{"id":3779,"date":"2016-08-17T16:23:05","date_gmt":"2016-08-17T14:23:05","guid":{"rendered":"https:\/\/www.expertiger.de\/blog\/?p=3779"},"modified":"2019-03-26T11:08:31","modified_gmt":"2019-03-26T10:08:31","slug":"ransomware-cerber-entschluesseln","status":"publish","type":"post","link":"https:\/\/www.expertiger.de\/blog\/ransomware-cerber-entschluesseln\/","title":{"rendered":"Ransomware Cerber in nur 3 Schritten entschl\u00fcsseln!"},"content":{"rendered":"

Abbildung: Wikimedia Commons, Yellow Lion<\/a><\/sup><\/p>\n

Die Ransomware Cerber ist momentan\u00a0eine der gr\u00f6\u00dften Bedrohungen im Internet. Allein im Juli 2016 sind weltweit 100.000 PC-Nutzer der Erpressersoftware zum Opfer gefallen, so das Software-Unternehmen Check Point in einer aktuellen Analyse<\/a>. Doch es gibt Hoffnung f\u00fcr alle Cerber-Gesch\u00e4digten: Den Sicherheitsexperten von Check Point ist es gelungen, die Ransomware Cerber zu knacken und den H\u00f6llenhund an die Kette zu legen. Wir zeigen Ihnen, wie Sie mit einem einfachen Tool Ihre Daten wieder sicher entschl\u00fcsseln!<\/strong><\/p>\n

<\/p>\n

**UPDATE 29. AUGUST: ENTSCHL\u00dcSSELUNGS-TOOL VORL\u00c4UFIG WIRKUNGSLOS**<\/strong>
\nDie Freude \u00fcber die gelungene Entschl\u00fcsselung der Ransomware Cerber w\u00e4hrt leider nur kurz: Die Hacker haben inzwischen ihre Schadsoftware aktualisiert, weshalb das Entschl\u00fcsselungs-Tool von Check Point aktuell nicht mehr funktioniert<\/a>. Auch die Seite von Check Point zur Ransomware Cerber ist momentan offline. Bei Check Point arbeiten die Sicherheitsexperten jedoch bereits an neuen Wegen, um die Verschl\u00fcsselung von Cerber, Cerber 2 und Cerber 3\u00a0zu knacken. Falls es eine neue M\u00f6glichkeit gibt, werden wir euch nat\u00fcrlich sofort informieren!<\/strong><\/p>\n

**UPDATE 10. M\u00c4RZ: NEUE CERBER-VERSION VER\u00c4NDERT DATEI-NAMEN NICHT**
\n<\/strong>Im Gegensatz zu allen Vorg\u00e4nger-Versionen von Cerber ver\u00e4ndert die neue Variante der Ransomware die Namen der verschl\u00fcsselten Dateien nicht<\/a>. Lediglich ein K\u00fcrzel wird an den urspr\u00fcnglichen Dateinamen angeh\u00e4ngt. Das erleichtert es den Betroffenen, herauszufinden, welche konkreten Dateien auf ihrem Rechner verschl\u00fcsselt worden sind. Dennoch gibt es momentan leider noch kein Tool, um die neuesten Cerber-Versionen zu entschl\u00fcsseln.<\/strong><\/p>\n

Was ist die Ransomware Cerber?<\/h2>\n

Die Ransomware Cerber tr\u00e4gt nicht von ungef\u00e4hr den Namen des griechischen H\u00f6llenhundes Cerberus: Die Erpressersoftware ist h\u00f6llisch gef\u00e4hrlich. Sie verbreitet sich seit Februar 2016\u00a0mit rasender Geschwindigkeit in den Versionen Cerber,\u00a0Cerber 2 und Cerber 3. Das gro\u00dfe Cerber-Netzwerk infiziert immer mehr Rechner, im September 2016 wurden pro Tag sage und schreibe jeden Tag 80.000 neue Computer mit einer Version von Cerber infiziert.<\/p>\n

Weil Cerber extrem gut programmiert ist, kann die Schadsoftware viele Sicherheitsschranken locker \u00fcberlisten. Dabei gelangt die Erpressersoftware auf zwei Wegen auf die Computer der Opfer:<\/p>\n

    \n
  1. Das Opfer \u00f6ffnet eine scheinbar harmlose Datei<\/strong> (meist im Anhang einer Email) und holt sich so die Ransomware Cerber auf den PC. Besonders perfide: Im deutschsprachigen Raum steckt die Erpressersoftware Cerber h\u00e4ufig in einer gef\u00e4lschten\u00a0Bewerbungs-Email, die frei von Rechtschreibfehlern ist und sogar ein Foto des vermeintlichen Bewerbers enth\u00e4lt \u2013 und deshalb besonders vertrauensw\u00fcrdig wirkt.<\/li>\n
  2. Das Opfer besucht eine scheinbar seri\u00f6se Internetseite<\/strong>, die jedoch unbemerkt die Ransomware Cerber auf dem Computer installiert.<\/li>\n<\/ol>\n

    Ist das Erpresserprogramm Cerber einmal auf dem PC, dann beginnt es sofort mit der Verschl\u00fcsselung aller Dateien. Dem PC-Nutzer wird diese Nachricht angezeigt:<\/p>\n

    Your documents, photos, databases and other important files have been encryptet!<\/em><\/p>\n

    If you understand all importance of the situation then we propose to you to go directly to your personal page where you will receive the complete instructions and guarantees to restore your files.<\/em><\/p>\n

    There is a list of temporary adresses to go on your personal page below:<\/em><\/p><\/blockquote>\n

    Doch wie bei allen anderen Ransomware-Versionen gilt auch bei Cerber: Zahlen Sie nicht den geforderten Betrag! Weil Sie es im Fall der Ransomware Cerber mit eiskalten Internet-Betr\u00fcgern zu tun haben, k\u00f6nnen Sie keinesfalls sicher sein, dass eine Zahlung auch wirklich zur Entschl\u00fcsselung Ihrer Dateien f\u00fchrt!<\/p>\n

    Ransomware Cerber: Dieses Tool enschl\u00fcsselt Ihre Dateien<\/h2>\n

    Die Entschl\u00fcsselung von Cerber 3\u00a0und 2 ist aktuell nicht m\u00f6glich. Daf\u00fcr hat die IT-Sicherheitsfirma Trend Micro ein Tool ver\u00f6ffentlicht<\/a>, mit dem Dateien entschl\u00fcsselt werden k\u00f6nnen, die von Cerber 1 verschl\u00fcsselt wurden. Auf der Seite\u00a0von Trend Micro finden Sie einen englischsprachigen Online Kurs, der erkl\u00e4rt, wie das Programm funktioniert<\/a>. Doch es gibt Einschr\u00e4nkungen:<\/p>\n

      \n
    1. Die Entschl\u00fcsselung muss auf dem von Cerber 1 infizierten Rechner ausgef\u00fchrt werden, denn das Tool braucht direkten Zugang zu den verschl\u00fcsselten Daten.<\/li>\n
    2. Weil die Ransomware Cerber beim Verschl\u00fcsseln von Dateien sehr elaborierte Verschl\u00fcsselungstechnik anwendet, kann das Entschl\u00fcsseln der Dateien locker 4 Stunden oder l\u00e4nger dauern.<\/li>\n
    3. Je mehr Prozessorkerne Ihr PC hat, desto geringer ist die Chance, dass das Tool von Trend Micro tats\u00e4chlich alle Dateien vollst\u00e4ndig entschl\u00fcsseln kann.<\/li>\n
    4. Das Entschl\u00fcsselungsprogramm funktioniert nur f\u00fcr Dateien, die von der ersten Version von Cerber verschl\u00fcsselt wurden, gegen Cerber 2 und 3 ist es machtlos.<\/li>\n<\/ol>\n

      Ransomware Cerber: In diesen 3 Schritten\u00a0entschl\u00fcsseln Sie Ihre Dateien!<\/h3>\n

      Die gute Nachricht f\u00fcr alle Opfer der Erpressersoftware: Den Sicherheitsexperten von Check Point ist es gelungen, die Ransomware Cerber zu knacken. In nur 3\u00a0einfachen Schritten<\/strong> k\u00f6nnen Sie mit dem Tool alle Ihre Dateien entschl\u00fcsseln. \u00d6ffnen Sie dazu die Seite von Check Point<\/a> und folgen Sie diesen Anweisungen:<\/p>\n

        \n
      1. Erstellen Sie Ihren pers\u00f6nlichen Entschl\u00fcsselungs-Code:\u00a0<\/strong>Klicken Sie dazu auf “Choose<\/em>” und w\u00e4hlen Sie eine Datei aus, die von Cerber verschl\u00fcsselt wurde, die also auf “.cerber” oder “.cerber2” endet. Laden Sie diese Datei mit einem Klick auf “Submit<\/em>” hoch. Das Tool generiert nun einen “decryption key”<\/em>, also einen Schl\u00fcssel, der Ihre verschl\u00fcsselten Dateien wieder freischaltet.<\/li>\n
      2. Laden Sie Schl\u00fcssel und Entschl\u00fcsselungs-Tool herunter:<\/strong> Laden Sie die Datei mit dem Cerber-Schl\u00fcssel (Dateiname “pk”) und das Entschl\u00fcsselungs-Tool (Dateiname “cerber12dec.exe”) herunter und speichern Sie beide Dateien in einem gemeinsamen Ordner.<\/li>\n
      3. Starten Sie die Entschl\u00fcsselung Ihrer Dateien:<\/strong>\u00a0F\u00fchren Sie nun das Entschl\u00fcsselungs-Tool als Administrator aus indem Sie mit rechts auf die Datei “cerber12dec.exe” klicken und “Als Administrator ausf\u00fchren” ausw\u00e4hlen. Eventuelle Sicherheitswarnungen von Windows k\u00f6nnen Sie wegklicken, denn das Tool stammt aus einer zuverl\u00e4ssigen Quelle. Es \u00f6ffnet sich ein neues Fenster mit wei\u00dfer Schrift auf schwarzem Hintergrund. Nun hei\u00dft es abwarten w\u00e4hren das Tool automatisch damit beginnt, Ihre Daten zu entschl\u00fcsseln. Anschlie\u00dfend sollten Sie mit einem Anti-Malware-Programm Ihren Computer auf Infektionen durch Schadsoftware und Ransomware pr\u00fcfen.<\/li>\n<\/ol>\n

        In diesem Video k\u00f6nnen Sie sich Schritt f\u00fcr Schritt ansehen, wie Sie mit dem Tool von Check Point die Ransomware Cerber entschl\u00fcsseln:<\/p>\n