Ein neuer Erpressungstrojaner macht seit einigen Tagen die Runde. Er nennt sich Cerber und zeigt in Teilen ein ganz neues Verhalten. Es besteht die Chance, dass Sie anhand dieses Verhaltens die Möglichkeit haben, im wahrsten Sinne des Wortes noch rechtzeitig den Stecker zu ziehen, bevor Ihre Daten verschlüsselt werden. Lesen Sie weiter, um zu erfahren, wie.
Cerber – eine russische Ransomware
Wie die Seite bleepingcomputer.com berichtet (englisch, umfassend bebildert), handelt es sich bei Cerber um einen russischen Erpressungstrojaner (international „Ransomware“), der in einem russischen Untergrundforum an Interessierte gegen eine Beteiligung an den Erpressungserlösen weitergegeben wird. Der Trojaner enthält Routinen, die verhindern sollen, dass Computer in der russischsprachigen Welt infiziert werden.
Eine Besonderheit seines Verhaltens ist, dass er nach dem Befall des Rechners Fehlermeldungen ausgibt und einen Neustart provoziert, bei dem er in den abgesicherten Modus mit Netzwerktreibern startet. An diesem Punkt sollten Sie ansetzen, um Datenverluste zu verhindern.
Sobald Ihr Computer dieses ungewöhnliche Verhalten zeigt, sollten Sie die Netzverbindung physisch trennen und den Rechner am Netzschalter ausschalten. An diesem Punkt hat der Trojaner nach der Beschreibung auf bleepingcomputer.com noch nicht begonnen, Ihre Daten zu verschlüsseln, dies geschieht erst nach einem neuerlichen Neustart.
Jetzt ist es noch möglich, ein sauberes anderes Betriebssystem zu starten (z.B. ein Linux von einer DVD) und die Daten in Sicherheit zu bringen, indem Sie sie aus Ihrem Benutzerverzeichnis auf einen externen Datenträger kopieren. Dieser kann währenddessen nicht befallen werden, sofern er unter Windows zur Zeit des Befalls mit Cerber nicht verbunden war, da Windows nicht aktiv ist und die darauf befindliche Schadsoftware deshalb auch nicht. Dann sind die Daten erst einmal in Sicherheit. Trennen Sie den Datenträger anschließend vom System und verbinden Sie ihn auf keinen Fall mehr mit dem Computer, wenn das befallene Windows noch nicht zuverlässig bereinigt wurde.
Der Erpressungstrojaner verankert sich außerdem im versteckten Verzeichnis AppData in einem Unterverzeichnis, das zumindest bei dem Exemplar, das von bleepingcomputer.com getestet wurde, folgenden Namen trägt:
{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}
Sollte das in allen Fällen so sein, kann die Löschung dieses Verzeichnisses (ebenfalls aus dem gebooteten Linux heraus) womöglich die weitere Funktionalität des Verschlüsselns unterbinden. Allerdings kann sich dieser Name durchaus ändern, und es gibt in Ihrem AppData-Verzeichnis bestimmt eine Reihe ähnlicher Verzeichnisse. Sie können sich die Beschreibung der Inhalte dieses Verzeichnisses und der damit verbundenen Einträge in die Registry auf bleepingcomputer.com ansehen, wenn Sie sich auf die Suche machen wollen.
Sicherer wäre allerdings die Löschung des gesamten Windows nach der Kopie der Daten auf die externe Festplatte und eine gründliche Neuinstallation. Bei der Gelegenheit könnten Sie stattdessen auch gleich Linux installieren. 😉
Nach einem weiteren Neustart ist es zu spät
Sollten Sie den zweiten Neustart nach dem Booten in den abgesicherten Modus allerdings zulassen, ist es für Ihre Daten zu spät: sie werden verschlüsselt und es erscheinen die üblichen Erpressermeldungen, die Ihnen empfehlen, den TorBrowser herunterzuladen und eine bestimmte Webseite aufzurufen, auf der weitere Instruktionen folgen. Cerber geht sogar so weit, über eine VB Script eine englischsprachige akustische Meldung über die Lautsprecher auszugeben, die Ihnen mitteilt, dass Ihre Daten verschlüsselt wurden.
Die angegebene Zielseite ist mehrsprachig und erklärt die Zahlung des Lösegeld in Bitcoin. Bei Zahlung nach mehr als einer Woche steigt der Preis.
Zahlung kann helfen, die Daten wiederzubekommen, aber eine Garantie gibt es nicht. Auch der Einstiegspreis liegt umgerechnet bereits bei mehreren hundert Euro. Eine andere Methode, an die Daten wieder heranzukommen, gibt es aber nicht. Es bleibt nur die Hoffnung, dass Sie rechtzeitig ein Backup angelegt haben.
War dieser Beitrag für Sie nützlich?
[thumbs-rating-buttons]