Abbildung: Wikimedia Commons, Yellow Lion
Die Ransomware Cerber ist momentan eine der größten Bedrohungen im Internet. Allein im Juli 2016 sind weltweit 100.000 PC-Nutzer der Erpressersoftware zum Opfer gefallen, so das Software-Unternehmen Check Point in einer aktuellen Analyse. Doch es gibt Hoffnung für alle Cerber-Geschädigten: Den Sicherheitsexperten von Check Point ist es gelungen, die Ransomware Cerber zu knacken und den Höllenhund an die Kette zu legen. Wir zeigen Ihnen, wie Sie mit einem einfachen Tool Ihre Daten wieder sicher entschlüsseln!
**UPDATE 29. AUGUST: ENTSCHLÜSSELUNGS-TOOL VORLÄUFIG WIRKUNGSLOS**
Die Freude über die gelungene Entschlüsselung der Ransomware Cerber währt leider nur kurz: Die Hacker haben inzwischen ihre Schadsoftware aktualisiert, weshalb das Entschlüsselungs-Tool von Check Point aktuell nicht mehr funktioniert. Auch die Seite von Check Point zur Ransomware Cerber ist momentan offline. Bei Check Point arbeiten die Sicherheitsexperten jedoch bereits an neuen Wegen, um die Verschlüsselung von Cerber, Cerber 2 und Cerber 3 zu knacken. Falls es eine neue Möglichkeit gibt, werden wir euch natürlich sofort informieren!
**UPDATE 10. MÄRZ: NEUE CERBER-VERSION VERÄNDERT DATEI-NAMEN NICHT**
Im Gegensatz zu allen Vorgänger-Versionen von Cerber verändert die neue Variante der Ransomware die Namen der verschlüsselten Dateien nicht. Lediglich ein Kürzel wird an den ursprünglichen Dateinamen angehängt. Das erleichtert es den Betroffenen, herauszufinden, welche konkreten Dateien auf ihrem Rechner verschlüsselt worden sind. Dennoch gibt es momentan leider noch kein Tool, um die neuesten Cerber-Versionen zu entschlüsseln.
Was ist die Ransomware Cerber?
Die Ransomware Cerber trägt nicht von ungefähr den Namen des griechischen Höllenhundes Cerberus: Die Erpressersoftware ist höllisch gefährlich. Sie verbreitet sich seit Februar 2016 mit rasender Geschwindigkeit in den Versionen Cerber, Cerber 2 und Cerber 3. Das große Cerber-Netzwerk infiziert immer mehr Rechner, im September 2016 wurden pro Tag sage und schreibe jeden Tag 80.000 neue Computer mit einer Version von Cerber infiziert.
Weil Cerber extrem gut programmiert ist, kann die Schadsoftware viele Sicherheitsschranken locker überlisten. Dabei gelangt die Erpressersoftware auf zwei Wegen auf die Computer der Opfer:
- Das Opfer öffnet eine scheinbar harmlose Datei (meist im Anhang einer Email) und holt sich so die Ransomware Cerber auf den PC. Besonders perfide: Im deutschsprachigen Raum steckt die Erpressersoftware Cerber häufig in einer gefälschten Bewerbungs-Email, die frei von Rechtschreibfehlern ist und sogar ein Foto des vermeintlichen Bewerbers enthält – und deshalb besonders vertrauenswürdig wirkt.
- Das Opfer besucht eine scheinbar seriöse Internetseite, die jedoch unbemerkt die Ransomware Cerber auf dem Computer installiert.
Ist das Erpresserprogramm Cerber einmal auf dem PC, dann beginnt es sofort mit der Verschlüsselung aller Dateien. Dem PC-Nutzer wird diese Nachricht angezeigt:
Your documents, photos, databases and other important files have been encryptet!
If you understand all importance of the situation then we propose to you to go directly to your personal page where you will receive the complete instructions and guarantees to restore your files.
There is a list of temporary adresses to go on your personal page below:
Doch wie bei allen anderen Ransomware-Versionen gilt auch bei Cerber: Zahlen Sie nicht den geforderten Betrag! Weil Sie es im Fall der Ransomware Cerber mit eiskalten Internet-Betrügern zu tun haben, können Sie keinesfalls sicher sein, dass eine Zahlung auch wirklich zur Entschlüsselung Ihrer Dateien führt!
Ransomware Cerber: Dieses Tool enschlüsselt Ihre Dateien
Die Entschlüsselung von Cerber 3 und 2 ist aktuell nicht möglich. Dafür hat die IT-Sicherheitsfirma Trend Micro ein Tool veröffentlicht, mit dem Dateien entschlüsselt werden können, die von Cerber 1 verschlüsselt wurden. Auf der Seite von Trend Micro finden Sie einen englischsprachigen Online Kurs, der erklärt, wie das Programm funktioniert. Doch es gibt Einschränkungen:
- Die Entschlüsselung muss auf dem von Cerber 1 infizierten Rechner ausgeführt werden, denn das Tool braucht direkten Zugang zu den verschlüsselten Daten.
- Weil die Ransomware Cerber beim Verschlüsseln von Dateien sehr elaborierte Verschlüsselungstechnik anwendet, kann das Entschlüsseln der Dateien locker 4 Stunden oder länger dauern.
- Je mehr Prozessorkerne Ihr PC hat, desto geringer ist die Chance, dass das Tool von Trend Micro tatsächlich alle Dateien vollständig entschlüsseln kann.
- Das Entschlüsselungsprogramm funktioniert nur für Dateien, die von der ersten Version von Cerber verschlüsselt wurden, gegen Cerber 2 und 3 ist es machtlos.
Ransomware Cerber: In diesen 3 Schritten entschlüsseln Sie Ihre Dateien!
Die gute Nachricht für alle Opfer der Erpressersoftware: Den Sicherheitsexperten von Check Point ist es gelungen, die Ransomware Cerber zu knacken. In nur 3 einfachen Schritten können Sie mit dem Tool alle Ihre Dateien entschlüsseln. Öffnen Sie dazu die Seite von Check Point und folgen Sie diesen Anweisungen:
- Erstellen Sie Ihren persönlichen Entschlüsselungs-Code: Klicken Sie dazu auf “Choose” und wählen Sie eine Datei aus, die von Cerber verschlüsselt wurde, die also auf “.cerber” oder “.cerber2” endet. Laden Sie diese Datei mit einem Klick auf “Submit” hoch. Das Tool generiert nun einen “decryption key”, also einen Schlüssel, der Ihre verschlüsselten Dateien wieder freischaltet.
- Laden Sie Schlüssel und Entschlüsselungs-Tool herunter: Laden Sie die Datei mit dem Cerber-Schlüssel (Dateiname “pk”) und das Entschlüsselungs-Tool (Dateiname “cerber12dec.exe”) herunter und speichern Sie beide Dateien in einem gemeinsamen Ordner.
- Starten Sie die Entschlüsselung Ihrer Dateien: Führen Sie nun das Entschlüsselungs-Tool als Administrator aus indem Sie mit rechts auf die Datei “cerber12dec.exe” klicken und “Als Administrator ausführen” auswählen. Eventuelle Sicherheitswarnungen von Windows können Sie wegklicken, denn das Tool stammt aus einer zuverlässigen Quelle. Es öffnet sich ein neues Fenster mit weißer Schrift auf schwarzem Hintergrund. Nun heißt es abwarten währen das Tool automatisch damit beginnt, Ihre Daten zu entschlüsseln. Anschließend sollten Sie mit einem Anti-Malware-Programm Ihren Computer auf Infektionen durch Schadsoftware und Ransomware prüfen.
In diesem Video können Sie sich Schritt für Schritt ansehen, wie Sie mit dem Tool von Check Point die Ransomware Cerber entschlüsseln:
Schutz vor Ransomware: 4 Tipps von unseren IT-Experten
Verschlüsselungstrojaner wie TeslaCrypt und Ransomware wie Cerber sind aktuell eine der größten Bedrohungen im Netz. Mit immer ausgefeilteren Methoden versuchen Hacker mit diesen Programmen an Ihr Geld zu kommen. Doch mit vier einfachen Tipps können Sie sich vor Internet-Betrügern schützen. Das raten die IT-Experten der Computerhilfe Expertiger:
- Öffnen Sie keine Dateien aus unsicheren Quellen, seien Sie vorsichtig bei Email-Anhängen und bei vermeintlichen kostenlosen Programmen aus dem Netz – hinter solchen Dateien kann sich häufig Ransomware oder andere Schadsoftware verstecken!
- Installieren Sie einen aktuellen Virenscanner auf Ihrem Computer. Ein effektives Antivirus-Programm ist ein sehr effektiver Schutz vor Trojanern, Viren und Ransomware. Im großen Expertiger-Test „Bester Virenschutz 2016“ hat zum Beispiel das Programm „Bitdefender Internet Security“ sehr gut abgeschnitten.
- Installieren Sie regelmäßig Sicherheitsupdates für Ihr Betriebssystem und Ihre Programme. Diese Updates stopfen kritische Sicherheitslücken und tragen zur Sicherheit Ihres Computers bei. Außerdem können Sie sich so stets die neuesten Windows-Funktionen.
- Erstellen Sie in regelmäßigen Abständen eine Sicherungskopie Ihrer Dateien. So können Sie auch im Fall einer Infizierung Ihres Computers durch Ransomware noch auf Ihre Daten zugreifen. Sind die Originaldateien vorhanden, können verschlüsselte Daten zudem einfacher entschlüsselt werden. Auch eine komplette Neuinstallation Ihres Computers bedeutet dann keinen Komplettverlust Ihrer persönlichen Dokumente. In unserem Leitfaden erfahren Sie, wie Sie mit dem kostenlosen Programm Paragon ganz unkompliziert Backups erstellen. Weitere nützliche Tipps zum Schutz vor Ransomware erhalten Sie hier.
Für den Fall, dass sich Ihr PC mit einem Virus oder anderer Schadsoftware infiziert hat, sollten Sie unbedingt schnell handeln. Wenn Sie sich unsicher sind, wie Sie Ihre Daten und Ihren Computer retten sollen, können Sie gerne bei der PC-Hotline von Expertiger anrufen. Denn unsere Experten sind geübt im täglichen Kampf gegen Viren, Trojanern und Erpressersoftware und können Ihnen deshalb schnell und zuverlässig helfen. Rufen Sie an und lassen Sie sich unverbindlich beraten, wie der PC-Service Expertiger Ihnen helfen kann.
Guten Tag, toller Bericht mit super Anleitung. Leider ist der Downloadlink zu dem
https://www.cerberdecrypt.com/RansomwareDecryptionTool/ ungültig.
Viele Grüße,
Alexander Bödger
Hallo Alexander Bödger!
Vielen Dank für den Hinweis. Leider funktioniert das Tool von Check Point aktuell nicht mehr, weil die Entwickler von Cerber ihre Schadsoftware aktualisiert haben. Wir bleiben aber an der Sache dran und informieren, sobald eine neue Möglichkeit zur Entschlüsselung besteht.
Viele Grüße,
Max Emanuel vom Expertiger-Team
Hallo,
gibt es eine Aussicht ab wann damit zu rechnen sein kann das cerber-verschlüselte Dateien wieder entschlüsselt werden können?
Freundliche Grüße,
Andreas
Hallo Andreas,
leider wurde bisher kein neues Tool veröffentlicht, um die Dateien zu entschlüsseln. Inzwischen gibt es drei verschiedene Versionen von Cerber (Cerber, Cerber2 und Cerber3) – das macht die Sache natürlich nicht einfacher. Wir halten aber weiterhin unsere Augen offen und informieren, sobald es eine neue Möglichkeit zur Entschlüsselung gibt.
Viele Grüße,
Max Emanuel vom Expertiger-Team
Gibt es schon etwas neues zum Entschlüsselungsprogramm? :(
Hallo Jetella,
leider gibt es bisher keine guten Nachrichten: Die von Cerber verschlüsselten Dateien lassen sich aktuell mit keinem Tool entschlüsseln. Cerber wurde sogar weiterentwickelt und taucht inzwischen in verschiedenen Versionen auf. Das macht eine Entschlüsselung noch schwieriger. Trotzdem arbeiten Sicherheitsfirmen daran, ein neues Entschlüsselungs-Programm zu entwickeln, aber wie schnell das geht ist ungewiss. Wir behalten aber alle Entwicklungen im Auge und informieren, sobald eine Möglichkeit besteht, wie du deine Dateien wieder entschlüsseln kannst.
Viele Grüße,
Max Emanuel vom Expertiger-Team
Hallo gibt es schon was neues? Kann man jetzt entschlüsseln?
Hallo Kliem,
leider gibt es noch immer keine guten Nachrichten. Cerber 2 und Cerber 3 lassen sich nicht entschlüsseln. Für Cerber 1 gibt es eine Möglichkeit, die im Artikel erklärt wird, doch auch das Entschlüsselungs-Tool von Trend Micro hat einige Einschränkungen. Wir bleiben an der Sache dran und hoffen, dass wir bald erfreulichere Informationen vermelden können.
Viele Grüße,
Max Emanuel vom Expertiger-Team
Hallo Herr Frick,
wie kann man ermitteln mit welcher Cerber Version die Daten verschlüsselt wurden? Bei einem Freund wurden Daten von Cerber verschlüsselt. Die Dateinamen enden jeweils mit dem Extension “*.a128”, also z.B. “0Yniz_Lqai8.a128”
Mit freundlichen Grüßen,
Herbert Seidel
Hallo Herr Seidel,
vermutlich wurde der Rechner Ihres Freundes mit einer neuen Version von Cerber 3 infiziert. Diese Version erstellt zufallsgenerierte 4-Stellige Dateiendungen, was eine Entschlüsselung natürlich nicht einfacher macht. Im Moment gibt es auch noch keine Möglichkeit die verschlüsselten Dateien wiederherzustellen. Wir bleiben natürlich für Sie dran und posten falls es diesbezüglich Neuigkeiten gibt.
Hier nochmal ausführlich zum nachlesen: http://www.bleepingcomputer.com/news/security/cerber-ransomware-switches-to-a-random-extension-and-ends-database-processes/
Viele Grüße
Martin Schneider
Hallo
ich habe noch die Version oder die Datei Endung mit .cerber gibt da noch eine Möglichkeit
das zu entschlüsseln
Hallo Turnado,
im Moment leider immer noch nicht. Wir bleiben aber dran und sobald das möglich sein sollte erfahrt Ihr es natürlich hier.
Grüße
Martin Schneider
Hallo zusammen,
meine gesamten Daten sind dem Cerber zum Opfer gefallen. Alle Dateien haben jetzt die Endung 99d2. Welche Cerber-Version ist das und wann ist mit einer Entschlüsselung zu rechnen? Sollte man zur Polizei gehen und Anzeige erstatten? Da kommt doch sicher nichts bei raus, oder?
Grüße, Tom
Hallo Tom,
auch hier ist es vermutlich wieder eine neue Version von Cerber 3 welche eine zufäälige 4-Stellige Dateiendung gerneriert.
Wann mit einer Entschlüsselung zu rechnen ist, ist schwer zu sagen. Wir bleiben dran und informieren euch natürlich sobald es Neuigkeiten gibt.
Man kann natürlich auch zur Polizei gehen, allerdings können auch die leider nichts dagegen tun.
Viele Grüße
Martin
Hallo Zusammen,
wir haben heute bei einer Dame aus dem Innendienst Cerber 4.0.3 entdeckt.
Rechner aus dem Netz genommen und nun versuchen wir das wieder hinzubekommen.
Leider finde ich den Link nicht aber es gab mal einen Link wie man Cerber austricksen kann und das Description tool erhält, leider habe ich die Seite noch nicht gefunden.
Die Version der Ransomeware steht eigentlich bei der Nachricht bei!
[…] herausfinden, von welcher Version Sie betroffen sind und Hilfe für andere Cerber Versionen finden finden Sie hier weiterführende Informationen. Nahezu wöchentlich erscheinen neue Versionen des Trojaners, der sämtliche Dateien auf den […]
Hallo,
gibt es was neues wegen Cerber 4.0?
Meine Dateien sind alle damit verschlüsselt, wird aktuell noch an der Entschlüsselung gearbeitet, oder gibt es da schon ein DecryptorTool?
Danke im voraus.
Michael
[…] Dateien wiederherzustellen. Anleitung zum Loswerden der Windows Aktivierung Ransomware oder Informationen zur Entschlüsselung von Cerber finden Sie bei uns im Blog. Weitere Anleitungen und Hilfestellung finden Sie z.B. hier. Von einer […]
Kann man zwischenzeitlich Cerber2 entschlüsseln
Hallo Frank, leider gibt es immer noch nichts Neues. Wir halten euch auf dem Laufenden, sobald sich was tut.
Bin seit gestern ebenfalls von Cerber betroffen. Um welche Version es sich handelt habe ich noch nicht herausbekommen. Habe schon einschlägige Vorschläge probiert. Hat jemand einen Tip?
Die Forderung beträgt 7 BistCoins, das entspricht ungefähr 6500,- Euro. Ein absolut utopischer Preis für eine Privatperson. Ein halber BitCoin wäre es mir wert…..
Hallo Frank, konntest du zumindest die Schadsoftware schon entfernen? Das wäre ein wichtiger erster Schritt, um zu verhindern, dass weitere Dateien oder Geräte verschlüsselt werden. Bzgl. Zahlung wird empfohlen der Forderung nicht nachzukommen, da a) nicht sicher ist, dass die Entschlüsselung wirklich erfolgt und b) die Kriminellen so unterstützt werden und Nachahmer auf die Masche aufspringen.
Hallo Michael, natürlich zahle nicht, obwohl ich mittlerweile 20% Rabatt bekommen habe. 5200,- Euro sind meine Daten aber nicht wert. Obwohl, 500,- Euro würde ich jedoch zahlen, doch das wurde bisher noch abgelehnt. Es ist schon der nackte Hohn, wenn man deren Antwort liest: “Sorry, we can not give you more Discount”.
Mittlerweile habe ich recherchiert und gelesen, dass es Firmen gibt, die eine Entschlüsselung anbieten, aber mehr Geld dafür verlangen als die Erpresser. Gefordert waren 1000,- US-Dollar von den Erpressern und die Firma verlangte 3000,- US-Dollar. Dies wurde von jemanden anderen kommentiert. Er behauptete, dass diese “legale Unternehmen” einfach nur das Lösegeld an die Erpresser bezahlen und dann den “Kunden” abkassieren.
Ein scheinbar seriöses Kölner Unternehmen für Datenrettung hat mir eine Entschlüsselung für 2000 – 3000,- Euro angeboten ohne zu wissen, wieviel die Erpresser verlangen. Ich frage mich, wie die am Telefon einen derartigen Betrag abschätzen können, wenn bisher noch niemand auf diesem Planeten Cerber 5 entschlüsselt hat…..
Gruß Frank
Hallo Frank, wie diese Zahlen zustande kommen und wie die Erfolgschancen sind, kann ich dir leider auch nicht sagen, aber wenn deine Schmerzgrenze ohnehin bei 500€ liegt, ist das am Ende ja auch irrelevant. Es scheint, dir bleibt unter diesen Umständen nichts anderes übrig, als den Rechner komplett platt zu machen und in Zukunft regelmäßige Backups zu erstellen.
Viele Grüße,
Michael
[…] das ist aktuell leider noch nicht möglich. In der Vergangenheit wurden für verschiedene Ransomware-Varianten sogenannte Decrypter entwickelt, die den „Schlüssel“ auslesen und so die Dateien retten konnten. Sehen Sie […]
Hallo zusammen,
gibt es mittlerweile Neuigkeiten zum Cerber 3? Mein Rechner wartet immer noch auf den Entschlüsselungscode. Dummerweise hatte ich kein Back-Up gemacht (passiert mir nie wieder…) und somit ist alles dahin.
Gruß Tom
Hallo Tom, ein direkter Entschlüsselungscode ist im Netz leider noch nicht zu finden, du kannst es es mal mit dem Open-Source-Tool Shadow Explorer versuchen. Unter Umständen lassen sich aus nicht betroffenen Schattenkopien einige Dateien wiederherstellen.
LG
Hallo,
mein Rechner ist seit 2017 vom Cerbervirus betroffen.
Sämtliche Bilder und Videos von mir wurden verschlüsselt. Kann mir jemand weiterhelfen?!
Hallo, gibt es schon was neues?