Nachdem der Erpressungstrojaner Cerber im Oktober letzten Jahres auch die Verschlüsselung von Datenbanken gelernt hatte, wurde es ruhiger um den Schädling. Jetzt macht die Ransomware wieder von sich reden, weil sie sich neben der Erpressung zusätzlich auch auf den Taschendiebstahl von Bitcoins verlegt hat.
Vor dieser neuen Variante der Ransomware Cerber warnen jetzt auch die Sicherheitsspezialisten von Trend Micro.
Cerber wird immer noch als schädlicher Dateianhang unerwünschter Emails verbreitet. Wenn die JavaScript-Datei ausgeführt wird, lädt sie die aktuelle Cerber-Variante herunter.
Bevor sie dann wie bisher mit der Verschlüsselung der Dateien beginnt, sucht sie auf einem infizierten Rechner zunächst Dateien, die zu drei Bitcoin-Apps gehören: Bitcoin Core, Electrum und Multibit.
Die „Brieftaschen“-Dateien „wallet.dat“ (Bitcoin Core), „*.wallet“ (Multibit) und „electrum.dat“ (Electrum) überträgt der Erpressungstrojaner dann an seinen Befehlsserver im Internet.
Weil der Diebstahl der Wallet-Dateien alleine aber für einen Zugriff auf eine Bitcoin-Geldbörse nicht ausreicht, versuchen die Hacker, die benötigten Nutzernamen und Passwörter aus den Browsern Internet Explorer, Chrome oder Firefox zu auszulesen. Sobald die Wallet-Dateien an die Command-Server übergeben wurden, löscht Cerber sie auf dem infizierten System und verschlüsselt dann in bekannter Manier die Dateien auf dem Rechner.