Cerber Ransomware: Giselle Wolf – Bewerbung von Giselle Wolf ([email protected])

Achtung: Die folgende Bewerbung bringt den Verschlüsselungs- und Erpressungstrojaner „Cerber“ (Ransomware) mit. Seien Sie daher vorsichtig und öffnen Sie keine ausführbaren Anlagen!

Hier das Beispiel vom Montag, den 15. Mai 2017. Die Bewerbung stammt angeblich von Giselle Wolf. Personen mit diesem Namen oder dem dargestellten Bild haben damit aber nichts zu tun! Es handelt sich um gefälschte Angaben!

Betreff: Giselle Wolf – Bewerbung
Absender: Giselle Wolf ([email protected])

Sehr geehrte Damen und Herren,

anbei erhalten Sie meine Bewerbung für die von Ihnen ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausfürlichen und angehängten Bewerbungsunterlagen.

Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.

Mit freundlichen Grüßen,

Giselle Wolf

Achtung: Es handelt sich um gefälschte E-Mails! Die genannten Personen haben mit der E-Mail nichts zu tun! Klicken Sie nicht auf die Anlagen und öffnen Sie diese nicht!

Im o. g. Beispiel sind die beiden folgenden Dateien beigefügt:

Giselle Wolf – Bewerbungsfoto.jpg
giselle wolf – unterlagen.zip

Giselle Wolf – Lebenslauf – 2017.exe
Giselle Wolf – Bewerbungsschreiben.exe

Das Bild stammt von einer Schweizer Internetseite, auf der ein Fotograf für seine Bewerbungsfotos wirbt. Inzwischen wurde es dort gelöscht.

Nach dem Entpacken des ZIP-Archives wären darin die beiden Dateien Giselle Wolf – Lebenslauf – 2017.exe und Giselle Wolf – Bewerbungsschreiben.exe enthalten. Es handelt sich dabei aber nicht um PDF-Dokumente (Adobe Acrobat Reader), sondern ausführbare Dateien!

Seien Sie aber auch bei anderen Dateiformaten vorsichtig! Am 08.12.2016 hat es z. B. die „Bewerbung als (Stellenbezeichnung) von Rolf Drescher oder Andreas Meier“ mit Excel-Dateien als Anlage gegeben, die ein bösartiges Makro enthalten haben. Durch ein zusätzliches PDF-Dokument mit richtigem Anschreiben und korrekter Stellenbezeichnung haben diese Bewerbungen einen echten Eindruck erweckt.

Laut Virustotal liegt die Erkennungsrate bereits bei 56/61.

Nach dem Ausführen der Dateien würden viele Dateitypen verschlüsselt. Auf jedem Rechner bekommen die Dateien eine andere Endung, hier z. B. 8d49. Außerdem legt die Cerber Ransomware noch zwei Dateien „_READ_THIS_FILE_(*).txt“ und „_READ_THIS_FILE_(*).hta“ in die Verzeichnisse.

_READ_THIS_FILE_11JG2_.hta
_READ_THIS_FILE_MGG68IJ_.txt
4txQ3cU5Lb.8d49
kSzGh1pGDx.8d49
msiNk5LlhA.8d49
Zj3J291FeW.8d49

Die .hta-Datei öffnen sich nach der Verschlüsselung automatisch:

CERBER RANSOMWARE

Sie können die benötigten Dateien nicht finden?
Sind die Inhalte Ihrer Dateien nicht lesbar?

Das ist normal, da die Namen und die Daten in Ihren Dateien von „Cerber Ransomware“ verschlüsselt werden.

Das bedeutet, Ihre Dateien sind NICHT beschädigt! Ihre Daten wurden lediglich modifiziert. Diese Modifikation kann rückgängig gemacht werden. Ab sofort können Sie Ihre Dateien erst dann wieder verwenden, nachdem diese entschlüsselt wuden.

Die einzige Möglichkeit, wie Sie Ihre Dateien zuverlässig entschlüsseln können, ist die spezielle Entschlüsselungssoftware „Cerber Decryptor“.

Alle Versuche, Ihre Dateien mit einer Software Dritter wiederherzustellen, wird für Ihre Dateien verheerend sein!

——————————————————————————–

Sie können auf Ihrer persönlichen Seite mit dem Kauf der Entschlüsselungssoftware fortfahren:

http://p27dokhpz2n7nvgr.13upnc.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.168w5y.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.1mfdt8.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.1mfakx.top/xxxx-xxxx-xxxx-xxxx-xxxx
——————————————————————————–
http://p27dokhpz2n7nvgr.1jyhqc.top/xxxx-xxxx-xxxx-xxxx-xxxx
Kann diese Seite nicht geöffnet werden, klicken Sie hier um eine neue Adresse für Ihre persönliche Seite zu generieren.

Auf dieser Seite erhalten Sie die kompletten Anweisungen für den Kauf der Entschlüsselungssoftware für die Wiederherstellung Ihrer Dateien.

Außerdem können Sie auf dieser Seite eine Ihrer Dateien wiederherstellen, um sich von der Funktion von „Cerber Decryptor“ zu überzeugen.

——————————————————————————–

Falls Ihre persönliche Seite über einen längeren Zeitraum nicht verfügbar ist, gibt es eine andere Möglichkeit, Ihre persönliche Seite zu öffnen – die Installation und Verwendung von Tor Browser:

starten Sie Ihren Internet-Browser (falls Sie nicht wissen, welcher das ist, starten Sie den Internet Explorer);
geben oder kopieren Sie die Adresse https://www.torproject.org/download/download-easy.html.en in die Adressleiste Ihres Browsers ein und drücken Sie ENTER;
warten Sie, bis die Seite geladen ist;
auf der Seite wird Ihnen der Download von Tor Browser angeboten; diesen herunterladen und ausführen, folgen Sie den Installationsanweisungen und warten Sie, bis die Installation abgeschlossen ist;
starten Sie Tor Browser;
stellen Sie über die Schaltfläche „Verbinden“ eine Verbindung her (bei Verwendung der englischsprachigen Version);
nach der Initialisierung wird ein reguläres Internet-Browserfenster geöffnet;
tippen oder kopieren Sie die Adresse
http://p27dokhpz2n7nvgr.onion/xxxx-xxxx-xxxx-xxxx-xxxx
in diese Browser-Adressleiste;
drücken Sie ENTER;
die Seite sollte nun geladen werden; wird die Seite aus irgendeinem Grund nicht geladen, warten Sie einen Moment und versuchen Sie es erneut.
Falls Sie während der Installation von Tor Browser Probleme haben, besuchen Sie bitte https://www.youtube.com und geben als Suchanforderung „tor browser Windows installieren“ ein und Sie erhalten in den Suchergebnossen viele Anleitungsvideos über die Installation und Verwendung von Tor Browser.

——————————————————————————–

Zusätzliche Informationen:

Sie finden dann die Anweisungen für die Wiederherstellung der Dateien („*_READ_THIS_FILE_*.hta“) in jedem Ordner mit Ihren verschlüsselten Dateien.

Bei den Anweisungen („*_READ_THIS_FILE_*.hta“) in den Ordnern mit Ihren verschlüsselten Dateien handelt es sich nicht um Viren, die Anweisungen („*_READ_THIS_FILE_*.hta“) unterstützen Sie bei der Entschlüsselung Ihrer Dateien.

Denken Sie daran, das Schlimmste haben Sie bereits hinter ich und nun liegt die Zukunft Ihrer Dateien in den Händen Ihrer Entschlossenheit und Ihrer Aktionsschnelligkeit.

Die Textdatei hat folgendes Aussehen:

 CERBER RANSOMWARE

—–

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!

—–

The only way to decrypt y0ur files is to receive the private key and decryption program.

To receive the private key and decryption program go to any decrypted folder,
inside there is the special file (*_READ_THIS_FILE_*) with complete instructions
how to decrypt your files.

If you cannot find any (*_READ_THIS_FILE_*) file at your PC, follow the instructions below:

—–

1. Download „Tor Browser“ from https://www.torproject.org/ and install it.

2. In the „Tor Browser“ open your personal page here:

http://p27dokhpz2n7nvgr.onion/xxxx-xxxx-xxxx-xxxx-xxxx

Note! This page is available via „Tor Browser“ only.

—–

Also you can use temporary addresses on your personal page without using „Tor Browser“.

—–

1. http://p27dokhpz2n7nvgr.13upnc.top/xxxx-xxxx-xxxx-xxxx-xxxx

2. http://p27dokhpz2n7nvgr.168w5y.top/xxxx-xxxx-xxxx-xxxx-xxxx

3. http://p27dokhpz2n7nvgr.1mfdt8.top/xxxx-xxxx-xxxx-xxxx-xxxx

4. http://p27dokhpz2n7nvgr.1mfakx.top/xxxx-xxxx-xxxx-xxxx-xxxx

5. http://p27dokhpz2n7nvgr.1jyhqc.top/xxxx-xxxx-xxxx-xxxx-xxxx

—–

Note! These are temporary addresses! They will be available for a limited amount of time!

—–

Wie die Seiten mit der Erpressung aussehen, finden Sie z. B. in der Warnung „167 (Empfängername) von [email protected]“ vom 05.03.2017

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.