BKA-/Bundespolizei-Trojaner reloaded: Virus trägt jetzt viele Namen

Seit Frühjahr 2011 sucht der so genannte „BKA-Trojaner“ Schweizer und deutsche Windows-Rechner heim. Die Nutzer werden dabei zur Zahlung von Bussgeldern angehalten, um ihren urplötzlich gesperrten Rechner wieder zu entsperren. Die Grundlage dafür: angeblich illegale Aktivitäten im Netz. Inzwischen wurde das Virus von anderen Varianten beerbt. Die gute Nachricht für alle Betroffenen: Die Schädlinge lassen sich allesamt entfernen. Wir zeigen Ihnen, wie.

Man sitzt ahnungslos vor dem Rechner. Auf einmal, ohne Vorankündigung, erscheint eine bildschirmfüllende Meldung: Der Computer sei gesperrt, da wahlweise Kinderpornos, Raubkopien oder E-Mails mit terroristischem Inhalt auf dem Rechner gefunden worden seien. Aufhebung der Sperre gebe es nur durch Zahlung einer Summe, meist 100 Euro beziehungsweise 150 Schweizer Franken.

Dahinter steckt ein Trojaner-Virus, der sich zunächst als Eidgenössisches Justiz- und Polizeidepartement oder deutsches Bundeskriminalamt ausgab. Nach einem Update der ursprünglichen Malware kursieren inzwischen weitere Varianten des fiesen Schadprogramms, die sich die Autorität von SUISA (Schweizer Genossenschaft der Urheber und Verleger von Musik), GEMA (Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte), GVU (Gesellschaft zur Verfolgung von Urheberrechtsverletzungen) oder BSI (Bundesamt für Sicherheit in der Informationstechnik) zunutze machen. Dabei erscheinen auf der professionell aufgemachten Sperrseite stets die Logos der jeweiligen Institutionen sowie die eigene IP-Adresse. Alles zielt darauf ab, den Internetnutzer einzuschüchtern und zum sofortigen Zahlen zu bewegen.

Falls Sie betroffen sind: Ruhig bleiben und nicht zahlen! Denn das hebt die Sperre sowieso nicht auf. Stattdessen sollte man einen der folgenden Wege wählen, um den Virus wieder loszuwerden. Ihnen ist nicht ganz klar, welche Version sich bei Ihnen eingenistet hat? Hier finden Sie eine umfangreiche Übersicht über die Sperrbildschirme der kursierenden Trojaner-Varianten.


BKA-/Bundespolizei-Trojaner

Dieses Schadprogramm stellt die aktualisierte Variante des „Mutter-Virus“ dar. Es lädt Bilder mit kinderpornographischem Inhalt auf den Rechner herunter und „beweist“ so dem Betroffenen, dass er wirklich straffällig geworden ist. Womit das Virus leider Recht hat: Sowohl in der Schweiz als auch in Deutschland ist allein der Besitz kinderpornographischen Materials strafbar. Zudem kann man den Trojaner nicht mehr, wie seinen Vorgänger, über die Systemwiederherstellung loswerden. Führen Sie dazu folgende Schritte durch (hier finden Sie eine ausführliche Anleitung bei Kaspersky):

  • Sie brauchen einen funktionierenden zweiten PC. Bitten Sie dazu jemanden um Hilfe.
  • Ihr befallener Rechner muss von einem externen Datenträger gestartet werden. Wir empfehlen einen USB-Stick mit mindestens 500MB freiem Speicherplatz, den Sie jetzt bereithalten sollten.
  • Laden Sie sich auf dem zweiten Rechner eine Image-Datei mit Kaspersky WindowsUnlocker herunter.
  • Brennen Sie diese ISO-Datei mithilfe eines Brennprogramms (z.B. ImgBurn) auf eine CD oder schreiben Sie die ISO-Datei auf einen USB-Datenträger:
    1. Für die Erstellung eines USB-Sticks, der beim Rechner-Start gebootet werden kann, benötigen Sie ein Hilfsprogramm von Kaspersky (Hier herunterladen).
    2. Erstellen Sie anschliessend mit der heruntergeladenen Datei (rescue2usb.exe) ihren USB-Stick (Bebilderte Anleitung hier).
  • Zurück am befallenen Rechner: Legen Sie die CD ein bzw. stecken Sie den USB Stick ein und starten Sie Ihren Rechner vom eingelegten Medium (Dazu müssen Sie eine der Funktionstasten, meistens F8 oder F12 drücken, sobald Sie den Einschalt-Knopf betätigt haben).
  • Sie erhalten dann nach kurzer Zeit folgendes Bild:

Kaspersky hat sich als Anbieter hochwertiger Anti-Viren Software einen Namen gemacht. (Bild: Kaspersky RescueDisk)

  • Drücken Sie innerhalb der nächsten 10 Sekunden eine Taste, da ansonsten der Rechner neu gestartet wird. Wählen Sie Ihre Landessprache aus und starten Sie den “Textmodus”. Folgen Sie dann der Vereinbarung und bestätigen Sie diese mit Druck auf die angezeigte Taste.
  • Im Textmodus drücken Sie die Taste F10. Hinweis: Durch Drücken dieser Taste verändert sich die Bildschirmansicht nicht. Sie befinden sich jetzt im Programm Midnight Commander. Geben Sie nun bitte den Befehl windowsunlocker ein und drücken Sie Enter.

Bluescreen-Trojaner

  • Nun startet die “Befreiung” Ihres Rechners. Wenn die dann folgende Ansicht  Informationen über erfolgreich ausgeführte Aktionen beinhaltet, wie z. B. Registrierung “/Pfad/” wurde erfolgreich geöffnet und “/Pfad/” – verdächtiger Eintrag “Wert” gelöscht, hat das Programm seine Arbeit auf dem Computer erfolgreich erledigt.
  • Starten Sie dann Ihren Rechner wieder im abgesicherten Modus und führen Sie mit einem aktuellen Antivirus-Programm einen kompletten System-Scan durch. Dabei werden Überreste des Trojaners in der Regeln entfernt. Anschliessend können Sie den Rechner wiederum – diesmal im normalen Modus – starten.

GEMA-Trojaner

Auf dem Sperrbildschirm erscheint das Logo der deutschen GEMA und die Warnmeldung: „Der Zugang zu Ihrem Computer wurde gesperrt. Auf Ihrem Computer wurden illegal heruntergeladene Musikstücke (,Raubkopien’) gefunden“. Um die Sperre aufzuheben, wird eine „Strafzahlung“ von 50 Euro per Paysafecard verlangt – andernfalls drohe eine „Freiheitsstrafe von bis zu 3 Jahren“.

GEMA-Trojaner entfernen


GEMA-Trojaner (Bild: bka-trojaner.de)

SUISA-Trojaner

Dieser Trojaner ist ein Schweizer Ableger des GEMA-Trojaners und missbraucht das Logo der SUISA. Wegen angeblicher „Urheberrechtsverletzungen“ werden von den Betroffenen 100 Franken verlangt.
Die SUISA warnt ausdrücklich davor, der Zahlungsaufforderung Folge zu leisten, zumal eine Zahlung die Sperrung nicht aufhebt. Die Schweizerische Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) rät, bei der Polizei Anzeige zu erstatten. Ebenfalls gibt es die Möglichkeit, der KOBIK den Fall zu melden.

SUISA-Trojaner entfernen


SUISA-Trojaner (Bild: bka-trojaner.de)

GVU-Trojaner / BSI-Trojaner

Hierbei handelt es sich um eine Neuauflage des GEMA-Trojaners, der das Logo der deutschen Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) bzw. des Bundesamts für Sicherheit in der Informationstechnik (BSI) missbraucht und den Opfern illegalen Download von Medien vorwirft. „Ihr Computer wurde von der GVU gesperrt. Auf Ihrem Computer wurden illegal heruntergeladene Medien (,Raubkopien’) gefunden“, wird dreist behauptet. Eine Zahlung von 50 Euro per Paysafecard bzw. 100 Euro per Ukash soll die Sperre aufheben.

In einer Pressemitteilung der GVU heisst es: „Wir distanzieren uns ausdrücklich von solchen kriminellen Machenschaften und empfehlen Betroffenen, auf keinen Fall den geforderten Geldbetrag zu zahlen. Stattdessen sollten diese bitte zur Polizei gehen und Anzeige erstatten.“ Weiterhin rät die GVU allen, die schon gezahlt haben, schnellstmöglich bei Paysafe-Card unter der Telefonnummer 00800 0729 7233 anzurufen oder eine Mail an info [ät] paysafecard [punkt] com zu schicken bzw. sich an Ukash unter 00800 247 85274 zu wenden oder dort das Kontaktformular auszufüllen.

GVU-Trojaner / BSI-Trojaner entfernen


GVU-/BSI-Trojaner (Bild: bka-trojaner.de)

Prävention ist besser als Intervention – Regeln zum Schutz vor Internet-Viren

Ist das Kind erst einmal in den Brunnen gefallen, kostet es viel Zeit, Mühe und eventuell auch Geld um es dort wieder herauszubekommen. Besser, Sie befolgen einige Grundregeln des sicheren Surfens, damit es erst gar nicht zum Trojaner-Befall kommen kann:

  • Aktivieren Sie die Windows-Firewall.
  • Installieren Sie ein gutes, aktuelles Antivirus-Programm und lassen Sie es immer eingeschaltet.
  • Überprüfen Sie Ihr Betriebssystem samt Zusatzsoftware auf Sicherheitslücken. Ein gutes Gratis-Tool dafür ist Secunia Personal Software Inspector.
  • Nutzen Sie Tools zur Browsersicherheit, zum Beispiel die Browser-Erweiterung „NoScript“ für Firefox und Chrome (regelt, welche Webseiten „aktive Inhalte“ ausführen dürfen)
  • Halten Sie Ihr Betriebssystem durch Updates immer auf dem neuesten Stand.
  • Machen Sie ein Backup Ihrer Festplatte auf einem externen Datenträger. Sollte eine Rettungsaktion misslingen oder die „Ultima ratio“ – Festplattenformatierung – notwendig werden, sind Ihre Daten trotzdem sicher.
  • Surfen Sie nicht auf Webseiten mit halblegalen oder illegalen Inhalten (z.B. Filesharing-Portale).
  • Öffnen Sie niemals per E-Mail verschickte Daten von unbekannten Absendern ohne vorherige Prüfung.

 

Oberstes Bild: bka-trojaner.de

jQuery(document).ready(function(){if(jQuery.fn.gslider) {jQuery('.g-22').gslider({groupid:22,speed:10000,repeat_impressions:'Y'});}});