Cerber 5.0 in freier Wildbahn gesichtet

Der Forscher Bryan Campbell entdeckte in freier Wildbahn eine neue Variante des fürchterlichen Schädlings Cerber. Cerber 5.0 verbreitet sich über die Exploit-Kits RIG-V, die die Installation des Erpresserschädlings auf dem Computer ohne Wissen des Anwenders ermöglichen, wenn dieser eine mit schädlicher Werbung infizierte Website besucht. Es ist möglich, dass sich Cerber 5.0 auch via Schadspam verbreitet, doch bisher ist dem Experten noch nicht eine einizige Mail dieser Art in die Hände gefallen.

Erst vor kurzem, im Oktober, hatte sich Cerber eine Reihe neuer Fähigkeiten angeeignet: Der Windows-Verschlüsselungsschädling fügt den chiffrierten Dateien nun anstelle der Erweiterung .cerber3 vier willkürliche Zeichen an, er verwendet das Format HTA für die Dateien mit der Lösegeldforderung und verfügt jetzt auch über den Befehl close_process, mit dem er einige Datenbankprozesse vor der Verschlüsselung beenden kann.

Der IT-Sicherheitsexperte BloodDolly berichtete über die neusten Cerber-Updates in der fünften Version, darunter auch die Fähigkeit bei der Verschlüsselung 640, und nicht 512 Byte durchzulassen. Die minimale Größe einer zu verschlüsselnden Datei beträgt nun außerdem 2560 Byte (in der vorangegangenen Version lag die Grenze bei 1024 Byte). Für den Versand der statistischen UDP-Pakete werden jetzt IP-Adressen aus den Bereichen 63.55.11.0/27, 15.93.12.0/27, 194.165.16.0/22 verwendet.

Der Forscher Marcelo Rivero ist itw sogar schon auf Cerber 5.0.1 gestoßen. Alles deutet darauf hin, dass dieser effiziente Schädling den Nutzern noch lange Ärger bereiten wird.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.