- Werbung -

Eigentlich gibt es diese Schadprogramme schon eine Weile, aber zur Zeit reüssieren sie wieder - deshalb eine kleine Beschreibung und Erste-Hilfe-Anleitung für den "Fall eines Falles".

Der "BKA"-Tojaner

BKA-Trojaner-BildschirmSie surfen ein bisschen im Internet, und auf einmal sehen Sie einen bildschirmfüllenden Text (ähnlich dem auf dem Bild rechts) mit Informationen in der Art wie: "Auf Ihrem Computer wurden pornographische Inhalte entdeckt und das System wurde gesperrt. Überweisen Sie 100.- € (oder 50.- oder auch mal 250.- €) per UKash (oder andere Zahlungsmethoden), um die Sperre wieder aufzuheben..." Hier finden Sie eine Auflistung einiger dieser Sperrbildschirme.

Manchmal lautet die angegebene E-Mail-Adresse, an die man die Bestätigung über die geleistete Zahlung einsenden soll: bundeskriminalamt@yahoo.com oder eine andere - meist irgendwie falsch geschriebene - Abart.

Leider hindert Sie dieser Bildschirm an der Arbeit - je nach Version des Trojaners können Sie mit Strg-Alt-Entf in den Taskmanager kommen - meistens aber nicht. Auch der Startknopf von Windows ist nicht mehr in Ihrem Zugriff - Sie können eigentlich gar nichts mehr machen.

Auf keinen Fall sollten Sie irgendwelche Zahlungen tätigen - das wäre für SIE vollkommen nutzlos, denn (selbstverständlich) würden Sie nie eine Antwort oder einen Freischaltcode erhalten. Hier hilft nur eigene Arbeit.

Wie es weitergeht, hängt von der "Härte" dieses Angriffs ab. Eine mehrfach erprobte Verfahrensweise besteht darin, in die Systemwiederherstellung zu gehen und dort einen Punkt in der Vergangenheit zu aktivieren - das war es meistens schon. Außer, man hat sich "härtere Variante" eingefangen, dann muss man wie im unteren Teil dieses Artikel beschrieben fortfahren. Doch wie kommt man in die Systemwiederherstellung:

  • Erster Tipp: schnell sein - beim Hochfahren des Systems gibt es ein Zeitfenster von 1-4 Sekunden, in denen man den Startknopf benutzen kann. In dieser Zeitspanne muss man sich dann schnell im Menü zur Systemwiederherstellung durchhangeln.
  • Zweiter Tipp: Sie können per F8 beim Booten in den "Abgesicherten Modus mit Eingabeaufforderung" gehen - melden Sie sich dann als ein Benutzer mit Administratorrechten an. Hier kann man die Systemwiederherstellung per Kommandozeile vornehmen - egal, ob Sie Windows XP, Vista oder 7 benutzen. Durch Eingeben von "CD \" kommen sie in die Hauptebene Ihrer Startpartition. Nun geben Sie ein: "%systemroot%\system32\restore\rstrui.exe". Dies ruft die Systemwiederherstellung auf.

Setzen Sie das System nun auf ein Datum zurück, das VOR dem ersten Auftreten des Trojaners lag. Mit ein bisschen Glück starten Sie das System wieder und alles ist in Ordnung.

Der Erfolg: Der Trojaner wird beim Start nicht mehr aufgerufen - aber er ist noch im System! Mit einem aktuellen Virenscanner werden Sie ihn aber finden und entfernen können.

Ransom-Ware-Trojaner

Diese hinterhältige Variante (Ransom = Lösegeld) fängt man sich meist per E-Mail ein: Man erhält eine E-Mail in halbwegs ordentlichem Deutsch, man habe z.B. eine Leica für ca. 800.- € (Artikel und Betrag variieren) bestellt, das Geld werde innerhalb von drei Tagen abgebucht. Rechnung und weitere Infos seien der Mail angehängt. Der Anhang heißt so ähnlich wie rechnung...zip, manchmal ist der Mail sogar ein Entschlüsselungskennwort (als PIN bezeichnet) beigefügt (denn an verschlüsselten ZIP-Dateien scheitert jegliche Antivir-Software). Versucht man, den Anhang zu öffnen, hat man verloren. Der Rechner wird gesperrt und alle Dateien Ihrem Zugriff entzogen.

Gefälschte E-MailAlso, erste Regel, eine solche Mail einfach ignorieren - oder, wenn Sie doch nachschauen wollen, GENAUESTENS anschauen, aber auf keinen Fall den Anhang öffnen. Manchmal sind beliebige Absendeadressen angegeben, bei denen die Postleitzahl nicht zum Ort passt, oder Begriffe sind falsch geschrieben. In einem solchen Fall lieber versuchen, die angegebene Telefonnummer zur Klärung anzurufen - aber meistens weiß man doch eigentlich, ob man sich gerade eine Leica gekauft hat oder nicht!

Auch jene etwas spartanische gehaltene gefälschte Buchungsbestätigung rechts beinhaltet falsch geschriebene Infos: "We have received a reservation for your hotel". Ich habe kein Hotel! Wink

Schlägt dieser Trojaner, den es in den verschiedensten Variationen gibt, aber doch zu, steht man ziemlich im Regen. Bei den in meinem Bekanntenkreis aufgetauchten Versionen funktionierte NIE der Aufruf des Task-Managers. Auch die oben beschriebenen Tricks funktionierten nicht - die kompletten Standard-Bedienelemente von Windows sind ausgeblendet, und im abgesicherten Modus erhält man die gleiche, bildschirmfüllenden Meldung wie sonst.

Was also tun?

Die Hilfe kommt aus dem Internet. Es gibt einige startbare CDs als ISO-Image im Netz, von denen man in einem solchen Fall das System bootet, und die dann erstmal den Schädling beseitigen. Viele Antiviren-Software-Hersteller bieten diese ISO-Dateien kostenlos an: Die Avira-Version gibt es zum Beispiel hier (http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system-common-en.iso), die Kaspersky-Variante über diese Seite: (http://support.kaspersky.com/de/faq?chapter=201622822&print=true&qid=207621570).

Laden Sie sich eine solche Datei herunter, brennen Sie sich die entsprechende CD und starten davon. Lassen sie das System komplett untersuchen und möglichst alle Plagegeister entfernen. Nun müsste der Rechner wieder starten.

Als nächster Schritt empfiehlt sich der Einsatz einer Software wie Anti-Malbyte, die auf solche Schädlinge spezialisiert ist. Sie können Sie zum Beispiel unter http://filepony.de/download-malwarebytes_anti_malware/ herunterladen. Zurzeit (Mitte Juli 2012) ist das Freeware, es gab aber auch schon Versionen dieser oder ähnlicher Software, die man 10 Tage kostenlos "testen" konnte, was in unserem Fall auch ausreichen würde. Lassen Sie die Software ihr ganzes System untersuchen - dabei sollte eine Internetverbindung vorhanden sein, damit sie ihre Datenbanken aktualisieren kann.

In den meisten mir bekannten Fällen war man allerdings danach immer noch nicht im Besitz eines funktionsfähigen Systems: Im Allgemeinen hat dieser Trojaner nämlich alle Dateien im persönlichen Verzeichnis verschlüsselt ("locked"). Das heißt, sie können viele Ihrer Dateien und vielleicht sogar Ihrer Programme nicht mehr benutzen oder starten. Es soll aber auch Fälle geben, wo die Dateien lediglich umbenannt wurden. Das lässt sich ja leicht testen.

Aber auch hier hilft die Netzgemeinde, wenn das Ganze auch sehr zeitaufwändig ist. Sie benötigen ein Programm wie den Avira-Ransom-File-Unlocker (im Moment in der Version 1.0.1 erhältlich, zum Beispiel über diese Seite - der Link ist fast ganz unten auf der Seite zu finden). Vergleichbare Software ist auch Trojan.Ransom.HM-Decrypt_v1 (von BitDefender) oder RannohDecryptor (von Kaspersky). Die Verschlüsselungsroutinen sollen Schlüssel mit bis zu 2048 Bit benutzen. Um diese Schlüssel heraus zu rechnen, braucht man unbedingt Vergleichsdaten. Im Netz finden sie hierfür zum Beispiel die "Beispielbilder" der verschiedenen Windows-Systeme. Sie können aber natürlich auch eine Datei aus Ihrem Backup nutzen. Die Software vergleicht das Original und die verschlüsselte Version einer Datei und bestimmt daraus den Schlüssel. Am besten direkt im Anschluss lassen Sie dann alle nicht zugänglichen Dateien Schritt für Schritt entschlüsseln. Das kann dauern, da hier schnell mehrere zigtausend Dateien zusammen kommen können, ist aber in allen mir bekannten Fällen bisher erfolgreich gewesen.

Empfohlen wird übrigens meistens, die verschlüsselten Dateien irgendwohin zu kopieren (Stick oder externe Platte, je nach Menge) und sie dort weiter zu bearbeiten.

Ob das System nach allen diesen Aktionen wieder "sauber" ist, ist umstritten. Meiner Meinung nach (zumindest in den Fällen, mit denen ich es zu tun hatte) ja - aber dieser fiese Trojaner wird immer weiterentwickelt, und es ist ein "Hase-und-Igel"-Rennen zwischen Trojaner und Anti-Tools. Die beste Lösung ist, regelmäßig Images anzufertigen und in einem solchen Fall erst die verschlüsselten Dateien irgendwohin zu exportieren und dann das Image wieder aufzuspielen. Die Arbeitsergebnisse seit dem letzten Image kann man dann in aller Ruhe versuchen zu entschlüsseln.

Ach ja: Eine gute und aktuelle Hilfe bei Problemen dieser Art bietet das Trojaner-Board.

Kommentare

Sehr verdienstvoll, Pepo, dass Du das Thema so umfangreich beschrieben hast. Allein, mich kommt ob der im Infektionsfall zu leistenden Arbeit das kalte Grauen an. Möge ich vor solch einer Situation verschont bleiben (Oder Dich zu Hilfe rufen können).

Man benötigt entweder eine zweite auswechselbare Festplatte oder einen zweiten Rechner, um die genannten Programme, Tools, etc. herunterladen zu können.. Ein Image von meiner Win7-Installation habe ich ja schon gemacht, und meine persönlichen Daten wandern unregelmäßig auf die externe FP.

So fühle ich mich eigentlich relativ sicher. Aber was die persönlichen Daten betrifft, so verbleibt eine Differenz zwischen denen auf der externen FP und auf der evtll. befallenen FP. Um die auszusortieren, falls sie verschlüsselt sind, wäre es hilfreich, alle Dateien mit Änderungsdatum seit Befall aussortieren zu können.Ob die Win7-Suchfunktion das hergäbe? Die kann sich mit mir auch nicht so richtig anfreunden.

M5543, Schriftführer und Leiter der RG600 im AUGE e.V.

M5543, Schriftführer und Leiter der RG600 im AUGE e.V.

M5543, Schriftführer und Leiter der RG600 im AUGE e.V.

M5543, Schriftführer und Leiter der RG600 im AUGE e.V.

M5543, Schriftführer und Leiter der RG600 im AUGE e.V.

M5543, Schriftführer und Leiter der RG600 im AUGE e.V.