Aktuell ist der Virus Cerber3 im Umlauf und macht Zahn- und Arztpraxen das Leben schwer.
Wie wird der Virus verschickt?
Der Virus wird per Email in Form eines Anhanges verschickt. Die Empfänger bekommen eine Bewerbungsemail mit dem Inhalt:
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre in der Jobbörse ausgeschriebenen Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
Mit freundlichen Grüßen,
***
Im Anhang befindet sich eine Bild- und Zipdatei. Sobald man auf die Zipdatei klickt, ist der Computer mit dem Virus infiziert. Das gilt leider auch für alle weiteren eingebundenen Laufwerke.
Im Anschluss werden alle Dateien im Hintergrund verschlüsselt und heißen dann ***.Cerber3. Das Hintergrundbild wird geändert und in jedem Ordner entstehen Text- und HTML-Dateien mit genauen Anweisungen.
Was ist alles von dem Virus betroffen?
Der Virus verschlüsselt alle persönlichen Dateien, wie Bild-, Video-, Dokumentdateien und viele mehr. Das betraf in unserem Fall auch sämtliche Röntgenbilder, da diese von DBSWin im JPG-Format gespeichert werden. Die Zahnarztsoftware Z1 liess sich auch nicht mehr starten.
Kann man die Daten wiederherstellen oder entschlüsseln?
Alle Wiederherstellungspunkte von Windows sowie die Vorgängerversionen der Dateien werden gelöscht, somit lässt sich das System auch nicht auf den Zustand vor der Virusattacke zurücksetzen. Diverse Recoveryprogramme waren bei uns nicht erfolgreich, und es besteht eher die Gefahr, die verschlüsselten Dateien zu beschädigen.
Entschlüsselungsprogramme, die es z.B. von Kaspersky für andere ähnliche Viren gab, sind bisher nicht vorhanden. Sollte man seine Daten also nicht zeitnah brauchen, kann man auch abwarten, ob jemand einen Decrypter programmiert.
Die einzige Hilfe ist ein vollständiges Backup der wichtigen Dateien, welches man nach der Entfernung des Virus wieder aufspielt.
Wie kann ich den Virus entfernen?
Das Programm Malwarebytes ist in der Lage das Programm zu entfernen. Andere Antivirenprogramme waren bei uns nicht erfolgreich.
Wie bekomme ich meine Daten ohne Backup zurück?
Sollte man kein aktuelles Backup besitzen, bleiben einem nicht viele Möglichkeiten übrig. Entweder man verzichtet auf alle Daten oder man folgt den Anweisungen in der Textdatei. In dieser steht auch ein persönlicher Link und weitere Anweisungen. Offiziell wird von allen Seiten von der Zahlung abgeraten, jedoch verliert man so garantiert alle Daten.
In der Anweisung wird dann erklärt wie man im Internet eine spezielle Währung (BitCoins) kauft und diese auf ein bestimmtes Konto überweist. Leider ist es doch etwas mühselig die 2 BitCoins zu bekommen. 1 BitCoin kostet je nach Kurs 520-570 € (Stand September 2016) und die Gebühren von 0,05 BitCoins für die Überweisungen darf man nicht vergessen.
Hat man die Summe erfolgreich überwiesen, kann man sich auf der hinterlegten Internetseite einen Decrypter herunterladen und hat mehrere Stunden nach dessen Ausführung alle seine Daten zurück.
