Erste sprechende Erpresser-Malware

ransomware (Bild: Carlos Amarillo/Shutterstock)

Die Ransomware Cerber informiert ihre Opfer über eine Sprachnachricht über die Forderungen. Die Erpresser wollen demnächst auch lokalisierte Versionen der Sprachnachricht anbieten.

Es soll die erste Ransomware sein, die bei den Opfern über eine Sprachdatei Lösegeldforderung stellt. Bisher ist es üblich, dass in solchen Fällen ein Bild eingeblendet wird. Wie die Sicherheitsexperten von Trend Micro mitteilen, soll die Erpressersoftware Cerber “Ransom_Cerber.A” dazu auch noch eine Audiodatei abspielen. Darin informieren die Erpresser die Nutzer darüber, dass alle “Dokumente, Fotos, Datenbanken und andere wichtige Dateien” verschlüsselt wurden.

Derzeit spreche Cerber allerdings nur Englisch, erklärt Rhena Inocencio, Threat Response Engineer bei Trend Micro, in einem Blog. Cerber weise die Opfer in einer Textdatei aber auch an, den Tor-Browser herunterzuladen und über das gleichnamige Anonymisierungsnetzwerk eine bestimmte Website zu besuchen. Hier bieten die Krimimellen den Opfern weitere Sprachen an, darunter auch Deutsch.

Die Hintermänner verlangen ein Lösegeld von 1,24 Bitcoin, was derzeit rund 523 Dollar entspricht. Es erhöht sich innerhalb von sieben Tagen auf 2,48 Bitcoin, also rund 1046 Dollar.

Wenn Erpressungsopfer bezahlen wollen, bieten die Hacker eine Sprachauswahl an. Die "Bedingungen" die in Form einer Audio-Datei gestellt werden, gibt es bislang jedoch nur in englischer Sprache. (Bild: Trend)
Wenn Erpressungsopfer bezahlen wollen, bieten die Hacker eine Sprachauswahl an. Die “Bedingungen” die in Form einer Audio-Datei gestellt werden, gibt es bislang jedoch nur in englischer Sprache. (Bild: Trend)

Bei der Analyse der Ransomware fanden die Forscher zudem eine json-Datei. “Bei näherer Betrachtung dieser Konfigurationsdatei haben wir festgestellt, dass sich diese Ransomware sehr leicht anpassen lässt”, ergänzte Inocencio. “Das erlaubt es dem Herausgeber, die Lösegeldforderung und die zu verschlüsselnden Dateitypen zu verändern und auch einzelne Länder auszuschließen.” Das lege die Vermutung nahe, das Cerber für den Verkauf an gewerbsmäßige Cyberkriminelle gedacht sei, um an deren Bedürfnisse angepasst zu werden.

Derzeit wird die Cerber-Ransomware mithilfe des Exploit-Kits Nuclear im Rahmen von Malvertising-Kampagnen – also über manipulierte Anzeigen auf legitimen Websites – verbreitet. Cerber werde, wie es in Experten-Kreisen heißt, auch als Ransomware-as-a-Service im russischen Untergrund gehandelt. Die Verbreitung von Cerber werde deswegen wahrscheinlich schon bald zunehmen, vermutet Inocencio.

Als Schutz vor Erpressersoftware empfiehlt Trend Micro eine als 3-2-1 bezeichnete Backupstrategie. Dabei werden insgesamt drei verschiedene Kopien aller Daten erzeugt, und zwar auf mindestens zwei unterschiedlichen Medien, wobei eine Kopie extern an einem sicheren Ort hinterlegt wird. Somit sind Nutzer auch vor dem Ausfall eines Sicherungsmediums und einem Verlust von Daten durch Feuer oder Diebstahl geschützt. “Es ist auch wichtig, nicht nachzugeben und das Lösegeld zu bezahlen, da die Erpresser möglicherweise nochmal gegen denselben Nutzer vorgehen, wissend, dass er ein Lösegeld bezahlen kann.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de