Ransomware Cerber in Bewerbungs-Mail

Achtung bei einer Bewerbung von einer „Yvonne Kaiser“ auf eine angebliche Stellenanzeige im Internet. In der angehängten Zip-Datei sind zwei JavaScript-Dateien als Bewerbungsunterlagen versteckt. Bei deaktivierter Anzeige der kompletten Dateinamen mit den Erweiterungen können diese aufgrund der Endung .pdf.js leicht versehentlich von unachtsamen Mitarbeitern geöffnet werden.

 

 

In beiden Dateien versteckt sich der gleiche Schadcode, der die Ransomware „Cerber“ ausführt und dabei alle Dateien verschlüsselt:
 

Nachdem die Ransomware durchgelaufen ist, ändert sich der Bildschirmhintergrund und die Dateien sind umbenannt und haben eine andere Endung bekommen:
 

Überraschenderweise lässt sich die Sprache der Anweisungen umstellen:
 

Die Anleitung erklärt das übliche Spiel, bei dem man auf eine angegebene Webseite gehen soll, wo man dann vermutlich gegen Zahlung angeblich ein Entschlüsselungsprogramm bekommt:
 

Da ich zu dieser Ransomware bereits Einträge aus dem vergangenen Jahr gefunden habe, gehe ich nicht davon aus, dass sich diese nun stark verbreitet. Aber ich denke es könnte sich um eine bereits modifizierte Version handeln.

Bei Heise will man eine Meldung rausgeben, sobald sich mehr Betroffene bzw. Empfänger dieser Mail melden. Dies scheint zumindest bisher nicht der Fall zu sein.

Eine Analyse aus letztem Jahr gibt es hier bei Malwarebytes.

Schreibe einen Kommentar