Gekidnappte Rechner Die Rückkehr der Erpressungs-Software

Scare- und Rogueware sind Schadsoftware, mit der Betrüger versuchen, bei Internetnutzern abzukassieren, indem sie diese erschrecken. Ihre große Zeit hatte diese Masche 2005 bis 2008, doch zurzeit erlebt sie ein Revival: Mit angeblichen Drohbriefen vom BKA und Vollsperrungen von Rechnern.

Von

Angebliche BKA-PC-Sperrung: Erhebliche Beschuldigungen, dummdreiste Forderungen

Angebliche BKA-PC-Sperrung: Erhebliche Beschuldigungen, dummdreiste Forderungen


Immer besser, wissen Internet-Sicherheitsexperten zu berichten, seien in den vergangenen Jahren die Designs der Scareware geworden: Im letzten Jahr gab es eine Welle von falschen Virenscannern, obskuren Warnungen im Browserfenster und was Cyber-Kriminelle seit einem Jahrzehnt noch so nutzen, um Web-Nutzern einen Schreck zu verpassen. Spätestens aber, wenn es zur Kasse geht, fallen immer weniger Menschen darauf herein: Die Masche von Scareware-Erpressern beruht darauf, erst einen Schadensfall vorzutäuschen - und dann eine Zahlung zu verlangen, um den Rechner wieder sauber zu bekommen.

In den letzten Jahren liefen solche Zahlungen mit Vorliebe über Services, die eine mehr oder minder anonyme Zahlung erlauben - neben Western Union besonders Ukash. Ansonsten gab es wenig Neues von der Scareware-Front: Die Masche schien sich langsam abzunutzen.

Eigentlich ist das ein alter Hut, wir haben über die gängigsten Maschen der Abzocker immer wieder berichtet und erklärt, wie man sie erkennt und dagegen vorgeht. In den letzten Wochen aber mehren sich wieder die Fälle - und sie sind ernstzunehmen.

Denn Mitte letzten Jahres gab es einen Innovationsschub bei der Abzock-Technik. Statt wie bisher üblich nur Popups mit immer häufiger auftretenden obskuren Virenwarnungen zu zeigen, professionalisierten die Virenautoren ihre "Auftritte": Spätestens seit Ende August 2010 gab es dann auch gefälschte Warnmeldungen, die im jeweils richtigen Browser-Design angezeigt wurden - und somit schwerer als Fälschungen zu erkennen waren.

PornoBlocker: Ganz reale Erpressung mit irrealen Vorwürfen

Anfang 2011 dann kam es international zu einer Scareware-Welle von seit langem nicht mehr gesehener Intensität. Kriminellen war es offenbar gelungen, einer großen Anzahl von Webseiten Schadcode unterzujubeln, um dort Drive-by-Fallen zu installieren: Unter einem Drive-by versteht man die Verseuchung eines Rechners mit Schadsoftware durch bloßen Besuch einer Webseite.

Und zur Verbreitung kam eine neue Variante des seit 2005 bekannten GPCoders, einem der fiesesten Erpressungs-Schadprogramme überhaupt. GPCode kapert einen Rechner auf verschiedenen Wegen, nistet sich in der Windows-Registry ein und droht nicht nur - seine besten Varianten sperren den befallenen Rechner wirklich, indem sie Dateien darauf mit einem kräftigen Algorithmus verschlüsseln. Eine im November 2010 erstmals aufgetretene Variante gilt als die bisher kräftigste überhaupt - und die zieht auch aktuell kräftig ihre Kreise, in mehreren Versionen.

Alternativ zum Drive-by kam es seit Januar 2011 zunächst zu einer Welle von Rechner-Infektionen durch klassische Köder-Dateien: Die Betroffenen luden sich die Schadsoftware selbst auf den Rechner, als sie versuchten, einen vorgeblich pornografischen Videostream anzusehen. Solche Maschen funktionieren deshalb so gut, weil der Übertölperte selbst den Systembefehl zur Installation gibt, indem er auf die - wie auch immer verkleidete - Datei klickt.

Wegen dieser Verbreitungsmasche bekam die neue GPCoder-Variante den Spitznamen PornoBlocker, so wird die Software von einigen Virenscannern erkannt. Sie ging wahrscheinlich von Russland aus. Der russischen Originalversion der Erpressernachricht konnte man entnehmen, dass man angeblich illegale pornografische Inhalte aufgerufen habe. Die Sperrung des Rechners sei durch Zahlung von (meist) 400 Rubel aufzuheben.

Technisch eng verwandt mit dieser Rogueware, wie man betrügerische Erpresser-Software auch nennt, war der in Deutschland seit Ende März verbreitete sogenannte BKA-Trojaner, der aktuell wieder vermehrt aufzutreten scheint.

Ungerechtfertigte, aber keine leere Drohung!

Und der ist ungewöhnlich gut verpackt (siehe Grafik oben): Er kommt als angeblich von namhaften IT-Unternehmen mitentwickelte, von BKA und Bundespolizei verordnete Rechnersperrung daher. Viele Nutzer schockt das ganz gehörig - obwohl die in der gezeigten Sperrwarnung geäußerten Vorwürfe die reinste Realsatire sind.

Denn vorgeworfen wird den Opfern dieser Bauernfängerei nicht weniger als der Aufruf von Webseiten "mit pornografischen Inhalten, Kinderpornographie, Sodomie und Gewalt gegen Kinder" sowie das Vorhalten von "Spam mit terroristischen Hintergründen".

Da ist es quasi eine Art Sonderangebot, dass dieses vermeintliche BKA kein Rollkommando losschickt, den Delinquenten nicht direkt an die Amerikaner ausliefern oder lebenslang einbuchten möchte, sondern nur die Zahlung einer Strafe binnen 24 Stunden verlangt. Bei Zuwiderhandlung werde die Festplatte gelöscht. Der Tarif zur Freischaltung des quasi virtuell konfiszierten Beweismittels: 100 Euro per Ukash, einzuzahlen beispielsweise beim freundlichen Tankwart an der Ecke. So einfach ist das. Das Perfide daran: Zumindest das mit der Unbrauchbarmachung des PC, wenn man nicht zahlt, stimmt offenbar.

Der Hinweis darauf, dass deutsche Strafverfolgungsbehörden weder so bescheiden, noch so bescheuert mit Schwerverbrechern umgehen, erübrigt sich. Hier trotzdem der O-Ton aus Wiesbaden: "Weder das Bundeskriminalamt noch die Bundespolizei sind Urheber einer solchen Meldung. In dem vorliegenden Fall handelt es sich um einen Betrugsversuch. Die Polizeien in Deutschland nutzen in keinem Fall Pop-Up-Fenster, in denen zur Zahlung bestimmter Beträge aufgefordert wird."

Reagieren muss man trotzdem, denn die Kriminellen meinen es ernst: Lässt man die Warnfrist einfach verstreichen, droht die Verschlüsselung der Festplatte - eine Wiederherstellbarkeit ihrer Daten gilt dann zumindest als höchst unwahrscheinlich. In der Regel hinterlässt die Schadsoftware also Elektronikschrott, den man nur noch formatieren und neu aufsetzen kann.

Was also kann man tun, wenn es einen erwischt?

Erwischen kann es jeden: Wir haben aktuell davon erfahren, dass das Drive-by derzeit offenbar unter anderem auch über einzelne unlizenzierte Streaming-Webseiten verbreitet wird, die TV-Serien oder Pay-TV-Inhalte wie Fußballübertragungen zeigen.

Abhilfe schaffen so genannte Rescue-CDs, die der einschlägigen PC-Presse in regelmäßigen Abständen als DVD beiliegen: Es kann nie schaden, so etwas im Haus zu haben. Sie beruhen alle auf dem gleichen Prinzip: Die bootfähigen CDs rufen ein abgespecktes Linux-System mit sehr limitierten Funktionen auf, über das dann ein oder mehrere Virenscanner aufgerufen werden. Die aktualisieren sich über das Internet, bevor sie mit der Suche und Eliminierung beginnen.

Erfolgreich getestet haben wir zum einen die letzte von "PC Welt" verbreitete Rescue-DVD mit dem Virenscanner von Bitdefender, zum anderen die von Kaspersky als Brennvorlage-Download angebotene Notfall-CD, die auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt. Die folgenden Links führen zu aktuellen Notfall-CD-Downloads, mit denen man sich selbst eine Rescue-CD erstellen kann:

Kaspersky: Rescue Disk 10 (Download via Firmen-Website)

F-Secure: Rescue CD (Download über Firmen-Website)

AVG Rescue CD (Download über Chip.de)

Avira Antivir Rescue System (Download über Chip.de)

Wir haben in diese kurze Liste nur kostenfreie Tools aufgenommen, die in den letzten Wochen aktualisiert wurden. Sie sollten GPCoder vom befallenen Rechner löschen. Eine Garantie, dass danach alles wieder so ist wie vorher, ist damit aber nicht gegeben: In mindestens einem all, von dem wir erfahren haben, funktionierte danach Firefox nicht mehr und war angeblich auch nicht zu restaurieren.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
Seite 1
virtualtom 07.05.2011
1. .
Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup...
wortmord 07.05.2011
2. Rechtschreibfehler
Wenn man sich den Screenshot genau anschaut, erkennt man einen fatalen Rechtschreibfehler. Zitat: "Um die Sperre des Computers aufzuheben, sind sie dazu verFLICHTET..." Ich würde es immer wieder kurios, dass so unzählig viele PC User keinerlei Ahnung vom System und der Technik haben. Menschen haben beim Zensus 2011 Angst vor Datenklau...auf ihrem PC läuft aber das Microsoft-Betriebssystem. Von einem Proxy haben die Wenigsten gehört und wenn man sich diverse Fragen zu Problemen von Windowsusern anschaut, vergeht selbst einem Linux User das Lachen. Es ist einfach nur irrsinnig traurig. Ich nutze nun seit langem schon Linux und es ging mir und meinen Daten nie besser. Besuche ich Seiten, wie Videobroadcastern, um US Sitcoms in Originalsprache zu schauen, schalte ich meinen Proxy ein. Viren sind für Linux beinah kaum möglich, aufgrund der Kernelprogrammierung. Das gleicht dann ungefähr einer versuchten Tröpfcheninfektion eines Stahlträgers. Ich frage mich ernsthaft, warum Menschen eine Maschine bedienen, die sie nicht beherrschen. Ich stelle mir schliesslich auch keine Drechslermaschine ins Wohnzimmer. Zudem finde ich es absolut verantwortungslos, dass diese Maschinen standardmäßig mit Windows verkauft werden. Dem unsicherstem Betriebssystem, was es für PCs gibt.
irobot 07.05.2011
3.
Als ich mir den Screenshot ansah, muste ich laut lachen. 100€ für so schwere Vergehen? Das ist doch ein Schnäppchen. Mein Gott, wie blöde müssen die Leute sein? Als ich aber das Wort "Unbrauchbarmachung" las, verschwand mein Grinsen sofort. Schreiben beim Spiegel jetzt schon Verwaltungsfachangestellte und Beamte?
freund-der-worte 07.05.2011
4. Mac...
Als Mac-User kann ich da auch nur müde lächeln...
Narog 07.05.2011
5. .
Zitat von wortmordWenn man sich den Screenshot genau anschaut, erkennt man einen fatalen Rechtschreibfehler. Zitat: "Um die Sperre des Computers aufzuheben, sind sie dazu verFLICHTET..." Ich würde es immer wieder kurios, dass so unzählig viele PC User keinerlei Ahnung vom System und der Technik haben. Menschen haben beim Zensus 2011 Angst vor Datenklau...auf ihrem PC läuft aber das Microsoft-Betriebssystem. Von einem Proxy haben die Wenigsten gehört und wenn man sich diverse Fragen zu Problemen von Windowsusern anschaut, vergeht selbst einem Linux User das Lachen. Es ist einfach nur irrsinnig traurig. Ich nutze nun seit langem schon Linux und es ging mir und meinen Daten nie besser. Besuche ich Seiten, wie Videobroadcastern, um US Sitcoms in Originalsprache zu schauen, schalte ich meinen Proxy ein. Viren sind für Linux beinah kaum möglich, aufgrund der Kernelprogrammierung. Das gleicht dann ungefähr einer versuchten Tröpfcheninfektion eines Stahlträgers. Ich frage mich ernsthaft, warum Menschen eine Maschine bedienen, die sie nicht beherrschen. Ich stelle mir schliesslich auch keine Drechslermaschine ins Wohnzimmer. Zudem finde ich es absolut verantwortungslos, dass diese Maschinen standardmäßig mit Windows verkauft werden. Dem unsicherstem Betriebssystem, was es für PCs gibt.
Es würde sicher genügend Viren geben wenn Linux die selben Nutzerzahlen wie Windwos hätte. Aber ja, es ist echt traurig. Wer auf so einen Text wie im Screenshot reinfällt hat es auch irgendwie nicht anders verdient. So lächerlich wie der Text ist dürfte eigentlich niemand mit einem IQ über 80 darauf reinfallen. Mal ganz abgesehen von der genannten eMail-Adresse des BKAs bei yahoo.com :)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.