Fotostrecke

Webtipp: Wie löscht man einen Lösegeld-Trojaner?

"BKA"-Virus So werden Sie Lösegeld-Trojaner wieder los

Haben BKA, Bundespolizei oder Gema angeblich Ihren Rechner gesperrt? Dann sind Sie wohl Opfer eines Lösegeld-Trojaners geworden. SPIEGEL ONLINE zeigt, wie Sie solche Programme wieder löschen und erklärt die schmutzigen Tricks der Computer-Entführer.
Von Felix Knoke

Die Masche ist so dreist wie lukrativ: Mit präparierten Websites nehmen Cyberkriminelle die Computer von Nutzern als Geisel, versperren ihnen den Zugriff auf ihre Daten und rücken sie nur gegen Zahlung eines Lösegelds wieder heraus.

2011 hat sich dieser Trick zu einer wahren Plage entwickelt. Zehntausende Nutzer in Deutschland bekamen in den vergangenen Monaten angeblichen Internet-Besuch vom BKA, der Bundespolizei, von Microsofts Antipiraterie-Abteilung oder der Gema. Mit unangenehmen Folgen - denn eine Warnmeldung versperrt den Zugang zu den eigenen Dateien: "Wir haben illegale oder schädliche Aktivitäten auf Ihrem Computer entdeckt und ihn deswegen blockiert", behauptet die bildschirmfüllende Warnung, oft in radebrechendem Deutsch. "Gegen Zahlung einer Servicegebühr schalten wir ihn wieder frei."

Ein klarer Fall von Erpressung. Doch weil die Lösegelder oft gering sind, die Trojaner mit Scham, Schuld und Obrigkeitshörigkeit spielen, zahlen viele Opfer trotzdem. Vielleicht auch, weil sie sich denken: "Das Lösegeld kostet 50 Euro, aber die Computerreparatur mindestens 100. Geh ich doch den einfachen Weg."

Die Desinfektion ist relativ einfach

Doch wer zahlt, steht oft nur umso schlechter da: Denn auch nach einer ersten Zahlung geben viele dieser auch Ransomware genannten Lösegeld-Trojaner nicht auf, sondern fordern weitere Überweisungen. Und selbst eine angebliche Selbstlöschung garantiert noch lange nicht, dass der Trojaner wirklich verschwindet. Stattdessen könnte er im Hintergrund aktiv bleiben und etwa das Online-Banking des Opfers manipulieren.

Dabei ist - zumindest derzeit - die Desinfektion relativ einfach: Manchmal reicht es schon, eine einzige Datei zu löschen. Wie das von Fall zu Fall geht, erklärt das Botfrei-Blog , ein gemeinsames Hilfsangebot des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Branchenverbandes eco. Ein wichtiger Internettipp für jeden Nutzer. Denn das beste Mittel gegen die Internet-Erpresser ist noch immer Wissen: Wer die Masche kennt, fällt nicht auf die angeblichen Schreiben von BKA, BP und Gema herein.

Trotzdem: Opfer kann jeder werden - so wie SPIEGEL-ONLINE-Leser Thomas H. Er berichtet, wie er sich einen besonders fiesen Lösegeld-Trojaner einfing - und wie er dem Biest den Garaus gemacht hat.

"Wie ich Opfer eines Lösegeld-Trojaners wurde"

Wie es sich anfühlt, wenn Cyberkriminelle den eigenen Rechner als Geisel nehmen, musste SPIEGEL-ONLINE-Leser Thomas H. Anfang Januar erfahren: "Ich war gerade am Surfen, als plötzlich eine Warnmeldung meinen kompletten PC versperrte: 'Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.'"

Die Meldung ließ sich nicht wegklicken, der Taskmanager war deaktiviert und auch ein Neustart des Windows-Betriebssystems half nicht weiter. Die Warnung tauchte einfach immer wieder neu auf. "Die war echt gut gemacht, wirklich ganz nah an Windows dran", sagt Thomas H. "Da habe ich schon ein wenig Panik bekommen." Daran änderten auch die verqueren Formulierungen der Meldung nichts.

"Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten" sei sein "Computersystem an eine kritische Grenze gekommen, nach der das System zusammenbrechen und die ganzen Dateien verloren gehen können." Aber Rettung sei nah: Für 50 Euro könne er sich ein "kostenpflichtiges Upgrade für besonders infizierte Windowssysteme" herunterladen. Dies beschütze "das System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust."

Das Lösegeld hätte H. mittels einer virtuellen Cash-Währung, deren Geldkarten man an jeder Tankstelle kaufen kann, überweisen sollen. Für H. das klare Signal, dass er gerade Opfer eines Erpressungsversuchs wurde. "Zum Glück hatte ich meiner Freundin neulich erst ein Gastkonto auf meinem Computer eingerichtet, von dem ich jetzt die wichtigsten Daten retten und im Internet nach Hilfe suchen konnte", berichtet er.

Tipps fand er im Internet etliche - aber sie halfen ihm nicht weiter: "In den Trojaner-Selbsthilfeforen verstand ich kein Wort und eine Datenrettung mit einer Linux-Boot-CD hab ich mir nicht zugetraut." Und überhaupt: "Das war ganz schön umständlich, teilweise zog sich der dort vorgeschlagene Prozess über Wochen hin."

Einfacher ging es über eine Website des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Branchenverbandes eco. "Im Grunde musste ich nur eine Exe-Datei löschen." Wie das in diesem und in anderen Fällen funktioniert, erklärt die Seite im Detail. (Anmerkung: Die entsprechende Webseite gibt es in dieser Form nicht mehr.)

Bei H. bleibt trotzdem ein mulmiges Gefühl vorhanden. Zum einen, weil der Trojaner trotz Desinfektion unbemerkt weiterwüten könnte. Zum anderen, weil seine Schutzmechanismen nicht gewirkt hatten: "Ich frage mich noch immer, wie so eine einfache Datei an meinem Virenscanner vorbeikommen konnte."

"Wie viele Leute werden bei einer solchen Methode tatsächlich Geld überweisen, wenn sie schon auf viel stümperhaftere Sachen reinfallen?"

Im Folgenden einige Tipps, wie man einen Lösegeld-Trojaner erkennt - und wie man auf Erpressungsversuche reagieren sollte.

So erkennt man einen Lösegeld-Trojaner

Die Sache ist tatsächlich ganz einfach:

  • Staatliche Stellen oder seriöse Software-Hersteller würden niemals ihren Rechner sperren und nur gegen eine Zahlung wieder freigeben.
  • Staatliche Stellen werden mit Ihnen in so wichtigen Fragen niemals Kontakt via E-Mail oder Internet-Anzeige aufnehmen, sondern nur über einen amtlichen Brief, im Falle des BKA zum Beispiel über einen uniformierten Zusteller.
  • Erkennen Sie die Warnsignale: Seltsame Rechtschreibung und Grammatik, Notfall-Gehabe und Zeitdruck, Appelle an Angst, Schuld und Scham ("Auf ihrem Computer wurden Videodateien mit pornografischen Inhalten, Elementen von Gewalt und Kinderpornografie festgestellt!").

So reagieren Sie richtig auf einen Erpressungsversuch

  • Sie haben keinen Zugriff mehr auf ihren Computer und sehen nur die verdächtige Warnmeldung? Dann behalten Sie vor allen Dingen die Ruhe. Rettung ist nah!
  • Prägen Sie sich die Warnmeldung genau ein und schreiben sie ihren Wortlaut auf.
  • Schalten Sie den betroffenen Rechner aus und verwenden Sie einen sauberen Computer oder bitten Sie einen Freund oder Kollegen um Hilfe.
  • Vergleichen Sie ihre Warnmeldung mit denen auf dem Botfrei-Blog  gesammelten. Für jede Warnmeldung gibt es einen entsprechenden Reinigungsprozess.
  • Folgen Sie den entsprechenden Anweisungen Schritt für Schritt am befallenen Rechner - oder lassen Sie das von jemandem erledigen, der sich damit auskennt.
  • Jetzt ist Vorsicht geboten: Ein einmal infiziertes System kann auch nach der Reinigung noch unbemerkt infiziert sein. Aufklärung und/oder Abhilfe bringt nur eine Tiefenanalyse mit speziellen Boot-CDs, zum Beispiel Desinfec't der Computer-Zeitschrift "c't" .
  • Am besten sichern Sie ihre persönlichen Dokumente, löschen ihre befallene Festplatte gründlich und setzen das Betriebssystem neu auf.

Wichtig ist, dass Sie nun Anzeige erstatten. Keine Sorge, wo Sie gerade im Internet unterwegs waren, müssen Sie niemandem erklären - aber es hilft den Ermittlern weiter.

Eine Trojaner-Infektion ist keine Schande: Internet-Kriminelle können selbst seriöse Webanbieter als Malware-Schleuder missbrauchen . Allein bei der Staatsanwaltschaft Göttingen, die ein Sammelverfahren gegen Ransomware-Erpresser unternimmt, gingen bis Anfang Dezember 2011 über 8000 solcher Anzeigen ein.

Mehr lesen über

Computersicherheit Internetkriminalität Computerviren Ransomware

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
12 Bilder Webtipp: Wie löscht man einen Lösegeld-Trojaner?
1 / 12

Falsche Warnung: Hinter dieser "offiziellen Mitteilung des Bundeskriminalamts" verbirgt sich eine Variante des sogenannten BKA-Trojaners, die mit Logos von Behörden, Antivirus-Unternehmen und Tankstellen-Ketten Vertrauen zu schaffen versucht. Lösung für Windows XP, Windows Vista, Windows 7 .

2 / 12

Schiefe Sätze: "Es ist die ungesetzliche Tätigkeit enthüllt!" Rechtschreib-, Zeichensetzungs- und Grammatikfehler sollten Warnung genug sein, nicht auf diese BKA-Trojaner-Variante hereinzufallen. Lösung für Windows XP, Windows Vista, Windows 7 .

3 / 12

Panik auf Denglisch: "Das Betriebssystem wurde im Zusammenhang mit Verstößen gegen die Gesetze der Bundesrepublik Deutschland gesperrt!" - Terror, Kinderpornografie, Spam, diese Warnung greift tief in die Angstmacher-Trickkiste. Lösung für Windows XP , Windows Vista , Windows 7 .

4 / 12

Geldstrafen und Tankstellen: "Ihr Computer ist wegen Verstöße gegen die Gesetzgebung der Bundesrepublik Deutschland gesperrt." Lösung für Windows XP , Windows Vista , Windows 7 .

5 / 12

Wirkt wie Windows: "Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert." Auf diese täuschend echte Windows-Warnung fiel SPIEGEL-ONLINE-Leser Thomas H. beinahe rein. Abhilfe fand er hier: Für Windows XP , Windows Vista , Windows 7 .

6 / 12

Piraterie-Panik: "Die Echtheit Ihrer Windows-Kopie wurde automatisch überprüft und nicht bestätigt." Auf einer zwielichtigen Website soll sich das Opfer eine neue Windows-Seriennummer kaufen und damit diese Warnung abschalten. Löschhilfe gibt es für alle Windows-Versionen zum Beispiel mit dieser Antivirus-CD .

7 / 12

Die Bundespolizei warnt: "Ein Vorgang illegaler Aktivitäten wurde erkannt." Seit wann treibt die Bundespolizei mit Hilfe einer virtuellen Cash-Währung Geldbußen ein? Lösungshilfen für die Trojaner-Löschung gibt es im Support-Forum von BKA-Trojaner.de .

8 / 12

Bildschirm-Foto: "Ein Vorgang illegaler Aktivitäten wurde erkannt." Dies ist noch eine Variante des BKA-Trojaners, der mit der Bundespolizei für seine Glaubwürdigkeit wirbt. Hilfe gibt es im Support-Forum von BKA-Trojaner.de .

9 / 12

Windows Schwarz-Rot-Gold: "Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert." Wie eine Windows-Fehlermeldung zur WM - ob die Bordüre Vertrauen wecken soll? Der Warntext jedenfalls soll beschämen - und vom Gang zur Polizei abhalten. Lösungshilfe für Windows XP , Löschtipps im Forum von BKA-Trojaner.de .

10 / 12

Raubkopien-Verfolgung: "Auf Ihrem Computer wurden illegal heruntergeladene Musikstücke ("Raubkopien") gefunden." Die gefundenen Raubkopien seien "verschlüsselt und in ein geschütztes Verzeichnis kopiert" worden. Eine Umkehr kostet 50 Euro - oder einen Besuch dieser Löschhilfe für Windows XP oder Windows Vista   und Windows 7 .

11 / 12

Bezahlung mit Ukash: "Der Zugang zu Ihrem Computer wurde gesperrt." Eine Variante des Gema-Trojaners. Löschhilfe im BKA-Trojaner-Forum .

12 / 12

Schweizer Eidgenossenschaft: "Das Betriebssystem wurde im Zusammenhang mit Verstoß! en gegen die Gesetze der Schweiz gesperrt!" Eine windschiefe Schweizer Fahne, das eidgenössische Wappen und diverse andere Logos sollen verdeutlichen: "Her mit dem Franken!" Löschhilfe gibt's im Botfrei-Blog .

Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten