- Werbung -


Hier könnte Ihre Werbung stehen. Interessiert? Sprechen Sie uns an.


Neueste Kommentare

Der BKA-Trojaner und andere Quälgeister

Druckversion

Eigentlich gibt es diese Schadprogramme schon eine Weile, aber zur Zeit reüssieren sie wieder - deshalb eine kleine Beschreibung und Erste-Hilfe-Anleitung für den "Fall eines Falles".

Der "BKA"-Tojaner

BKA-Trojaner-BildschirmSie surfen ein bisschen im Internet, und auf einmal sehen Sie einen bildschirmfüllenden Text (ähnlich dem auf dem Bild rechts) mit Informationen in der Art wie: "Auf Ihrem Computer wurden pornographische Inhalte entdeckt und das System wurde gesperrt. Überweisen Sie 100.- € (oder 50.- oder auch mal 250.- €) per UKash (oder andere Zahlungsmethoden), um die Sperre wieder aufzuheben..." Hier finden Sie eine Auflistung einiger dieser Sperrbildschirme.

Manchmal lautet die angegebene E-Mail-Adresse, an die man die Bestätigung über die geleistete Zahlung einsenden soll: bundeskriminalamt@yahoo.com oder eine andere - meist irgendwie falsch geschriebene - Abart.

Leider hindert Sie dieser Bildschirm an der Arbeit - je nach Version des Trojaners können Sie mit Strg-Alt-Entf in den Taskmanager kommen - meistens aber nicht. Auch der Startknopf von Windows ist nicht mehr in Ihrem Zugriff - Sie können eigentlich gar nichts mehr machen.

Auf keinen Fall sollten Sie irgendwelche Zahlungen tätigen - das wäre für SIE vollkommen nutzlos, denn (selbstverständlich) würden Sie nie eine Antwort oder einen Freischaltcode erhalten. Hier hilft nur eigene Arbeit.

Wie es weitergeht, hängt von der "Härte" dieses Angriffs ab. Eine mehrfach erprobte Verfahrensweise besteht darin, in die Systemwiederherstellung zu gehen und dort einen Punkt in der Vergangenheit zu aktivieren - das war es meistens schon. Außer, man hat sich "härtere Variante" eingefangen, dann muss man wie im unteren Teil dieses Artikel beschrieben fortfahren. Doch wie kommt man in die Systemwiederherstellung:

  • Erster Tipp: schnell sein - beim Hochfahren des Systems gibt es ein Zeitfenster von 1-4 Sekunden, in denen man den Startknopf benutzen kann. In dieser Zeitspanne muss man sich dann schnell im Menü zur Systemwiederherstellung durchhangeln.
  • Zweiter Tipp: Sie können per F8 beim Booten in den "Abgesicherten Modus mit Eingabeaufforderung" gehen - melden Sie sich dann als ein Benutzer mit Administratorrechten an. Hier kann man die Systemwiederherstellung per Kommandozeile vornehmen - egal, ob Sie Windows XP, Vista oder 7 benutzen. Durch Eingeben von "CD \" kommen sie in die Hauptebene Ihrer Startpartition. Nun geben Sie ein: "%systemroot%\system32\restore\rstrui.exe". Dies ruft die Systemwiederherstellung auf.

Setzen Sie das System nun auf ein Datum zurück, das VOR dem ersten Auftreten des Trojaners lag. Mit ein bisschen Glück starten Sie das System wieder und alles ist in Ordnung.

Der Erfolg: Der Trojaner wird beim Start nicht mehr aufgerufen - aber er ist noch im System! Mit einem aktuellen Virenscanner werden Sie ihn aber finden und entfernen können.

Ransom-Ware-Trojaner

Diese hinterhältige Variante (Ransom = Lösegeld) fängt man sich meist per E-Mail ein: Man erhält eine E-Mail in halbwegs ordentlichem Deutsch, man habe z.B. eine Leica für ca. 800.- € (Artikel und Betrag variieren) bestellt, das Geld werde innerhalb von drei Tagen abgebucht. Rechnung und weitere Infos seien der Mail angehängt. Der Anhang heißt so ähnlich wie rechnung...zip, manchmal ist der Mail sogar ein Entschlüsselungskennwort (als PIN bezeichnet) beigefügt (denn an verschlüsselten ZIP-Dateien scheitert jegliche Antivir-Software). Versucht man, den Anhang zu öffnen, hat man verloren. Der Rechner wird gesperrt und alle Dateien Ihrem Zugriff entzogen.

Gefälschte E-MailAlso, erste Regel, eine solche Mail einfach ignorieren - oder, wenn Sie doch nachschauen wollen, GENAUESTENS anschauen, aber auf keinen Fall den Anhang öffnen. Manchmal sind beliebige Absendeadressen angegeben, bei denen die Postleitzahl nicht zum Ort passt, oder Begriffe sind falsch geschrieben. In einem solchen Fall lieber versuchen, die angegebene Telefonnummer zur Klärung anzurufen - aber meistens weiß man doch eigentlich, ob man sich gerade eine Leica gekauft hat oder nicht!

Auch jene etwas spartanische gehaltene gefälschte Buchungsbestätigung rechts beinhaltet falsch geschriebene Infos: "We have received a reservation for your hotel". Ich habe kein Hotel! Wink

Schlägt dieser Trojaner, den es in den verschiedensten Variationen gibt, aber doch zu, steht man ziemlich im Regen. Bei den in meinem Bekanntenkreis aufgetauchten Versionen funktionierte NIE der Aufruf des Task-Managers. Auch die oben beschriebenen Tricks funktionierten nicht - die kompletten Standard-Bedienelemente von Windows sind ausgeblendet, und im abgesicherten Modus erhält man die gleiche, bildschirmfüllenden Meldung wie sonst.

Was also tun?

Die Hilfe kommt aus dem Internet. Es gibt einige startbare CDs als ISO-Image im Netz, von denen man in einem solchen Fall das System bootet, und die dann erstmal den Schädling beseitigen. Viele Antiviren-Software-Hersteller bieten diese ISO-Dateien kostenlos an: Die Avira-Version gibt es zum Beispiel hier (http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system-common-en.iso), die Kaspersky-Variante über diese Seite: (http://support.kaspersky.com/de/faq?chapter=201622822&print=true&qid=207621570).

Laden Sie sich eine solche Datei herunter, brennen Sie sich die entsprechende CD und starten davon. Lassen sie das System komplett untersuchen und möglichst alle Plagegeister entfernen. Nun müsste der Rechner wieder starten.

Als nächster Schritt empfiehlt sich der Einsatz einer Software wie Anti-Malbyte, die auf solche Schädlinge spezialisiert ist. Sie können Sie zum Beispiel unter http://filepony.de/download-malwarebytes_anti_malware/ herunterladen. Zurzeit (Mitte Juli 2012) ist das Freeware, es gab aber auch schon Versionen dieser oder ähnlicher Software, die man 10 Tage kostenlos "testen" konnte, was in unserem Fall auch ausreichen würde. Lassen Sie die Software ihr ganzes System untersuchen - dabei sollte eine Internetverbindung vorhanden sein, damit sie ihre Datenbanken aktualisieren kann.

In den meisten mir bekannten Fällen war man allerdings danach immer noch nicht im Besitz eines funktionsfähigen Systems: Im Allgemeinen hat dieser Trojaner nämlich alle Dateien im persönlichen Verzeichnis verschlüsselt ("locked"). Das heißt, sie können viele Ihrer Dateien und vielleicht sogar Ihrer Programme nicht mehr benutzen oder starten. Es soll aber auch Fälle geben, wo die Dateien lediglich umbenannt wurden. Das lässt sich ja leicht testen.

Aber auch hier hilft die Netzgemeinde, wenn das Ganze auch sehr zeitaufwändig ist. Sie benötigen ein Programm wie den Avira-Ransom-File-Unlocker (im Moment in der Version 1.0.1 erhältlich, zum Beispiel über diese Seite - der Link ist fast ganz unten auf der Seite zu finden). Vergleichbare Software ist auch Trojan.Ransom.HM-Decrypt_v1 (von BitDefender) oder RannohDecryptor (von Kaspersky). Die Verschlüsselungsroutinen sollen Schlüssel mit bis zu 2048 Bit benutzen. Um diese Schlüssel heraus zu rechnen, braucht man unbedingt Vergleichsdaten. Im Netz finden sie hierfür zum Beispiel die "Beispielbilder" der verschiedenen Windows-Systeme. Sie können aber natürlich auch eine Datei aus Ihrem Backup nutzen. Die Software vergleicht das Original und die verschlüsselte Version einer Datei und bestimmt daraus den Schlüssel. Am besten direkt im Anschluss lassen Sie dann alle nicht zugänglichen Dateien Schritt für Schritt entschlüsseln. Das kann dauern, da hier schnell mehrere zigtausend Dateien zusammen kommen können, ist aber in allen mir bekannten Fällen bisher erfolgreich gewesen.

Empfohlen wird übrigens meistens, die verschlüsselten Dateien irgendwohin zu kopieren (Stick oder externe Platte, je nach Menge) und sie dort weiter zu bearbeiten.

Ob das System nach allen diesen Aktionen wieder "sauber" ist, ist umstritten. Meiner Meinung nach (zumindest in den Fällen, mit denen ich es zu tun hatte) ja - aber dieser fiese Trojaner wird immer weiterentwickelt, und es ist ein "Hase-und-Igel"-Rennen zwischen Trojaner und Anti-Tools. Die beste Lösung ist, regelmäßig Images anzufertigen und in einem solchen Fall erst die verschlüsselten Dateien irgendwohin zu exportieren und dann das Image wieder aufzuspielen. Die Arbeitsergebnisse seit dem letzten Image kann man dann in aller Ruhe versuchen zu entschlüsseln.

Ach ja: Eine gute und aktuelle Hilfe bei Problemen dieser Art bietet das Trojaner-Board.

BKA Trojaner – Qualen

Sehr verdienstvoll, Pepo, dass Du das Thema so umfangreich beschrieben hast. Allein, mich kommt ob der im Infektionsfall zu leistenden Arbeit das kalte Grauen an. Möge ich vor solch einer Situation verschont bleiben (Oder Dich zu Hilfe rufen können).

Man benötigt entweder eine zweite auswechselbare Festplatte oder einen zweiten Rechner, um die genannten Programme, Tools, etc. herunterladen zu können.. Ein Image von meiner Win7-Installation habe ich ja schon gemacht, und meine persönlichen Daten wandern unregelmäßig auf die externe FP.

So fühle ich mich eigentlich relativ sicher. Aber was die persönlichen Daten betrifft, so verbleibt eine Differenz zwischen denen auf der externen FP und auf der evtll. befallenen FP. Um die auszusortieren, falls sie verschlüsselt sind, wäre es hilfreich, alle Dateien mit Änderungsdatum seit Befall aussortieren zu können.Ob die Win7-Suchfunktion das hergäbe? Die kann sich mit mir auch nicht so richtig anfreunden.

Images erstellen

Ja, eine externe Fetplatte sollte man haben - für die Systempartition reicht sicherlich eine kleinere Variante. Im 2,5"-Format kommt sie ohne eigene Stromversorgung aus und ist sehr praktikabel. Für den Schreibtisch tut es eine 3,5-Version, i.a. mit externem Netzteil aber insgesamt billiger. Einfach einzusetzen als Image-Software ist Acronis True-Image - es gibt aber auch kostenlose Alternativen.

Neue Variante

Heute kam diese Mail:

--------------------------- schnipp --------------------

Lieber Kunde,

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen. Grund: Ein Fehler in der Leiferanschrift. Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen. Anbei finden Sie einen Postetikett. Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Vielen Dank! Deutsche Post AG.

---------------------------- schnapp --------------------------

Ging an mich und ca. 5 andere Empfäger mit einer "Postetikett.zip"-Datei im Anhang. Absendeadresse: post60038@deutschepost.de - gibt es natürlich nicht.

Wieder Rechtschreibefehler - aber es werden weniger!

Weiter AUGEn auf!

 

 

Neue Variante

Die "Post" erhielt ich auch von der "Post". Und das im normalen Postfach und nicht im "Spambucket", damit es mir auch wirklich auffällt.

Ich stimme Renate zu: Der richtige Artikel zur hoffentlich für viele noch rechten Zeit.

Rettungsversuch, mehr oder weniger erfolgreich

Das übliche Ausgangsbild: Ein Familienmitglied klickte im Juni auf einen Anhang: der Schädling schlug zu. Der User bat einen seiner Bekannten um Hilfe. Dieser hatte mit "Linux" einige Bilder retten können. Der User wandte sich jetzt an mich, da in der nachfolgenden Zeit der Desktop immer unter Linux hochgefahren sei und er damit garnicht zurecht kam und schon garnicht weitere verschlüsselte Bilder retten konnte. Da man sich ja leicht an einen immer vorhandenen Zugang ins Netz gewöhnt, hatte er kurz nach dem "Unfall" ein neues Notebook erworben. Erfahrung mit dieser Art von Problemen habe ich nicht, aber wozu hat man schliesslich den Artikel hier gelesen, na ja, überflogen!

Nach Verwerfen der Idee, den PC als Garantiefall nach ca. 4 Jahren an den Händler im Norden Frankfurts zurückzugeben (welch ein Zufall! Wink), folgte vorsichtshalber erst ein langwieriges (USB2.0 ) Backup mittels Acronis auf ein neues externes Laufwerk, danach die ebenfalls zeitverschlingende Untersuchung mittels der Kaspersky-CD-Variante, die 5 Dateien, darunter eine exe-Datei, mit hohem Bedrohungsgrad in Quarantäne schickte. Bei den Einstellungen der zu prüfenden Laufwerke durch den Schädlingsscanner hatte sich herausgestellt, dass eine Open Suse Live-CD im zweiten optischen Laufwerk (Brenner) vergessen worden war. Nach deren Entnahme startete das bei der ersten Rettungsaktion im Juni neu (reparatur-)installierte Windows XP wieder. Die Neuinstallation ist vermutlich auch dafür zuständig, dass nur zwei Wiederherstellungspunkte (Systemprüfpunkt) vorhanden waren, einer zum aktuellen Datum und einer merkwürdigerweise im Januar, die Monate dazwischen liessen sich nicht einmal anzeigen, entsprechender Plattenplatz ist aber reserviert. Während Anti-Malbyte lief, holten wir eines der Decryptor-Programme. DIeses liessen wir dann auf zwei der "verschlüsselten" Fotodateien und deren glücklicherweise noch in der Kamera befindlichen Original los. Die folgende Meldung machte mich dann doch etwas stutzig: "Fehler, beide Dateien sind gleich". Also ein "jpg" an den Dateinamen angehängt und das Foto war nicht mehr "verschlüsselt".

Nach einigem Suchen im Internet scheint es, als gäbe es keine einfache Möglichkeit, die ursprünglichen Dateinamen wiederherstellen zu lassen. Das Ansehenmüssen der Fotos mit exotischem Namen,. immerhin unter unveränderten Ordnernamen, könnte man mit dem üblichen Hinweis "Der steinige Weg zur Erkenntnis, dass Backups notwendig sind" abtun, allerdings sind auch andere Daten betroffen (Steuerberechnung, Infos, usw.). Ein einfach Anfügen von "pdf" an zwei von 4 Datein, die einen entsprechenden Inhalt haben sollen, führte nicht zum Erfolg.

Aufgrund der sehr fortgeschrittenen Zeit beendeten wir die Aktion. Als weitere Versuche würde ich in Erwägung ziehen: Den Januar Wiederherstellungspunkt wählen oder auf einer neuen Platte Windows und Programme neu installieren und versuchen, die neu erstellten Dateien mit Userdaten durch die als passend vermuteten umbenannten Dateien zu ersetzen. Die Erfolgsaussichten dürften sich dabei in engen Grenzen halten. Kann jemand andere Lösungsvorschläge beisteuern?

Wiederherstellungspunkt

Ich würde den Wiederherstellungspukt nutzen. Ein Image hast Du ja, und eine missglückte Wiederherstellung lässt sich meist auch wieder rückgängig machen. Viel Erfolg!

Jetzt auch von der "Sparkasse"

Kam heute - "Absender" ist support@online.sparkasse.de: "message Die TAN für die Euro-Eilüberweisung vom Tue, 25 Sep 2012 20:45:55 +0800 über 1.916,00 EUR auf die IBAN ZY79976000060000000063881858 lautet: 338589 . F:Sparkasse"

Wieder mit einer schönen ZIP-Datei als Anhang.

...und jetzt auch von "Facebook"

Heute am wieder eine solche Mail - diesmal "von Facebook". Einer meiner Freunde habe ein Bild hochgeladen. Avira hat sie erkannt!

DHL und British Airways

Ich weiß nicht, ob das dieser Trojaner ist, aber ich habe heute drei Mails bekommen, auf der GMX-Spanmschutz angesprungen ist. Zweimal angeblich von DHL (Betreff: "Deutsche Post. Sie mussen eine Postsendung abholen (+ eine Nummer)" Anhang: Support-Deutsche_Post_Adresse.pdf.exe) und einmal von British Airways (Betreff: "BA e-ticket receipt" Anhang: BritishAirways-eticket.pdf.exe). Erkannt wurde jedesmal "Backdoor.Trojan".

BKA-Warnung

Und wieder warnt das BKA vor einer neuen Variante des Trojaners! Als einfachsten Gegenmittel wird der IE10 oder Firefox19 empfohlen...

Ciao Pepo