Nachdem der Erpresser-Trojaner Cerber sich zunächst über täuschend echte Bewerbungs-E-Mails verteilt hat, werden derzeit gefälschte Media-Markt E-Mails verschickt, die den Zweck haben, die Ransomware weiter zu verteilen.

Die E-Mails tarnen sich als Bestellbestätigung des Onlineshops MediaMarkt.de mit dem Betreff: "Ihre Reservierung wird ausgeliefert" gefolgt von einer sechsstelligen Nummer. In der Mail wird der Empfänger aufgefordert, eine angebliche Bestellung entweder zu bestätigen oder zu stornieren. Klickt man nun auf den dazu aufgeführten Link, wird der Download einer Zip-Datei gestartet, die ein Skript enthält, welches den Trojaner aus dem Netz runterlädt und ausführt.

Cerber beginnt augenblicklich mit der Verschlüsselung der persönlichen Daten auf dem System. Sobald er das erledigt hat, wird das Opfer aufgefordert die Software Cerber Decryptor für ca. 500 US-Dollar zu erwerben, welche die Daten wieder entschlüsseln können soll. Besonders perfide ist hierbei: Wenn das Opfer damit länger als 5 Tage wartet, verdoppelt sich der Preis für das Entschlüsselungs-Tool.

Leicht zu durchschauen

Wie so oft, sind die gefälschten E-Mails der Erpresser eigentlich auch für ungeübte Augen leicht zu erkennen. Die Anrede lautet "Sehr geehrter Client", der E-Mail-Text enthält einige Rechtschreibfehler und die Absenderadresse hat meist wenig mit dem  angeblichen Absender MediaMarkt.de zu tun. In einem uns vorliegenden Exemplar stammt die E-Mail sogar von einer russischen E-Mail Adresse. All dies sind eindeutige Hinweise dafür, dass diese Mail unmöglich tatsächlich offiziell von Media Markt kommen kann.