Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

News: Datenrettung fast aussichtslos

Aggressive Erpresser-Trojaner schlagen vermehrt zu

Michael Nickles / 19 Antworten / Baumansicht Nickles

Seit gut einem Jahr ziehen Internet-Kriminelle eine alte Masche durch. Rechner werden mit einem Trojaner verseucht, der ihre Bedienung unmöglich macht. Die Erpresser fordern dann die anonyme Zahlung eines Geldbetrags um den Trojaner zu entfernen, den Rechner wieder bedienbar zu machen.

Mit etwas Glück, kann man so einen Trojaner austricksen, den PC wieder nutzbar machen (siehe

Bundespolizei-Trojaner schnell entfernen). Das ist generell sowieso die einzige Chance, da die Erpresser bestenfalls ehe nur das Geld einsacken und das war's dann.

Brutaler als die nur sperrenden Trojaner sind solche, die Daten auf einem Rechner verschlüsseln und unbrauchbar machen. Dann erscheint ein Dialog der mitteilt, dass die Daten ersten dann wieder entschlüsselt werden, wenn man den geforderten Geldbetrag blecht.

Das Bundesamt für Sicherheit in der Informationstechnik warnt jetzt in einer Pressemitteilung vor dieser besonders aggressiven Schad-Software. Inzwischen gibt es diverse Versionen dieser Erpresser-Mechanismen, Daten der attackierten PC werden dabei so verschlüsselt, dass eine vollständige Wiederherstellung oft nicht möglich ist.

Aktuell wird Schad-Software dieser Art bundesweit vor allem über  Spam-Mails verbreitet. Angeschriebene Personen werden beispielsweise im Namen einer Staatsanwaltschaft im Bundesgebiet dazu verleitet, die beigefügten Anhänge zu öffnen. Bereits beim Öffnen eines Anhangs wird der PC verschlüsselt und Geld gefordert.

Das Bundesamt für Sicherheit teilt mit, dass das Bezahlen der Forderung von in der Regel 100 Euro per Paysefecard oder 50 Euro per Ukash völlig sinnlos ist - die Sperrung wird dadurch nicht aufgehoben. Auch die Reparatur mit einer "Rettungs-CD" soll bestenfalls nur teilweise helfen.

Seit Erstauftritt 2011 gibt es ständig neue Versionen der Erpesser-Software. Um Glaubwürdigkeit vorzutäuschen, missbrauchen die Erpresser offizielle Logos bekannter Unternehmen und Behörden. Besonders beliebt sind dabei das Logo des Bundeskriminalamts, der Bundespolizei und verschiedener Software-Unternehmer.

Seit März wird auch die GVU zum Kassieren missbraucht (siehe GVU-Trojaner sperrt Rechner wegen angeblichen Raubkopien). Das Bundesamt für Sicherheit macht wenig Hoffnung, dass sich die böse Situation ändern wird.

Es ist mit einer weiteren Zunahme dieser Erpresser-Methode zu rechnen.

Michael Nickles meint: In der Meldung des Bundesamts gibt es auch Tipps, was man tun kann. Im privaten Umfeld, sollen sich bereits 80 Prozent aller Cyber-Angriffe mit "Standard-Schutzmaßnahmen" abwehren lassen. Also: aktuelle Virenschutzprogramme draufmachen und regelmäßig Updates für Software durchführen. So schreibt das Bundesamt:

"Die Programme der im Markt bekannten Antivirensoftware-Hersteller erkennen in der Regel die bekannten Varianten der Erpressungsschadsoftware und hindern sie daran, den Rechner zu infizieren."

Der Witz dabei ist die Formulierung "bekannte Varianten". Bekannt werden Schädlinge in der Regel erst, wenn es für Betroffene schon längst zu spät ist. Die Idee, seine Software frisch zu halten ist auch gut - wenn man überhaupt eine Chance dazu hat. Adobes Flash Player hat unter XP seit mehreren Wochen ein grobes Update-Problem und es gibt immer noch keine Lösung (siehe Adobe Flash Player Update funktioniert nicht bei XP). Überhaupt muss man leider davon ausgehen, dass Kriminelle Sicherheitslücken in Produkten viel schneller entdecken und ausnutzen, als sie von den Herstellern geflickt werden.

Schließlich empfiehlt die "Sicherheitsbehörde", dass Betroffene im Fall einer Erpressung umgehend Anzeige bei der nächstgelegenen Polizeidienststelle erstatten sollen. Das ist natürlich totale Zeitverschwendung. Selbst dann, wenn in Deutschland jemals ein Hersteller einer Erpresser-Schad-Software geschnappt wird, kriegt der garantiert niemals eine nennenswerte Strafe - und die Geschädigten kriegen garantiert keinen Schadensersatz. Hätte die deutsche Justiz auch nur einen Hauch von Interesse Massenbetrügern das Handwerk zu legen, dann könnte sie das mit geringem Aufwand tun.

bei Antwort benachrichtigen
Prosseco Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen
Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
dirk1962 Prosseco „Hallo Michael,...“
Optionen

Hallo,

ich will ja kein Erbsenzähler sein, aber in dem Beitrag von T-Online mit
dem Datum 01.12.2009 fehlt in jedem Absatz mindestens ein Wort.


Gruß
Dirk

Why can?t the world be one great song. (Yorkshire Girl)
bei Antwort benachrichtigen
IRON67 Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen
Das Bundesamt für Sicherheit in der Informationstechnik warnt jetzt in einer Pressemitteilung vor dieser besonders aggressiven Schad-Software.
Reichlich spät. Das Ding ist seit drei Monaten im Umlauf. Jedenfalls bekam ich damals die ersten Samples in die Finger.
So schreibt das Bundesamt: "Die Programme der im Markt bekannten Antivirensoftware-Hersteller erkennen in der Regel die bekannten Varianten der Erpressungsschadsoftware und hindern sie daran, den Rechner zu infizieren."
Das ist leider falsch und irreführend. Ganz im Gegenteil. Da täglich neue Varianten in Umlauf kommen (übrigens nicht nur per Mail sondern auch per Drive-by-Infektion), versagen alle AVs regelmäßig und oft. Übrigens werden auch bekannte Varianten entweder übersehen oder der Versuch der Bekämpfung schlägt fehl.

Das BSI sollte endlich mal die Zeichen der Zeit erkennen und nicht stupide wie es vor 20 Jahren üblich war, Virenscanner als erstes und wichtigstes Abwehrmittel nennen.
Sämtliche Drive-by-Infektionen verwandter Malware wären bei einem aktuell gehaltenen System vermeidbar gewesen. Und wer dubiose Anhänge öffnet, weil irgendwer was von einer Rechnung oder Mahnung schreibt, der hat es - ich kanns nicht anders sagen - wirklich und wahrhaftig verdient, dass alle seine Daten futsch sind.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Soulmann63 IRON67 „Reichlich spät. Das Ding ist seit drei Monaten im Umlauf....“
Optionen
Und wer dubiose Anhänge öffnet, weil irgendwer was von einer Rechnung oder Mahnung schreibt, der hat es - ich kanns nicht anders sagen - wirklich und wahrhaftig verdient, dass alle seine Daten futsch sind.
So sehe ich das auch. Seit ich im Bekanntenkreis bei solch einer Infektion keine Hilfe mehr leiste,
sind alle auf einmal sehr vorsichtig mit Anhängen. Zudem Hilft die Anhang Info sehr. Du weißt ja, wie ich dies handhabe.

Soulmann
*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Prosseco IRON67 „Reichlich spät. Das Ding ist seit drei Monaten im Umlauf....“
Optionen

Hallo Iron67.

Hier:

http://www.gvu.de/media/pdf/833.pdf

OScheinbar gibt es immer noch viele ahnungslose Nutzer, die auf die bekannte Ukash-Erpresser-Malware hereinfallen und den geforderten Geldbetrag an die Betrüger überweisen, damit diese den Computer wieder entsperren. Der GEMA Trojaner geht dabei ähnlich vor wie sein Vorläufer: Der BKA-Trojaner. Es erscheint eine Warnmeldung auf dem Desktop, dass auf dem Computer angeblich illegal heruntergeladene Musik gefunden worden sei und der PC deswegen gesperrt worden wäre. Lediglich mit einer Zahlung von mindestens 50 € könne der Computer wieder freigegeben werden, was natürlich nicht stimmt. Selbst bei einer erfolgreichen Zahlung bleibt der Computer für den Benutzer durch den GEMA Trojaner gesperrt. Bezahlt werden sollte also auf keinen Fall, da man so lediglich die kriminellen Entwickler dieser Erpresser-Software unterstützt. 

Scheinbar gibt es immer noch viele ahnungslose Nutzer, die auf die bekannte Ukash-Erpresser-Malware hereinfallen und den geforderten Geldbetrag an die Betrüger überweisen, damit diese den Computer wieder entsperren. Der GEMA Trojaner geht dabei ähnlich vor wie sein Vorläufer: Der BKA-Trojaner. Es erscheint eine Warnmeldung auf dem Desktop, dass auf dem Computer angeblich illegal heruntergeladene Musik gefunden worden sei und der PC deswegen gesperrt worden wäre. Lediglich mit einer Zahlung von mindestens 50 € könne der Computer wieder freigegeben werden, was natürlich nicht stimmt. Selbst bei einer erfolgreichen Zahlung bleibt der Computer für den Benutzer durch den GEMA Trojaner gesperrt. Bezahlt werden sollte also auf keinen Fall, da man so lediglich die kriminellen Entwickler dieser Erpresser-Software unterstützt. 

Sollte das System von dem Trojaner befallen worden sein, wird der Windows-Desktop deaktiviert, der Taskmanager gesperrt und der Zugriff auf die registriert verweigert. Wird Windows normal gestartet, besteht also nicht mehr die Möglichkeit, den Trojaner von den System zu entfernen. Es ist jedoch trotzdem möglich, ohne den Einsatz von Zusatzsoftware, den Trojaner wieder von den Computer zu entfernen.

GEMA Virus von Computer entfernen

Wer seinen Computer vom GEMA Virus befreien möchte, braucht dafür kein Geld, sondern lediglich einen von Windows angelegten Wiederherstellungspunkt und ein wenig Glück. Dieser Lösungsweg kann nur genutzt werden, wenn mindestens ein Wiederherstellungspunkt in der Vergangenheit angelegt worden ist und dieser nicht zu alt ist, da so unter Umständen neuere Daten verloren gehen können. Sollte auf dem Desktop die Meldung des GEMA Trojaners angezeigt werden, muss der PC neu gestartet werden. Während des Startvorgangs muss nun die Taste [F8] mehrmals gedrückt werden. Dadurch erhält man Zugriff auf unterschiedliche Startoptionen für Windows.

Hier muss nun der Eintrag "Abgesicherter Modus mit Eingabeaufforderung" ausgewählt werden, da der Zugriff auf den Desktop durch den Trojaner ansonsten blockiert wird. Nun muss so lange gewartet werden, bis ein blinkender Balken zu sehen ist. In die Eingabeaufforderung muss nun der Befehl "rstrui.exe" eingegeben werden, damit der Computer die Windows-Systemwiederherstellung startet und Windows zurückgesetzt werden kann. Durch die Desktop-Sperrung des Trojaners ist der Zugriff auf Systemwiederherstellungspunkte nur noch über diese Variante möglich.

Kaspersky WindowsUnlocker

Sollte die oben genannte Variante mit der Windows-Systemwiederherstellung nicht funktionieren, gibt es auch noch eine andere Vorgehensweise, um den Trojaner wieder zu entfernen. Mit Hilfe des kostenlosen WindowsUnlocker von Kaspersky können viele Varianten von Erpresser-Malware erfolgreich vom Computer entfernt werden. Diese Variante ist besonders dann zu empfehlen, wenn der letzte Wiederherstellungspunkt zu alt ist oder die Wiederherstellung komplett deaktiviert worden ist.


Windows sollte neu installiert werden

Auch wenn der Rechner von dem GEMA Virus befreit worden ist, empfiehlt es sich das Betriebssystem neu zu installieren. Es kann nämlich nicht ausgeschlossen werden, dass Komponenten des Trojaners sich unsichtbar in das System eingenistet haben und dort auf weitere Befehle warten. Dadurch kann der Trojaner jederzeit von seinen kriminellen Entwicklern wiederhergestellt oder für andere Zwecke genutzt werden, von denen der Nutzer im ersten Moment nichts bemerkt. 

Bei jeder Infektion mit einem Virus sollte der Computer neu installiert werden, da sich Teile der Software noch auf dem Computer verstecken können und anderen Betrügern unter Umständen Zugriff auf den Rechner ermöglichen. Ein einmal infiziertes System kann nicht mehr als sicher eingestuft werden und selbst wenn die installierte Antiviren-Software keine Bedrohungen mehr findet, bleibt ein gewisses Restrisiko bestehen, da die Antiviren-Software von dem Virus manipuliert worden sein kann.

Ob esw wahrlich ist. Naja eine natuerliche andere Sache.

Gruesse
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
IRON67 Prosseco „Hallo Iron67. Hier:http://www.gvu.de/media/pdf/833.pdf Ob...“
Optionen

Wozu dieser Artikel, Prosseco? Das ist mir alles seit Monaten bekannt. Und die Entfernungstipps sind fahrlässiger Unfug.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Teatimer Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen

Hi,

in meinem fall ist sogar der mbr unüberschreibbar. wenn ich ne windows scheibe reinschmeisse dann kann die Installation nicht ausführen. Bei ner Live Ubuntu scheibe ist dann irgendwann beim booten der Bildschirm schwarz. Wenn die Platte ab ist geht es dann auch wieder. Email und Facebook Acounts sind auch irgendwie platt. Das nenne ich mal Agro.

Lg

bei Antwort benachrichtigen
mthr1 Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen

Hierzu die Frage :

Ich mache regelmässig Vollbackup von C:( Inhalt Windows, Programme, Dokumente und Einstellungen )
und zwar mit Acronis 11.0.

Bin ich im Schadensfall mit entspr. Restore mittels Acronis-CD auf der sicheren Seite ?
- Backup-Datei liegt auf externer 'FP -

mf'G mthr1

bei Antwort benachrichtigen
mthr1 Nachtrag zu: „Hierzu die Frage : Ich mache regelmässig Vollbackup von C:(...“
Optionen

Hat jemand hierzu eine Antwort ?

mfG mthr1

bei Antwort benachrichtigen
IRON67 mthr1 „Hat jemand hierzu eine Antwort ? mfG mthr1“
Optionen

Ist die externe FP ständig verbunden? Dann kann sie dir durch den Verschlüsselungstrojaner geschrottet werden. Da macht sich eine DVD besser.

Hinzu kommt die Frage, wie oft, also zeitnah, du ein Backup machst und wieviele neue Daten also im Ernstfall verloren gehen bzw. ob die Möglichkeit besteht, dass die Malware es in ein Backup schafft.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
BastetFurry Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen

Gegen diese Dinge helfen nur, unter anderem, die "Hardware" Gehirn. ;)

Ansonsten:
- Firefox
- - NoScript!
- - AdBlock Plus

- Backups Backups Backups! Wer Backups hat kann über solche Dinger nur laut lachen, einfach ein noch sauberes Image des OS zurückspielen und fertig.

- Oder gleich auf Windows verzichten.

bei Antwort benachrichtigen
zombie2 Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen

Ich hatte gestern einen Angriff vom LIVE SECURITY PLATINUM Virus. Brüllend
Es müssen einige Strato Server bzw. Internetseiten infiziert sein.
Er gaukelt dir einen Virusbefall vor. Es installiert sich ohne Zustimmung eine Software die vorgibt ein Antivirenprogramm zu sein.
Vorgang sofort abbrechen ! Netzwerkkabel ziehen !
System von einem anderen Medium z.B. USB-Stick, Mint DVD, etc.starten.
(Ich habe zum Glück gleich zwei Betriebssysteme auf dem Rechner.)
Dateien Löschen.
c:\programme\7531E8DO..........
C:\User\Anwender\AppData\Local\Temp\LiveSecurityPlatinum
C:\ProgrammData\7531E8DO..........
System neu starten.
Verknüpfung Desktop löschen. Inkl. Papiekorb leeren.
In Systemsteuerung unter Software bzw. Programme und Funktion liveSecurityPlatinum deinstallieren.
Zur Sicherheit Regedit ausführen und unter HKCU\Software\Microsoft\Windows\CurrentVersion\Unistall\ nach Einträgen mit LiveSecurityPlatinum ausschau halten. Einträge löschen.
Neustart, zur Sicherheit Virenscan Komplettprüfung machen. Ggf. sind noch ein paar Reste im Installer versteckt die mit  ....800000000.@ oder ......800000cb.@ enden. In Quarantäne schicken und löschen.
Nette Abendbeschäftigung, oder ? Ich hatte wirklich besseres zu tun und wollte eigentlich zeitig ins Bett.
Bislang hatte ich nie Probleme, aber einen 100%igen Schutz hat wohl keiner.
Es ist wie über all ein Katz und Maus Spiel. Nur eben nicht Lustig.
Hauptsache die Nickles Seite funzt wieder, da ist die Welt doch gleich wieder schön.Lachend

bei Antwort benachrichtigen
IRON67 zombie2 „Ich hatte gestern einen Angriff vom LIVE SECURITY PLATINUM...“
Optionen
c:\programme\7531E8DO.......... C:\User\Anwender\AppData\Local\Temp\LiveSecurityPlatinum C:\ProgrammData\7531E8DO..........
Dir ist aber schon klar, dass diese Ordner und Dateinamen zufallsgeneriert sind und daher stets variieren, gelle?

Ggf. sind noch ein paar Reste im Installer versteckt die mit  ....800000000.@ oder ......800000cb.@ enden.
Das sind keine RESTE, sondern das ist WEITERE Malware, und zwar das Rootkit Zero Access. Gratulation.
Ein solcher Rechner muss ZWINGEND neu aufgesetzt werden, inkl. Überschreiben des Master Boot Record.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
torsten40 Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen

Ist mir schleierhaft wie man sich das Teil einfängt.

Freigeist
bei Antwort benachrichtigen
Alekom torsten40 „Ist mir schleierhaft wie man sich das Teil einfängt.“
Optionen

und wirkliche wichtige sachen kommen sowieso nur per post.

darum mache ich keine mail auf mit info, wichtig, dringend usw...

aber ich frag mich grad, wenn man trotz virenscanner sich was einfängt, wozu überhaupt einen virenscanner?

sind vielleicht mehr angriffe dann zu befürchten? obiger satz widerlegt es...denn wenn sich auch nur EIN virus durchgeschlichen hat, ist der virenscanner ad absurdum geführt.

Alles hat seinen Sinn, auch das scheinbar Sinnlose, denn es gibt nichts ohne Sinn.
bei Antwort benachrichtigen
IRON67 torsten40 „Ist mir schleierhaft wie man sich das Teil einfängt.“
Optionen
Ist mir schleierhaft wie man sich das Teil einfängt.
Durch eine Drive-by-Infektion auf unverdächtigen Seiten wegen veralteter Browser-Plugins (Java, Flash, Adobe Reader...). Über 60% aller Malware kommt so aufs veraltete und damit Exploit-anfällige System.

Die neuesten Varianten kommen, wie Mike erwähnte, vor allem per Mail mit Anhang und weil die Mail nach hoher Rechnung oder Mahnung aussieht, schalten viele ihr Gehirn aus.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Conqueror Michael Nickles „Aggressive Erpresser-Trojaner schlagen vermehrt zu“
Optionen
"Die Programme der im Markt bekannten Antivirensoftware-Hersteller erkennen in der Regel die bekannten Varianten der Erpressungsschadsoftware und hindern sie daran, den Rechner zu infizieren."
Dies ist kompletter Stuss. Ich weiß von was ich rede. Selbst aktuell gehaltene PCs werden infiziert und in der scharfen Version sind alle Dateien ebenfalls verschlüsselt.
Dadurch dass die Ratten ein Baukastensystem verwenden, hecheln die Antivirenhersteller nur hinterher mit Ihren Signaturen.
Wer selbst nicht genau aufpasst speziell bei vermeintlich nicht gezahlten Rechnungen, der hat schon verloren.
Überhaupt muss man leider davon ausgehen, dass Kriminelle Sicherheitslücken in Produkten viel schneller entdecken und ausnutzen
Und würde mich mal interessieren woher die Ihre Quellen haben.....
bei Antwort benachrichtigen
gelöscht_305164 Conqueror „Dies ist kompletter Stuss. Ich weiß von was ich rede....“
Optionen
Selbst aktuell gehaltene PCs werden infiziert...
Interessant.
Was kann ich tun?
bei Antwort benachrichtigen
IRON67 gelöscht_305164 „Interessant. Was kann ich tun?“
Optionen
Was kann ich tun?
Den Stecker ziehn ;) Spaß beiseite...

Dass aktuell gehaltene PCs betroffen sind, halte ich bis zum Beweis des Gegenteils für ein Gerücht, ABER:

Eine Drive-by-Infektion erfordert mehr als nur eine angreifbare Plugin-Version. Sie erfordert AUCH aktiviertes JavaScript. Und das muss ja nun nicht sein und lässt sich sehr schön kontrollieren.

BTW: Aktuell ausgenutzt als letzte Java-Version wird eine Lücke in 7 Update 4 und 6 Update 32.

http://blogs.technet.com/b/mmpc/archive/2012/08/01/the-rise-of-a-new-java-vulnerability-cve-2012-1723.aspx

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen