Fotostrecke

Webtipp: Wie löscht man einen Lösegeld-Trojaner?

"BKA"-Virus So werden Sie Lösegeld-Trojaner wieder los

Haben BKA, Bundespolizei oder Gema angeblich Ihren Rechner gesperrt? Dann sind Sie wohl Opfer eines Lösegeld-Trojaners geworden. SPIEGEL ONLINE zeigt, wie Sie solche Programme wieder löschen und erklärt die schmutzigen Tricks der Computer-Entführer.

Die Masche ist so dreist wie lukrativ: Mit präparierten Websites nehmen Cyberkriminelle die Computer von Nutzern als Geisel, versperren ihnen den Zugriff auf ihre Daten und rücken sie nur gegen Zahlung eines Lösegelds wieder heraus.

2011 hat sich dieser Trick zu einer wahren Plage entwickelt. Zehntausende Nutzer in Deutschland bekamen in den vergangenen Monaten angeblichen Internet-Besuch vom BKA, der Bundespolizei, von Microsofts Antipiraterie-Abteilung oder der Gema. Mit unangenehmen Folgen - denn eine Warnmeldung versperrt den Zugang zu den eigenen Dateien: "Wir haben illegale oder schädliche Aktivitäten auf Ihrem Computer entdeckt und ihn deswegen blockiert", behauptet die bildschirmfüllende Warnung, oft in radebrechendem Deutsch. "Gegen Zahlung einer Servicegebühr schalten wir ihn wieder frei."

Ein klarer Fall von Erpressung. Doch weil die Lösegelder oft gering sind, die Trojaner mit Scham, Schuld und Obrigkeitshörigkeit spielen, zahlen viele Opfer trotzdem. Vielleicht auch, weil sie sich denken: "Das Lösegeld kostet 50 Euro, aber die Computerreparatur mindestens 100. Geh ich doch den einfachen Weg."

Die Desinfektion ist relativ einfach

Doch wer zahlt, steht oft nur umso schlechter da: Denn auch nach einer ersten Zahlung geben viele dieser auch Ransomware genannten Lösegeld-Trojaner nicht auf, sondern fordern weitere Überweisungen. Und selbst eine angebliche Selbstlöschung garantiert noch lange nicht, dass der Trojaner wirklich verschwindet. Stattdessen könnte er im Hintergrund aktiv bleiben und etwa das Online-Banking des Opfers manipulieren.

Dabei ist - zumindest derzeit - die Desinfektion relativ einfach: Manchmal reicht es schon, eine einzige Datei zu löschen. Wie das von Fall zu Fall geht, erklärt das Botfrei-Blog , ein gemeinsames Hilfsangebot des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Branchenverbandes eco. Ein wichtiger Internettipp für jeden Nutzer. Denn das beste Mittel gegen die Internet-Erpresser ist noch immer Wissen: Wer die Masche kennt, fällt nicht auf die angeblichen Schreiben von BKA, BP und Gema herein.

Trotzdem: Opfer kann jeder werden - so wie SPIEGEL-ONLINE-Leser Thomas H. Er berichtet, wie er sich einen besonders fiesen Lösegeld-Trojaner einfing - und wie er dem Biest den Garaus gemacht hat.

"Wie ich Opfer eines Lösegeld-Trojaners wurde"

Wie es sich anfühlt, wenn Cyberkriminelle den eigenen Rechner als Geisel nehmen, musste SPIEGEL-ONLINE-Leser Thomas H. Anfang Januar erfahren: "Ich war gerade am Surfen, als plötzlich eine Warnmeldung meinen kompletten PC versperrte: 'Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.'"

Die Meldung ließ sich nicht wegklicken, der Taskmanager war deaktiviert und auch ein Neustart des Windows-Betriebssystems half nicht weiter. Die Warnung tauchte einfach immer wieder neu auf. "Die war echt gut gemacht, wirklich ganz nah an Windows dran", sagt Thomas H. "Da habe ich schon ein wenig Panik bekommen." Daran änderten auch die verqueren Formulierungen der Meldung nichts.

"Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten" sei sein "Computersystem an eine kritische Grenze gekommen, nach der das System zusammenbrechen und die ganzen Dateien verloren gehen können." Aber Rettung sei nah: Für 50 Euro könne er sich ein "kostenpflichtiges Upgrade für besonders infizierte Windowssysteme" herunterladen. Dies beschütze "das System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust."

Das Lösegeld hätte H. mittels einer virtuellen Cash-Währung, deren Geldkarten man an jeder Tankstelle kaufen kann, überweisen sollen. Für H. das klare Signal, dass er gerade Opfer eines Erpressungsversuchs wurde. "Zum Glück hatte ich meiner Freundin neulich erst ein Gastkonto auf meinem Computer eingerichtet, von dem ich jetzt die wichtigsten Daten retten und im Internet nach Hilfe suchen konnte", berichtet er.

Tipps fand er im Internet etliche - aber sie halfen ihm nicht weiter: "In den Trojaner-Selbsthilfeforen verstand ich kein Wort und eine Datenrettung mit einer Linux-Boot-CD hab ich mir nicht zugetraut." Und überhaupt: "Das war ganz schön umständlich, teilweise zog sich der dort vorgeschlagene Prozess über Wochen hin."

Einfacher ging es über eine Website des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Branchenverbandes eco. "Im Grunde musste ich nur eine Exe-Datei löschen." Wie das in diesem und in anderen Fällen funktioniert, erklärt die Seite im Detail. (Anmerkung: Die entsprechende Webseite gibt es in dieser Form nicht mehr.)

Bei H. bleibt trotzdem ein mulmiges Gefühl vorhanden. Zum einen, weil der Trojaner trotz Desinfektion unbemerkt weiterwüten könnte. Zum anderen, weil seine Schutzmechanismen nicht gewirkt hatten: "Ich frage mich noch immer, wie so eine einfache Datei an meinem Virenscanner vorbeikommen konnte."

"Wie viele Leute werden bei einer solchen Methode tatsächlich Geld überweisen, wenn sie schon auf viel stümperhaftere Sachen reinfallen?"

Im Folgenden einige Tipps, wie man einen Lösegeld-Trojaner erkennt - und wie man auf Erpressungsversuche reagieren sollte.

So erkennt man einen Lösegeld-Trojaner

Die Sache ist tatsächlich ganz einfach:

  • Staatliche Stellen oder seriöse Software-Hersteller würden niemals ihren Rechner sperren und nur gegen eine Zahlung wieder freigeben.
  • Staatliche Stellen werden mit Ihnen in so wichtigen Fragen niemals Kontakt via E-Mail oder Internet-Anzeige aufnehmen, sondern nur über einen amtlichen Brief, im Falle des BKA zum Beispiel über einen uniformierten Zusteller.
  • Erkennen Sie die Warnsignale: Seltsame Rechtschreibung und Grammatik, Notfall-Gehabe und Zeitdruck, Appelle an Angst, Schuld und Scham ("Auf ihrem Computer wurden Videodateien mit pornografischen Inhalten, Elementen von Gewalt und Kinderpornografie festgestellt!").

So reagieren Sie richtig auf einen Erpressungsversuch

  • Sie haben keinen Zugriff mehr auf ihren Computer und sehen nur die verdächtige Warnmeldung? Dann behalten Sie vor allen Dingen die Ruhe. Rettung ist nah!
  • Prägen Sie sich die Warnmeldung genau ein und schreiben sie ihren Wortlaut auf.
  • Schalten Sie den betroffenen Rechner aus und verwenden Sie einen sauberen Computer oder bitten Sie einen Freund oder Kollegen um Hilfe.
  • Vergleichen Sie ihre Warnmeldung mit denen auf dem Botfrei-Blog  gesammelten. Für jede Warnmeldung gibt es einen entsprechenden Reinigungsprozess.
  • Folgen Sie den entsprechenden Anweisungen Schritt für Schritt am befallenen Rechner - oder lassen Sie das von jemandem erledigen, der sich damit auskennt.
  • Jetzt ist Vorsicht geboten: Ein einmal infiziertes System kann auch nach der Reinigung noch unbemerkt infiziert sein. Aufklärung und/oder Abhilfe bringt nur eine Tiefenanalyse mit speziellen Boot-CDs, zum Beispiel Desinfec't der Computer-Zeitschrift "c't" .
  • Am besten sichern Sie ihre persönlichen Dokumente, löschen ihre befallene Festplatte gründlich und setzen das Betriebssystem neu auf.

Wichtig ist, dass Sie nun Anzeige erstatten. Keine Sorge, wo Sie gerade im Internet unterwegs waren, müssen Sie niemandem erklären - aber es hilft den Ermittlern weiter.

Eine Trojaner-Infektion ist keine Schande: Internet-Kriminelle können selbst seriöse Webanbieter als Malware-Schleuder missbrauchen . Allein bei der Staatsanwaltschaft Göttingen, die ein Sammelverfahren gegen Ransomware-Erpresser unternimmt, gingen bis Anfang Dezember 2011 über 8000 solcher Anzeigen ein.