Sie stiehlt Dateien von drei verschiedenen Bitcoin-Anwendungen. Zudem hat Cerber es nun auf die in den Browsern Internet Explorer, Chrome und Firefox gespeicherten Passwörter der Bitcoin-Geldbörsen abgesehen. Erst danach beginnt die Ransomware mit der Verschlüsselung von Dateien.
