{"id":175655,"date":"2016-03-15T01:41:00","date_gmt":"2016-03-15T00:41:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=175655"},"modified":"2022-08-11T08:45:18","modified_gmt":"2022-08-11T06:45:18","slug":"cerber-neue-sprechende-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/03\/15\/cerber-neue-sprechende-ransomware\/","title":{"rendered":"Cerber, neue, sprechende Ransomware"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Es gibt einen neuen Erpressungstrojaner mit dem Namen Cerber, der mit \"ausgewachsenen F\u00e4higkeiten\" wie Sprachausgabe oder \"Special Preis f\u00fcr Sofortzahler\" daher kommt. Hier ein paar Infos zu diesem Teil.<\/p>\n<p><!--more--><\/p>\n<p>Die Entwickler von Malware haben offenbar ein Faible f\u00fcr die griechische Mythologie. Wenn ich richtig erinnere war Cerber (oder Cerberus bzw. Kerberus) <a href=\"https:\/\/de.wikipedia.org\/wiki\/Kerberos\" target=\"_blank\" rel=\"noopener\">der H\u00f6llenhund<\/a>, der den Eingang zur Unterwelt, den Hades, bewachte. Der Name Cerber der neuen Ransomware scheint sich an diesem H\u00f6llenhund anzulehnen.<\/p>\n<p>Im <a href=\"https:\/\/web.archive.org\/web\/20160321035029\/https:\/\/blog.malwarebytes.org\/intelligence\/2016\/03\/cerber-ransomware-new-but-mature\/\" target=\"_blank\" rel=\"noopener\">Blog von Malwarebytes<\/a> hat man sich Cerber vorgenommen und eine Analyse des Verschl\u00fcsselungstrojaners ver\u00f6ffentlicht. Die Ransomware wird in russischen Untergrundforen gehandelt. Sobald die Infektion mit Cerber erfolgt ist, erzeugt der Trojaner einen versteckten Ordner in <em>%APPDATA%<\/em>. Dann wird der Sch\u00e4dling in diesem Ordner unter wechselnden Programmnamen wie <em>csrstub.exe<\/em>, <em>dinotify.exe, ndadmin.exe, setx.exe, rasdial.exe, RelPost.exe, ntkrnlpa.exe<\/em> ausgef\u00fchrt. Und es wird ein Link im Ordner:<\/p>\n<p><em>%APPDATA%\/Microsoft\/Windows\/Start Menu\/Programs\/Startup<\/em><\/p>\n<p>auf die Malware erzeugt. Die Malware tr\u00e4gt sich zudem in den Run- und RunOnce-Schl\u00fcsseln der Registrierung ein. Verschl\u00fcsselte Dateien erhalten die Dateinamenerweiterung <em>.cerber<\/em>. Dem betroffenen Nutzer wird dann sowohl eine Textnachricht, als auch eine \u2013 allerdings in englischer Sprache \u2013 akustische Nachricht \u00fcbermittelt, dass seine Dateien verschl\u00fcsselt wurden. Trend Micro hat wohl diese \"sprechende Ransomware\" erstmals entdeckt, wie man <a href=\"http:\/\/www.zdnet.de\/88262256\/cerber-trend-micro-entdeckt-erste-sprechende-ransomware\/\" target=\"_blank\" rel=\"noopener\">bei ZDNet.com<\/a> nachlesen kann. <\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/20iqmAl.jpg\"\/><br \/>(Quelle: Malwarebytes)<\/p>\n<p>Die \"Entwickler\" haben auch sonst kr\u00e4ftig investiert und bieten beispielsweise eine Webseite f\u00fcr die Opfer an, die Erl\u00e4uterungen in mehreren Sprachen bereith\u00e4lt. Wer die Seite einmal besucht, erlebt noch eine \u00dcberraschung. Innerhalb der ersten sieben Tage nach dem ersten Besuch der Webseite wird ein spezieller Preis f\u00fcr das L\u00f6segeld in Form von Bitcoins genannt. Nach diesem Datum erh\u00f6ht sich der Preis \u2013 und das Ganze wird noch in Form eines Countdowns angezeigt. Ist doch nett \u2013 oder? Die Szene professionalisiert sich.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es gibt einen neuen Erpressungstrojaner mit dem Namen Cerber, der mit \"ausgewachsenen F\u00e4higkeiten\" wie Sprachausgabe oder \"Special Preis f\u00fcr Sofortzahler\" daher kommt. Hier ein paar Infos zu diesem Teil.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,1107,2783],"class_list":["post-175655","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-trojaner","tag-verschlusselung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175655","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175655"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175655\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175655"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175655"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175655"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}