesten Version 5.0.1 nach (Verschlüsselungs- und Erpressungstrojaner). In den letzten Tagen wurde über solche E-Mails noch die Ransoware „Locky“ nachgeladen.

Virustotal zeigt für die nachgeladene Datei eine Erkennungsrate von 0/54.

Auf den Computern verschlüsselt der Trojaner einige Dateitypen und benennt die Dateien um. Dabei gibt er den Dateien auf jedem Computer eine andere Dateiendung. Hier ein Beispiel mit der Endung 8d49:

20161127_cerber_8d49

Auf dem Desktop wird eine Datei _README_.hta angelegt und geöffnet, die über die Verschlüsselung informiert:

20161127_cerber_readme

20161127_cerber_hta

CERBER RANSOMWARE
Anleitung

Sie können die benötigten Dateien nicht finden?
Sind die Inhalte Ihrer Dateien nicht lesbar?

Das ist normal, da die Namen und die Daten in Ihren Dateien von „Cerber Ransomware“ verschlüsselt werden.

Das bedeutet, Ihre Dateien sind NICHT beschädigt! Ihre Daten wurden lediglich modifiziert. Diese Modifikation kann rückgängig gemacht werden. Ab sofort können Sie Ihre Dateien erst dann wieder verwenden, nachdem diese entschlüsselt wuden.

Die einzige Möglichkeit, wie Sie Ihre Dateien zuverlässig entschlüsseln können, ist die spezielle Entschlüsselungssoftware „Cerber Decryptor“.

Alle Versuche, Ihre Dateien mit einer Software Dritter wiederherzustellen, wird für Ihre Dateien verheerend sein!

——————————————————————————–

Sie können auf Ihrer persönlichen Seite mit dem Kauf der Entschlüsselungssoftware fortfahren:

Warten Sie mal…http://avsxrcoq2q5fgrw2.1kvftk.top/XXXX-XXXX-XXXX-XXXX-XXXXhttp://avsxrcoq2q5fgrw2.h44l3d.bid/XXXX-XXXX-XXXX-XXXX-XXXXhttp://avsxrcoq2q5fgrw2.onion.to/XXXX-XXXX-XXXX-XXXX-XXXX
Kann diese Seite nicht geöffnet werden, klicken Sie hier um eine neue Adresse für Ihre persönliche Seite zu generieren.

Auf dieser Seite erhalten Sie die kompletten Anweisungen für den Kauf der Entschlüsselungssoftware für die Wiederherstellung Ihrer Dateien.

Außerdem können Sie auf dieser Seite eine Ihrer Dateien wiederherstellen, um sich von der Funktion von „Cerber Decryptor“ zu überzeugen.

——————————————————————————–

Falls Ihre persönliche Seite über einen längeren Zeitraum nicht verfügbar ist, gibt es eine andere Möglichkeit, Ihre persönliche Seite zu öffnen – die Installation und Verwendung von Tor Browser:

starten Sie Ihren Internet-Browser (falls Sie nicht wissen, welcher das ist, starten Sie den Internet Explorer);
geben oder kopieren Sie die Adresse https://www.torproject.org/download/download-easy.html.en in die Adressleiste Ihres Browsers ein und drücken Sie ENTER;
warten Sie, bis die Seite geladen ist;
auf der Seite wird Ihnen der Download von Tor Browser angeboten; diesen herunterladen und ausführen, folgen Sie den Installationsanweisungen und warten Sie, bis die Installation abgeschlossen ist;
starten Sie Tor Browser;
stellen Sie über die Schaltfläche „Verbinden“ eine Verbindung her (bei Verwendung der englischsprachigen Version);
nach der Initialisierung wird ein reguläres Internet-Browserfenster geöffnet;
tippen oder kopieren Sie die Adresse
http://avsxrcoq2q5fgrw2.onion/XXXX-XXXX-XXXX-XXXX-XXXX
in diese Browser-Adressleiste;
drücken Sie ENTER;
die Seite sollte nun geladen werden; wird die Seite aus irgendeinem Grund nicht geladen, warten Sie einen Moment und versuchen Sie es erneut.
Falls Sie während der Installation von Tor Browser Probleme haben, besuchen Sie bitte https://www.youtube.com und geben als Suchanforderung „tor browser Windows installieren“ ein und Sie erhalten in den Suchergebnossen viele Anleitungsvideos über die Installation und Verwendung von Tor Browser.

——————————————————————————–

Zusätzliche Informationen:

Sie finden dann die Anweisungen für die Wiederherstellung der Dateien („*.hta“) in jedem Ordner mit Ihren verschlüsselten Dateien.

Bei den Anweisungen („*.hta“) in den Ordnern mit Ihren verschlüsselten Dateien handelt es sich nicht um Viren, die Anweisungen („*.hta“) unterstützen Sie bei der Entschlüsselung Ihrer Dateien.

Denken Sie daran, das Schlimmste haben Sie bereits hinter ich und nun liegt die Zukunft Ihrer Dateien in den Händen Ihrer Entschlossenheit und Ihrer Aktionsschnelligkeit.

Gleichzeitig wird der Desktop-Hintergrund durch eine .bmp-Bilddatei ersetzt, die ebenfalls auf die Verschlüsselung hinweist:

20161127_cerber_desktop

 

Your documents, photos, databases and other important files have been encrypted by „Cerber Ransomware 5.0.1“!

If you understand all importance of the situation then we propose to you to go directly to your personal page where you will receive the complete instructions and guarantees to restore your files.

There is a list of temporary addresses to go on your personal page below:

____________________

http://avsxrcoq2q5fgrw2.rys9pj.top/XXXX-XXXX-XXXX-XXXX-XXXX
http://avsxrcoq2q5fgrw2.h44l3d.bid/XXXX-XXXX-XXXX-XXXX-XXXX
http://avsxrcoq2q5fgrw2.onion.to/XXXX-XXXX-XXXX-XXXX-XXXX

____________________

http://avsxrcoq2q5fgrw2.onion/XXXX-XXXX-XXXX-XXXX-XXXX

 

Die verlinkte Internetseite würde zunächst zur Auswahl der Sprache auffordern:

20161127_cerber_web1

Cerber Decryptor

Wähle deine Sprache

English
Deutsch
Español
Français
中文
日本語
Português
Polski
Italiano
Türkçe
العربية
Nederlands

Danach dauert es einen kleinen Moment…

20161127_cerber_web1a

Cerber Decryptor

Sie müssen aus Sicherheitsgründen bestätigen, dass es sich bei Ihnen nicht um einen Roboter handelt:

… bevor Sie ein Captcha lösen müssen:

20161127_cerber_web2

Cerber Decryptor

Sie müssen aus Sicherheitsgründen bestätigen, dass es sich bei Ihnen nicht um einen Roboter handelt:

Wählen Sie unten alle Bilder aus, die mit diesem Bild übereinstimmen:
Klicken Sie anschließend auf „Bestätigen“.

Tippen Sie auf alle Kacheln mit dem beschriebenen Objekt. Wenn neue Bilder mit diesem Objekt angezeigt werden, tippen Sie auch darauf. Tippen Sie abschließend auf „Bestätigen“.
Neue Aufgabe anfordern

Danach dauert es wieder einen kleinen Moment…

20161127_cerber_web2a

Cerber Decryptor

Sie müssen aus Sicherheitsgründen bestätigen, dass es sich bei Ihnen nicht um einen Roboter handelt:

… bevor Sie dann die Geldforderung (3 bis 6 BitCoin) sehen:

20161127_cerber_web3
Cerber Decryptor

Ihre Dokumente, Fotos, Datenbank und andere wichtige Daten wurden verschlüsselt!

Um Ihre Dateien zu entschlüsseln, benötigen Sie die Spezialsoftware – «Cerber Decryptor».

Alle Transaktionen können nur über das Bitcoin netzwerk ausgeführt werden.

Innerhalb von 5 Tagen können Sie das Produkt zum Sonderpreis kaufen: 3.000 (≈ $2198).

Nach 5 Tagen erhöht sich der Preis für dieses Produkt auf: 6.000 (≈ $4397).

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert