Ransomware Cerber (Verschlüsselungs- und Erpressungstrojaner): 32378 (Empfänger) von [email protected] oder 50413 (Empfänger) von [email protected]

Am Samstag, den 01. April 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die E-Mail lädt den Verschlüsselungs- und Erpressungstrojaner „Cerber“ (Ransomware) nach. Öffnen Sie daher nicht die Anlage!

Betreff: 32378 (Empfänger)
Absender: [email protected]

! Diese Nachricht hat eine hohe Prioritätsstufe.

Anlage: 695876448.zip

Betreff: 50413 (Empfänger)
Absender: [email protected]

! Diese Nachricht hat eine hohe Prioritätsstufe.

Anlage: 41185.zip

Die E-Mail kommt meistens mit einer Zahl, gefolgt vom Empfängernamen vor dem @-Zeichen als Betreff. Die Zahl ist dabei in jeder E-Mail unterschiedlich.

Oftmals kommt die E-Mail mit einer hohen Priorität und von unterschiedlichen Absendern.

Als Anlage ist ein ZIP-Archiv beigefügt, welches z. B. „41185.zip“ oder „695876448.zip“ lautet. Meistens, aber nicht immer, ist darin nochmals eine .zip-Datei wie z. B. „13534.zip“ enthalten. Entweder im ersten ZIP-Archiv oder im zweiten ZIP-Archiv ist dann ein JavaScript „29914.js“ oder „13534.js“ enthalten:

Da soll etwas verborgen werden! Führen Sie das Script daher nicht aus! 

Das Script würde entweder von der Domain jhdgh.pw die Datei search.php oder von der Domain www.ffjoleedas.top die Datei user.php?f=2.gif öffnen. Auch wenn der Parameter teilweise nach einer Grafik (2.gif) aussieht, so wird doch die Cerber Ransomware (Verschlüsselungs- und Erpressungstrojaner) geladen.

Virustotal zeigt für die Datei „r6j2o972s.exe“ (stammt von jhdgh.pw) eine Erkennungsrate von 7/61. Virustotal zeigt für die Datei „m7g13j9ca.exe“ (stammt von www.ffjoleedas.top)  eine Erkennungsrate von 11/61.

Daneben nimmt die Ransomware noch Kontakt mit folgenden Domains auf:

  • api.blockcypher.com
  • btc.blockr.io
  • p27dokhpz2n7nvgr.1hpvzl.top

Während der Verschlüsselung werden viele Dateien umbenannt. Die Dateiendung unterscheidet sich allerdings von Rechner zu Rechner. Hier wurden die Dateien z. B. mit der Endung „.8d49“ versehen:

_READ_THIS_FILE_61BAD_.txt
_READ_THIS_FILE_B9H6_.jpeg
_READ_THIS_FILE_BDOQOXE_.hta
_READ_THIS_FILE_EG04_.txt
_READ_THIS_FILE_ZUOX0W_.hta

GWx1Egt5r8.8d49
LPqHq8bSRJ.8d49
Sq0Zt-z1-p.8d49
ygNaW3DEBc.8d49
yzQjvBXzJ6.8d49

Als Hinweis auf die Verschlüsselung legt Cerber auf dem System die Dateien _READ_THIS_FILE_.hta und __READ_THIS_FILE_.jpg und _READ_THIS_FILE_.txt an. In den unterschiedlichen Verzeichnissen werden dabei vor der Dateiendung noch ein paar Buchstaben ergänzt:

_READ_THIS_FILE_0Z4VQBO_.jpeg
_READ_THIS_FILE_2WFRUKO_.txt
_READ_THIS_FILE_GTZAGD_.hta
_READ_THIS_FILE_U9PV9QRN_.hta
_READ_THIS_FILE_WK2RL32_.txt

Die JPG-Datei wird dabei auch als Desktop-Hintergrund gesetzt:

Außerdem wird die Datei mit der Windows-Fotoanzeige geöffnet. Das Bild sieht wie folgt aus:

CERBER RANSOMWARE

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

The only way to decrypt your files is to receive the private key and descryption program.

To receive the private key and decryption program go to any decrypted folder – inside there is the special file (*_HELP_HELP_HELP_*) with complete instructions how to decrypt your files.

If you cannot find any (*_HELP_HELP_HELP_*) file at your PC, follow the instructions below:

1. Download „Tor Browser“ from https://www.torproject.org/ and install it.
2. In the „Tor Browser“ open your personal page here:

http://p27doklhpz2n7nvgr.onion/XXXX-XXXX-XXXX-XXXX-XXXX

Note! This page is available via „Tor Browser“ only.

Die Text-Datei wird ebenfalls geöffnet und enthält eine Erpressung in englischer Sprache, während die .hta-Datei die Sprache entsprechend der Windows-Einstellung angezeigt.

CERBER RANS0MWARE

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

The only way to decrypt your files is to receive the private key and decryption program.

To receive the private key and decryption program go to any decrypted folder,
inside there is the special file (*_READ_THIS_FILE_*) with complete instructions
how to decrypt your files.

If you cannot find any (*_READ_THIS_FILE_*) file at your PC, follow the instructions below:

1. Download „Tor Browser“ from https://www.torproject.org/ and install it.
2. In the „Tor Browser“ open your personal page here:
http://p27dokhpz2n7nvgr.onion/xxxx-xxxx-xxxx-xxxx-xxxx
Note! This page is available via „Tor Browser“ only.

Also you can use temporary addresses on your personal page without using „Tor Browser“.

1. http://p27dokhpz2n7nvgr.1hpvzl.top/xxxx-xxxx-xxxx-xxxx-xxxx
2. http://p27dokhpz2n7nvgr.1pglcs.top/xxxx-xxxx-xxxx-xxxx-xxxx
3. http://p27dokhpz2n7nvgr.1cewld.top/xxxx-xxxx-xxxx-xxxx-xxxx
4. http://p27dokhpz2n7nvgr.1js3tl.top/xxxx-xxxx-xxxx-xxxx-xxxx
5. http://p27dokhpz2n7nvgr.1ajohk.top/xxxx-xxxx-xxxx-xxxx-xxxx

Note! These are temporary addresses! They will be available for a limited amount of time!

Neben der .jpg-Datei und der .txt-Datei wird auch die .hta-Datei geöffnet und in der entsprechenden Sprache (hier: Deutsch) angezeigt:

Deutsch
CERBER RANSOMWARE
Anleitung

Sie können die benötigten Dateien nicht finden?
Sind die Inhalte Ihrer Dateien nicht lesbar?

Das ist normal, da die Namen und die Daten in Ihren Dateien von „Cerber Ransomware“ verschlüsselt werden.

Das bedeutet, Ihre Dateien sind NICHT beschädigt! Ihre Daten wurden lediglich modifiziert. Diese Modifikation kann rückgängig gemacht werden. Ab sofort können Sie Ihre Dateien erst dann wieder verwenden, nachdem diese entschlüsselt wuden.

Die einzige Möglichkeit, wie Sie Ihre Dateien zuverlässig entschlüsseln können, ist die spezielle Entschlüsselungssoftware „Cerber Decryptor“.

Alle Versuche, Ihre Dateien mit einer Software Dritter wiederherzustellen, wird für Ihre Dateien verheerend sein!
——————————————————————————–

Sie können auf Ihrer persönlichen Seite mit dem Kauf der Entschlüsselungssoftware fortfahren:

Warten Sie mal…http://p27dokhpz2n7nvgr.1hpvzl.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.1pglcs.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.1cewld.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.1js3tl.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.1ajohk.top/xxxx-xxxx-xxxx-xxxx-xxxx
Kann diese Seite nicht geöffnet werden, klicken Sie hier um eine neue Adresse für Ihre persönliche Seite zu generieren.

Auf dieser Seite erhalten Sie die kompletten Anweisungen für den Kauf der Entschlüsselungssoftware für die Wiederherstellung Ihrer Dateien.

Außerdem können Sie auf dieser Seite eine Ihrer Dateien wiederherstellen, um sich von der Funktion von „Cerber Decryptor“ zu überzeugen.

——————————————————————————–

Falls Ihre persönliche Seite über einen längeren Zeitraum nicht verfügbar ist, gibt es eine andere Möglichkeit, Ihre persönliche Seite zu öffnen – die Installation und Verwendung von Tor Browser:

starten Sie Ihren Internet-Browser (falls Sie nicht wissen, welcher das ist, starten Sie den Internet Explorer);
geben oder kopieren Sie die Adresse https://www.torproject.org/download/download-easy.html.en in die Adressleiste Ihres Browsers ein und drücken Sie ENTER;
warten Sie, bis die Seite geladen ist;
auf der Seite wird Ihnen der Download von Tor Browser angeboten; diesen herunterladen und ausführen, folgen Sie den Installationsanweisungen und warten Sie, bis die Installation abgeschlossen ist;
starten Sie Tor Browser;
stellen Sie über die Schaltfläche „Verbinden“ eine Verbindung her (bei Verwendung der englischsprachigen Version);
nach der Initialisierung wird ein reguläres Internet-Browserfenster geöffnet;
tippen oder kopieren Sie die Adresse
http://p27dokhpz2n7nvgr.onion/xxxx-xxxx-xxxx-xxxx-xxxx
in diese Browser-Adressleiste;
drücken Sie ENTER;
die Seite sollte nun geladen werden; wird die Seite aus irgendeinem Grund nicht geladen, warten Sie einen Moment und versuchen Sie es erneut.
Falls Sie während der Installation von Tor Browser Probleme haben, besuchen Sie bitte https://www.youtube.com und geben als Suchanforderung „tor browser Windows installieren“ ein und Sie erhalten in den Suchergebnossen viele Anleitungsvideos über die Installation und Verwendung von Tor Browser.

——————————————————————————–

Zusätzliche Informationen:

Sie finden dann die Anweisungen für die Wiederherstellung der Dateien („*_READ_THIS_FILE_*.hta“) in jedem Ordner mit Ihren verschlüsselten Dateien.

Bei den Anweisungen („*_READ_THIS_FILE_*.hta“) in den Ordnern mit Ihren verschlüsselten Dateien handelt es sich nicht um Viren, die Anweisungen („*_READ_THIS_FILE_*.hta“) unterstützen Sie bei der Entschlüsselung Ihrer Dateien.

Denken Sie daran, das Schlimmste haben Sie bereits hinter ich und nun liegt die Zukunft Ihrer Dateien in den Händen Ihrer Entschlossenheit und Ihrer Aktionsschnelligkeit.

Die verlinkte Internetseite würde zunächst zur Auswahl der Sprache auffordern:

Cerber DecryptorWähle deine Sprache

English
Deutsch
Español
Français
中文
日本語
Português
Polski
Italiano
Türkçe
العربية
Nederlands

Anschließend soll man ein Captcha lösen, in dem man alle Bilder anklickt, die so wie das Muster aussehen:

Cerber Decryptor

Sie müssen aus Sicherheitsgründen bestätigen, dass es sich bei Ihnen nicht um einen Roboter handelt:

Wählen Sie unten alle Bilder aus, die mit diesem Bild übereinstimmen:
Klicken Sie anschließend auf „Bestätigen“.

Tippen Sie auf alle Kacheln mit dem beschriebenen Objekt. Wenn neue Bilder mit diesem Objekt angezeigt werden, tippen Sie auch darauf. Tippen Sie abschließend auf „Bestätigen“.
Neue Aufgabe anfordern

Bestätigen

Sobald man das Captcha gelöst hat, folgt die eigentliche Geldforderung in BitCoin:

Cerber Decryptor

Ihre Dokumente, Fotos, Datenbank und andere wichtige Daten wurden verschlüsselt!

Um Ihre Dateien zu entschlüsseln, benötigen Sie die Spezialsoftware – «Cerber Decryptor».

Alle Transaktionen können nur über das Bitcoin netzwerk ausgeführt werden.

Innerhalb von 5 Tagen können Sie das Produkt zum Sonderpreis kaufen: 1.000 (≈ $1088).

Nach 5 Tagen erhöht sich der Preis für dieses Produkt auf: 2.000 (≈ $2177).

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert