Erpresser-Malware

Schädling gibt vor vom BKA zu sein

Donnerstag, 31.03.2011 | 12:31 von Frank Ziemann
Ein Trojanisches Pferd gibt von der Bundespolizei und/oder dem Bundeskriminalamt zu stammen und illegales Material auf dem Rechner gefunden zu haben. Der PC wird gesperrt und nur gegen Lösegeld wieder frei gegeben.
Vorgebliche BKA-Warnung
Vergrößern Vorgebliche BKA-Warnung
© 2014

Erpresserische Malware, so genannte „Ransomware”, die Dateien verschlüsselt oder den Rechner blockiert, gibt es schon eine ganze Weile. Es sei nur an „GPcode” erinnert, der auch gerade wieder aufgetaucht ist. Im Zuge der Betrügereien mit vorgeblichen Spendenaufrufen für die Opfer des Erdbebens in Japan wird auch ein Schädling per Drive-by Infektion verbreitet, der vorgibt, er sei von der deutschen Polizei.

Der Schädling zeigt eine großformatige Meldung auf dem Bildschirm an, in der behauptet wird, auf dem Rechner seien pornografische Inhalte sowie Elemente von Gewalt und Kinderpornografie festgestellt worden. Es seien aus Mails mit terroristischem Hintergrund verschickt worden. Der Rechner werde gesperrt, um „Ihre illegalen Aktivitäten zu unterbinden”.

Um die Sperre aufzuheben, sei der Benutzer „verflichtet eine Strafe von 100 Euro zu zahlen”. Sollte nicht binnen 24 Stunden gezahlt werden, würde die „Festplatte unwiderruflich formatiert(gelöscht)”. Um die „Strafe” zu entrichten, sollen die Erpressungsopfer eine Ukash-Karte kaufen und den zugehörigen Code in ein Formular eingeben. Alternativ könne der Code auch an eine angegebene Mail-Adresse bei Yahoo geschickt werden.

Weder die sofortige Bezahlung einer Strafe per Ukash noch die Mail-Adresse bei Yahoo lassen den Schluss zu, diese Meldung könnte tatsächlich von einer deutschen Polizeibehörde stammen. Auch Fehlerdichte und Formulierungskünste weisen auf die üblichen Verdächtigen hin – auch wenn man von Online-Kriminellen schon wesentliches schlimmeres Deutsch gesehen hat.

Um den immerhin in der Tat blockierten Rechner wieder von dem Schädling zu befreien, rät Andreas Marx vom Magdeburger Antivirustestlabor AV-Test zur Nutzung eines alternativen Boot-Mediums, etwa einer Antivirus-CD. Wird der PC von einer solchen CD gestartet, kann der enthaltene Virenscanner den Schädling entfernen, auch wenn Windows nicht mehr benutzbar ist.

Der Schädling wird mittlerweile von den meisten Antivirusprogrammen erkannt, von den bekannteren hapert es noch bei Symantec und Avast (Quelle: AV-Test):

Antivirus Malware-Name
AntiVir TR/PSW.Papras.A.1
Avast -/-
AVG Downloader.ADY (potentially harmful program)
BitDefender Gen:Variant.Kazy.17250
CA-AV Win32/OneStep.A!Adware
ClamAV -/-
Command -/-
Dr.Web Trojan.Advload.62
Eset Nod32 Win32/Kryptik.MAC trojan (variant)
F-Prot -/-
F-Secure Gen:Variant.Kazy.17250
Fortinet W32/Krap.AON!tr
G Data Gen:Variant.Kazy.17250
Ikarus Trojan-PWS.Win32.Papras
K7 Computing Riskware (0015e4f01)
Kaspersky Trojan-PSW.Win32.Papras.bll
McAfee Generic FakeAlert.am (trojan)
Microsoft TrojanDownloader:Win32/Harnig.S
Norman -/-
PC Tools -/-
Panda Adware/BroserSeek (spyware)
QuickHeal -/-
Rising -/-
Sophos Mal/FakeAV-EA
Sunbelt Trojan-Downloader.Win32.Harnig
Symantec -/-
Trend Micro TROJ_HARNIG.GE
VBA32 TrojanDownloader.Agent.qms
VirusBuster -/-
Webroot Mal/FakeAV-EA
Donnerstag, 31.03.2011 | 12:31 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
818226