KRYPTO-Trojaner „Cerber“
Verfasst: Do 2. Jun 2016, 13:33
Ein kurzes Hallo aus meinem derzeitigen "Exil "
Wir haben heute in der Firma von unserem externen IT Dienstleistungsanbieter folgenden Warnhinweis bekommen den ich Euch nicht vorenthalten möchte:
"Sehr geehrte Damen und Herren,
mit dieser E-Mail möchten wir Sie auf eine brandneue Variante eines Verschlüsselung-Trojaners aufmerksam machen.
Dieser wird aktuell noch nicht unbedingt von Anti-Viren-Tools und sonstigen Filtern erkannt.
Es handelt sich um den KRYPTO-Trojaner „Cerber“, welcher sich in Form einer vorgetäuschten Bewerbungs-Email versucht zu verbreiten.
Diese E-Mail stammt momentan (soweit bekannt) von einer der folgenden Absenderadressen: Nikolas.Stein@t-online.de, Matthias.Frei@t-online.de
oder Peter.Schreiner@t-online.de.
Der Betreff dieser E-Mail lautet jeweils „Bewerbung“.
Das Öffnen der beigefügten Anlagen bewirkt die Auslösung der eingebetteten Schadsoftware und Ihre Daten auf dem lokalen Arbeitsplatz und den verbundenen Netzlaufwerken werden verschlüsselt und damit unbrauchbar gemacht.
Zu erkennen ist der Vorgang u.a. an vier Dateien, die in jedem befallenen Ordner erstellt werden. Alle haben den Namen „# DECRYPT MY FILES #“ und jeweils eine der Dateiendungen .txt .html .vbs .lnk
Verschlüsselte Dateien erhalten einen zufälligen Namen und die Dateiendung .cerber
Im Anschluss an die Verschlüsselung der Dateien wird in einem Erpresserbrief erklärt, wie man die Dateien gegen Zahlung einer bestimmten Summe angeblich wieder entschlüsseln kann.
Bitte löschen Sie diese E-Mail unmittelbar nach deren erhalt.
Seien Sie auch sensibel bei Umgang mit anderen E-Mails und informieren Sie bitte Ihre Kollegen.
Auch das Einblenden der Dateiendungen unter Windows kann sehr hilfreich sein. Dabei fällt dann z.B. in diesem Fall die Dateiendung .doc.js auf, welche auf ein ausführbares Javascript hinweist. Bei ausgeblendeten Dateiendungen ist dabei nur .doc sichtbar und erweckt den Anschein eines (harmlosen) Word-Dokuments
Falls Sie Hinweise auf Aktivitäten dieses Trojaners haben, dann trennen Sie bitte sofort das Ursprungssystem (dort wo die infizierten Dateien vermutlich ausgeführt wurden) vom Netzwerk und fahren Sie es dann direkt herunter. Nur so lässt sich die Verschlüsselung stoppen und eine Wiederherstellung ggf. erleichtern.
Wichtig in diesem Zusammenhang ist auch das regelmäßige Anlegen einer Datensicherung aller wichtigen Dateien und Dokumente.
Diese wird benötigt um ggf. eine Daten-Wiederherstellung zu gewährleisten.
Mit freundlichen Grüßen"
Also alle schön aufpassen
LG Sansiro
Wir haben heute in der Firma von unserem externen IT Dienstleistungsanbieter folgenden Warnhinweis bekommen den ich Euch nicht vorenthalten möchte:
"Sehr geehrte Damen und Herren,
mit dieser E-Mail möchten wir Sie auf eine brandneue Variante eines Verschlüsselung-Trojaners aufmerksam machen.
Dieser wird aktuell noch nicht unbedingt von Anti-Viren-Tools und sonstigen Filtern erkannt.
Es handelt sich um den KRYPTO-Trojaner „Cerber“, welcher sich in Form einer vorgetäuschten Bewerbungs-Email versucht zu verbreiten.
Diese E-Mail stammt momentan (soweit bekannt) von einer der folgenden Absenderadressen: Nikolas.Stein@t-online.de, Matthias.Frei@t-online.de
oder Peter.Schreiner@t-online.de.
Der Betreff dieser E-Mail lautet jeweils „Bewerbung“.
Das Öffnen der beigefügten Anlagen bewirkt die Auslösung der eingebetteten Schadsoftware und Ihre Daten auf dem lokalen Arbeitsplatz und den verbundenen Netzlaufwerken werden verschlüsselt und damit unbrauchbar gemacht.
Zu erkennen ist der Vorgang u.a. an vier Dateien, die in jedem befallenen Ordner erstellt werden. Alle haben den Namen „# DECRYPT MY FILES #“ und jeweils eine der Dateiendungen .txt .html .vbs .lnk
Verschlüsselte Dateien erhalten einen zufälligen Namen und die Dateiendung .cerber
Im Anschluss an die Verschlüsselung der Dateien wird in einem Erpresserbrief erklärt, wie man die Dateien gegen Zahlung einer bestimmten Summe angeblich wieder entschlüsseln kann.
Bitte löschen Sie diese E-Mail unmittelbar nach deren erhalt.
Seien Sie auch sensibel bei Umgang mit anderen E-Mails und informieren Sie bitte Ihre Kollegen.
Auch das Einblenden der Dateiendungen unter Windows kann sehr hilfreich sein. Dabei fällt dann z.B. in diesem Fall die Dateiendung .doc.js auf, welche auf ein ausführbares Javascript hinweist. Bei ausgeblendeten Dateiendungen ist dabei nur .doc sichtbar und erweckt den Anschein eines (harmlosen) Word-Dokuments
Falls Sie Hinweise auf Aktivitäten dieses Trojaners haben, dann trennen Sie bitte sofort das Ursprungssystem (dort wo die infizierten Dateien vermutlich ausgeführt wurden) vom Netzwerk und fahren Sie es dann direkt herunter. Nur so lässt sich die Verschlüsselung stoppen und eine Wiederherstellung ggf. erleichtern.
Wichtig in diesem Zusammenhang ist auch das regelmäßige Anlegen einer Datensicherung aller wichtigen Dateien und Dokumente.
Diese wird benötigt um ggf. eine Daten-Wiederherstellung zu gewährleisten.
Mit freundlichen Grüßen"
Also alle schön aufpassen
LG Sansiro
