Ransomware Cerber beendet Datenbankprozesse

Sicherheitsforscher haben eine neue Variante der Ransomware Cerber entdeckt. Sie ist offenbar seit vergangener Woche im Umlauf und bringt eine wichtige neue Funktion mit. Cerber ist nun in der Lage, Datenbankprozesse zu beenden, wie Bleeping Computer berichtet. Die Erpressersoftware ist dadurch in der Lage, uneingeschränkt auf die zugehörigen Dateien zuzugreifen und sie ebenfalls zu verschlüsseln.

Bisher war es Cerber unter Umständen nicht möglich, alle Dateien eines Datenbanksystems zu verschlüsseln, da sie aufgrund der laufenden Prozesse für Zugriffe gesperrt waren. Die neue Funktion richtet sich unter anderem gegen Datenbanken von Microsoft und Oracle, aber gegen auch die Konfigurationseinstellungen des Browsers Firefox und des E-Mail-Clients Thunderbird.

Neu ist auch, dass Cerber die statische Dateiendung „.Cerber3“ für verschlüsselte Dateien nicht mehr verwendet. Stattdessen erhalten entführte Dateien eine Dateiendung aus 4 zufällig generierten Zeichen. Bisher ersetzte Cerber lediglich den Dateinamen durch eine zufällige Zeichenfolge.

Die Lösegeldforderung stellt die neue Variante in Form einer ausführbaren HTML-Datei (.hta). „Können Sie die benötigten Dateien nicht finden? Sind die Inhalte Ihrer Dateien nicht lesbar?“, heißt es dort. „Das ist normal, denn die Dateinamen und die Daten in Ihren Dateien wurden durch die Cerber Ransomware verschlüsselt.“

Die Hintermänner von Cerber betonen, dass die Dateien nicht beschädigt und die Inhalte nicht verloren seien. Für die Entschlüsselung werde die kostenpflichtige Software „Cerber Decryptor“ benötigt. Die bieten die Hacker auf einer in der Lösegeldforderung verlinkten Website an, die sie im Internet und auch im Darkweb hosten – inklusive Anleitung für die Nutzung des Tor-Browsers.

Eine weitere Besonderheit von Cerber ist dem Bericht zufolge die Erfassung statistischer Daten. Sie werden an Server aus dem Adressbereich 31.184.234.0 bis 31.184.234.23 verschickt.

Derzeit ist es wohl noch nicht möglich, von Cerber verschlüsselte Dateien ohne Zahlung des Lösegelds zu entschlüsseln. Es kommt aber immer wieder vor, dass Sicherheitsanbieter Fehler im Schlüsselgenerator finden oder in der Lage sind, diesen zu knacken. Ein Beispiel dafür ist die Ransomware MarsJoke, für die Kaspersky seit wenigen Tagen ein Entschlüsselungstool anbietet.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.