Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr
Sicherheitsforscher warnen vor einer neuen Version der Ransomware, die nun unter anderem auch bestimmte laufende Prozesse beenden kann, um so Datenbanken in ihre Fänge zu bekommen.
(Bild: Yuri Samoilov, CC BY 2.0 )
Die Drahtzieher hinter dem Verschlüsselungs-Trojaner Cerber haben ihren Windows-Schädling aufgerüstet und die neue Version kann den Ransomware-Experten von Bleepingcomputer.com zufolge nun auch Datenbanken verschlüsseln.
Bisher haben laufende Prozesse von Datenbank-Systemen Cerber an dieser Stelle einen Strich durch die Rechnung gemacht: Der Schädling hatte keinen Zugriff auf in Bearbeitung befindliche Datenbanken. Nun soll Cerber Prozesse wie sqlagent.exe und oracle.exe beenden können, um Datenbanken in seine Fänge zu ziehen.
Namenserweiterung verschwurbelt
Darüber hinaus soll Cerber als Geisel genommene Dateien nicht mehr mit der Namenserweiterung .cerber3 kennzeichnen. Wie zuvor schon beim Datei-Namen, setzt der Schädling den Sicherheitsforschern zufolge nun auch bei der Namenserweiterung auf Zufallswerte. Kryptische Bezeichnungen wie 12hdzwwlsd.d6ft sind das Ergebnis. Opfer können sich so keinen Überblick mehr verschaffen, welche Dateien Cerber erwischt hat.
Auch bei der Erpresser-Botschaft haben die Kriminellen Hand angelegt und sich vom .txt-Format verabschiedet. Die Botschaft kommt nun als HTML-Applikation (HTA) daher, erläutert Bleepingcomputer.com.
Wie sich die aktuelle Version von Cerber verbreitet, ist derzeit nicht bekannt. In der Regel versuchen sich Erpressungs-Trojaner als Anhang von gefälschten Mails auf Computer zu schleichen.
Ein kostenloses Entschlüsselungs-Tool ist aktuell nicht verfügbar. Bereits im August dieses Jahres haben die Entwickler des Schädlings Cerber gegen derartige Tools gerüstet. (des)
