Viren, Spyware, Datenschutz 11.244 Themen, 94.697 Beiträge

Verfolgung starten Optionen
News: Datenrettung fast aussichtslos

Aggressive Erpresser-Trojaner schlagen vermehrt zu

Michael Nickles / 19 Antworten / Flachansicht Nickles

Seit gut einem Jahr ziehen Internet-Kriminelle eine alte Masche durch. Rechner werden mit einem Trojaner verseucht, der ihre Bedienung unmöglich macht. Die Erpresser fordern dann die anonyme Zahlung eines Geldbetrags um den Trojaner zu entfernen, den Rechner wieder bedienbar zu machen.

Mit etwas Glück, kann man so einen Trojaner austricksen, den PC wieder nutzbar machen (siehe

Bundespolizei-Trojaner schnell entfernen). Das ist generell sowieso die einzige Chance, da die Erpresser bestenfalls ehe nur das Geld einsacken und das war's dann.

Brutaler als die nur sperrenden Trojaner sind solche, die Daten auf einem Rechner verschlüsseln und unbrauchbar machen. Dann erscheint ein Dialog der mitteilt, dass die Daten ersten dann wieder entschlüsselt werden, wenn man den geforderten Geldbetrag blecht.

Das Bundesamt für Sicherheit in der Informationstechnik warnt jetzt in einer Pressemitteilung vor dieser besonders aggressiven Schad-Software. Inzwischen gibt es diverse Versionen dieser Erpresser-Mechanismen, Daten der attackierten PC werden dabei so verschlüsselt, dass eine vollständige Wiederherstellung oft nicht möglich ist.

Aktuell wird Schad-Software dieser Art bundesweit vor allem über  Spam-Mails verbreitet. Angeschriebene Personen werden beispielsweise im Namen einer Staatsanwaltschaft im Bundesgebiet dazu verleitet, die beigefügten Anhänge zu öffnen. Bereits beim Öffnen eines Anhangs wird der PC verschlüsselt und Geld gefordert.

Das Bundesamt für Sicherheit teilt mit, dass das Bezahlen der Forderung von in der Regel 100 Euro per Paysefecard oder 50 Euro per Ukash völlig sinnlos ist - die Sperrung wird dadurch nicht aufgehoben. Auch die Reparatur mit einer "Rettungs-CD" soll bestenfalls nur teilweise helfen.

Seit Erstauftritt 2011 gibt es ständig neue Versionen der Erpesser-Software. Um Glaubwürdigkeit vorzutäuschen, missbrauchen die Erpresser offizielle Logos bekannter Unternehmen und Behörden. Besonders beliebt sind dabei das Logo des Bundeskriminalamts, der Bundespolizei und verschiedener Software-Unternehmer.

Seit März wird auch die GVU zum Kassieren missbraucht (siehe GVU-Trojaner sperrt Rechner wegen angeblichen Raubkopien). Das Bundesamt für Sicherheit macht wenig Hoffnung, dass sich die böse Situation ändern wird.

Es ist mit einer weiteren Zunahme dieser Erpresser-Methode zu rechnen.

Michael Nickles meint: In der Meldung des Bundesamts gibt es auch Tipps, was man tun kann. Im privaten Umfeld, sollen sich bereits 80 Prozent aller Cyber-Angriffe mit "Standard-Schutzmaßnahmen" abwehren lassen. Also: aktuelle Virenschutzprogramme draufmachen und regelmäßig Updates für Software durchführen. So schreibt das Bundesamt:

"Die Programme der im Markt bekannten Antivirensoftware-Hersteller erkennen in der Regel die bekannten Varianten der Erpressungsschadsoftware und hindern sie daran, den Rechner zu infizieren."

Der Witz dabei ist die Formulierung "bekannte Varianten". Bekannt werden Schädlinge in der Regel erst, wenn es für Betroffene schon längst zu spät ist. Die Idee, seine Software frisch zu halten ist auch gut - wenn man überhaupt eine Chance dazu hat. Adobes Flash Player hat unter XP seit mehreren Wochen ein grobes Update-Problem und es gibt immer noch keine Lösung (siehe Adobe Flash Player Update funktioniert nicht bei XP). Überhaupt muss man leider davon ausgehen, dass Kriminelle Sicherheitslücken in Produkten viel schneller entdecken und ausnutzen, als sie von den Herstellern geflickt werden.

Schließlich empfiehlt die "Sicherheitsbehörde", dass Betroffene im Fall einer Erpressung umgehend Anzeige bei der nächstgelegenen Polizeidienststelle erstatten sollen. Das ist natürlich totale Zeitverschwendung. Selbst dann, wenn in Deutschland jemals ein Hersteller einer Erpresser-Schad-Software geschnappt wird, kriegt der garantiert niemals eine nennenswerte Strafe - und die Geschädigten kriegen garantiert keinen Schadensersatz. Hätte die deutsche Justiz auch nur einen Hauch von Interesse Massenbetrügern das Handwerk zu legen, dann könnte sie das mit geringem Aufwand tun.

bei Antwort benachrichtigen
Hallo Michael,... Prosseco
Hallo, ich will ja kein Erbsenzähler sein, aber in dem... dirk1962
Reichlich spät. Das Ding ist seit drei Monaten im Umlauf.... IRON67
So sehe ich das auch. Seit ich im Bekanntenkreis bei solch... Soulmann63
Prosseco IRON67 „Reichlich spät. Das Ding ist seit drei Monaten im Umlauf....“
Optionen

Hallo Iron67.

Hier:

http://www.gvu.de/media/pdf/833.pdf

 OScheinbar gibt es immer noch viele ahnungslose Nutzer, die auf die bekannte Ukash-Erpresser-Malware hereinfallen und den geforderten Geldbetrag an die Betrüger überweisen, damit diese den Computer wieder entsperren. Der GEMA Trojaner geht dabei ähnlich vor wie sein Vorläufer: Der BKA-Trojaner. Es erscheint eine Warnmeldung auf dem Desktop, dass auf dem Computer angeblich illegal heruntergeladene Musik gefunden worden sei und der PC deswegen gesperrt worden wäre. Lediglich mit einer Zahlung von mindestens 50 € könne der Computer wieder freigegeben werden, was natürlich nicht stimmt. Selbst bei einer erfolgreichen Zahlung bleibt der Computer für den Benutzer durch den GEMA Trojaner gesperrt. Bezahlt werden sollte also auf keinen Fall, da man so lediglich die kriminellen Entwickler dieser Erpresser-Software unterstützt. 

Scheinbar gibt es immer noch viele ahnungslose Nutzer, die auf die bekannte Ukash-Erpresser-Malware hereinfallen und den geforderten Geldbetrag an die Betrüger überweisen, damit diese den Computer wieder entsperren. Der GEMA Trojaner geht dabei ähnlich vor wie sein Vorläufer: Der BKA-Trojaner. Es erscheint eine Warnmeldung auf dem Desktop, dass auf dem Computer angeblich illegal heruntergeladene Musik gefunden worden sei und der PC deswegen gesperrt worden wäre. Lediglich mit einer Zahlung von mindestens 50 € könne der Computer wieder freigegeben werden, was natürlich nicht stimmt. Selbst bei einer erfolgreichen Zahlung bleibt der Computer für den Benutzer durch den GEMA Trojaner gesperrt. Bezahlt werden sollte also auf keinen Fall, da man so lediglich die kriminellen Entwickler dieser Erpresser-Software unterstützt. 

Sollte das System von dem Trojaner befallen worden sein, wird der Windows-Desktop deaktiviert, der Taskmanager gesperrt und der Zugriff auf die registriert verweigert. Wird Windows normal gestartet, besteht also nicht mehr die Möglichkeit, den Trojaner von den System zu entfernen. Es ist jedoch trotzdem möglich, ohne den Einsatz von Zusatzsoftware, den Trojaner wieder von den Computer zu entfernen.

GEMA Virus von Computer entfernen

Wer seinen Computer vom GEMA Virus befreien möchte, braucht dafür kein Geld, sondern lediglich einen von Windows angelegten Wiederherstellungspunkt und ein wenig Glück. Dieser Lösungsweg kann nur genutzt werden, wenn mindestens ein Wiederherstellungspunkt in der Vergangenheit angelegt worden ist und dieser nicht zu alt ist, da so unter Umständen neuere Daten verloren gehen können. Sollte auf dem Desktop die Meldung des GEMA Trojaners angezeigt werden, muss der PC neu gestartet werden. Während des Startvorgangs muss nun die Taste [F8] mehrmals gedrückt werden. Dadurch erhält man Zugriff auf unterschiedliche Startoptionen für Windows.

Hier muss nun der Eintrag "Abgesicherter Modus mit Eingabeaufforderung" ausgewählt werden, da der Zugriff auf den Desktop durch den Trojaner ansonsten blockiert wird. Nun muss so lange gewartet werden, bis ein blinkender Balken zu sehen ist. In die Eingabeaufforderung muss nun der Befehl "rstrui.exe" eingegeben werden, damit der Computer die Windows-Systemwiederherstellung startet und Windows zurückgesetzt werden kann. Durch die Desktop-Sperrung des Trojaners ist der Zugriff auf Systemwiederherstellungspunkte nur noch über diese Variante möglich.

Kaspersky WindowsUnlocker

Sollte die oben genannte Variante mit der Windows-Systemwiederherstellung nicht funktionieren, gibt es auch noch eine andere Vorgehensweise, um den Trojaner wieder zu entfernen. Mit Hilfe des kostenlosen WindowsUnlocker von Kaspersky können viele Varianten von Erpresser-Malware erfolgreich vom Computer entfernt werden. Diese Variante ist besonders dann zu empfehlen, wenn der letzte Wiederherstellungspunkt zu alt ist oder die Wiederherstellung komplett deaktiviert worden ist.


Windows sollte neu installiert werden

Auch wenn der Rechner von dem GEMA Virus befreit worden ist, empfiehlt es sich das Betriebssystem neu zu installieren. Es kann nämlich nicht ausgeschlossen werden, dass Komponenten des Trojaners sich unsichtbar in das System eingenistet haben und dort auf weitere Befehle warten. Dadurch kann der Trojaner jederzeit von seinen kriminellen Entwicklern wiederhergestellt oder für andere Zwecke genutzt werden, von denen der Nutzer im ersten Moment nichts bemerkt. 

Bei jeder Infektion mit einem Virus sollte der Computer neu installiert werden, da sich Teile der Software noch auf dem Computer verstecken können und anderen Betrügern unter Umständen Zugriff auf den Rechner ermöglichen. Ein einmal infiziertes System kann nicht mehr als sicher eingestuft werden und selbst wenn die installierte Antiviren-Software keine Bedrohungen mehr findet, bleibt ein gewisses Restrisiko bestehen, da die Antiviren-Software von dem Virus manipuliert worden sein kann.

Ob esw wahrlich ist. Naja eine natuerliche andere Sache.

Gruesse
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Wozu dieser Artikel, Prosseco? Das ist mir alles seit Monaten... IRON67
Hi, in meinem fall ist sogar der mbr unüberschreibbar. wenn... Teatimer
Hierzu die Frage : Ich mache regelmässig Vollbackup von C:(... mthr1
Hat jemand hierzu eine Antwort ? mfG mthr1 mthr1
Ist die externe FP ständig verbunden? Dann kann sie dir... IRON67
Gegen diese Dinge helfen nur, unter anderem, die "Hardware"... BastetFurry
Ich hatte gestern einen Angriff vom LIVE SECURITY PLATINUM... zombie2
Dir ist aber schon klar, dass diese Ordner und Dateinamen... IRON67
Ist mir schleierhaft wie man sich das Teil einfängt. torsten40
und wirkliche wichtige sachen kommen sowieso nur per post.... Alekom
Durch eine Drive-by-Infektion auf unverdächtigen Seiten... IRON67
Dies ist kompletter Stuss. Ich weiß von was ich rede.... Conqueror
Interessant. Was kann ich tun? gelöscht_305164
Den Stecker ziehn ;) Spaß beiseite... Dass aktuell... IRON67