Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet alleen bestanden voor losgeld versleutelt, maar ook tegen slachtoffers praat. Het gaat om de Cerber-ransomware, die via een 'Ransomware as a Service' wordt aangeboden. Het betreft een partnerprogramma waarbij criminelen de Cerber-ransomware kunnen gebruiken, waarbij er een deel van de inkomsten naar de ontwikkelaars gaat.

Eenmaal actief controleert de ransomware eerst uit welk land het slachtoffer komt. Als het om landen uit voormalige Sovjestaten gaat wordt de infectie gestopt en vindt er geen versleuteling plaats. Is dit niet het geval dan zal Cerber zich zo instellen dat de ransomware bij het opstarten van Windows wordt geladen. Vervolgens toont de ransomware een nep-systeemwaarschuwing en probeert het systeem te herstarten. Als de herstart plaatsvindt wordt Windows in Veilige Modus geladen. Zodra de gebruiker inlogt wordt het systeem weer herstart en pas dan begint Cerber met het versleutelen van de bestanden, zo meldt het forum Bleeping Computer.

Het gaat zowel om de lokale computer als netwerkschijven. Is de versleuteling voltooid, dan krijgt de gebruiker een waarschuwing te zien met instructies. Veel ransomware-exemplaren volgen min of meer dit proces, maar Cerber verschilt op één punt. Als laatste geeft het slachtoffers namelijk een audioboodschap. Deze boodschap (mp3), die meerdere keren wordt herhaald, is ingesproken door een computer en laat weten dat documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld. Voor zover bekend is het niet mogelijk om de versleuteling ongedaan te maken. Voor het ontsleutelen vraagt Cerber een bedrag van 1,24 bitcoin, wat met 476 euro overeenkomt.