153440

Neue Erpresser-Malware blockiert den Desktop

17.04.2009 | 16:19 Uhr |

Eine neue Variante erpresserischer Malware ist in Russland aufgetaucht. Der Schädling blockiert den Desktop des befallenen Rechners und verlangt den Versand einer SMS an eine angegebene Nummer, um einen Freischalt-Code zu erhalten.

An Meldungen über Erpresserviren wie "Gpcode" haben wir uns ja fast schon gewöhnt. Jetzt haben die Malware-Forscher von Symantec einen anderen Typ erpresserischer Malware in Russland entdeckt. Von dort stammt auch Gpcode. Der neue Schädling verschlüsselt keine Dateien sondern blockiert gleich den ganzen Rechner. Das Opfer soll dann eine SMS mit einem bestimmten Text an eine angegebene Premiumnummer senden. Als Antwort würde er einen Freischalt-Code erhalten, den er in das Meldungsfenster des Schädlings eingeben soll.

Andrea Lelli berichtet über den als "Trojan.Ransomlock" bezeichneten Schädling im Symantec Security Response Blog . Ransomlock blockiert den Rechner und den Zugriff auf den Windows-Desktop. Auch die Tastenkombination Strg-Alt-Entf hilft nicht weiter, ebenso wenig der Neustart des Computers. Immerhin verschlüsselt der Schädling, im Gegensatz zu Gpcode, keine Dateien.

Doch Andrea Lelli weiß Abhilfe und zeigt, wie man einen gültigen Freischalt-Code selbst berechnen kann. Symantec hat jedoch auch ein Gratis-Programm zur Berechnung bereit gestellt. Wird ein gültiger Code eingegeben, ist der Rechner wieder zugänglich und der Schädling entfernt sich selbst.

Eine alternative Vorgehensweise bei einem solchen Schädling, etwa wenn kein zweiter PC zum Download des Symantec-Programms zur Verfügung steht, wäre das Starten des Rechners von einer Boot-CD . Damit wird ein anderes Betriebssystem geladen und der Schädling kann manuell entfernt werden. Verschiedene Antivirushersteller bieten ISO-Abbilder von Boot-CDs mit Virenscanner kostenlos zum Download an, zum Beispiel Avira , Dr.Web , F-Secure und G Data .

0 Kommentare zu diesem Artikel
153440