# Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz



## Rüdiger Kunz (13 April 2011)

Newsfeed schrieb:


> Immer öfter verlangen Schädlinge Lösegeld für die  Wiederherstellung der Daten ihres Opfers. Ein aktuelles Exemplar  verlangt eine Reaktivierung von Windows über eine teure Hotline-Nummer.
> 
> Weiterlesen...


Schweinebacken im Internet!
heise online - IT-News, c't, iX, Technology Review, Telepolis


----------



## Captain Picard (13 April 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Der direkte Link  auf den Artikel >> heise online - Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz

Sinnvoll wäre es gewesen, die Infektionsquelle  (ob über Emailanhang  oder HP ) 
zu beschreiben. 
So nützt der Artikel ziemlich wenig, vor allem den Betroffenen nicht.


----------



## Heiko (14 April 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Leider gewinnen diese Ransom-Trojaner immer mehr Boden. Die Entwicklung ist nicht gut...


----------



## Captain Picard (17 April 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Lösegeld-Trojaner - Neue Abzocke im Netz | hr3 | hr

Audio  Lösegeld-Trojaner - Neue Abzocke im Netz | hr3 | hr

im Prinzip das was bei heise steht


----------



## Captain Picard (21 April 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Lösegeld-Trojaner  sind "in" .
Polizeipresse: Landeskriminalamt Schleswig-Holstein - LKA-SH: Erpressung über Schadsoftware: Bereits neun Fälle in Schleswig-Holstein


> Kiel (ots) - Nachdem das Bundeskriminalamt bereits Anfang April gemeinsam mit der Bundespolizei vor einer aktuellen Erpressungsvariante über einen aggressiven Computervirus gewarnt hatte, gibt es nun auch erste Fälle in Schleswig-Holstein.


und   als BKA Fake 
Verbraucherzentrale Sachsen-Anhalt : Online - Kriminelle legen PC lahm und fordern Strafgeld


> Unter Missbrauch des Namens des Bundeskriminalamtes versuchen Online-Kriminelle derzeit auch Verbraucher Sachsen-Anhalts mit nahezu erpresserischen Methoden abzuzocken. Ein Trojaner sperrt das Betriebssystem des heimischen PC und behauptet in einer angeblich "offiziellen Mitteilung des Bundeskriminalamtes", dass durch die Bundespolizei ein Vorgang illegaler Aktivitäten erkannt worden sei.


In allen Meldungen fehlt jeglicher Hinweis, auf welchen Wegen die Trojaner verbreitet werden


----------



## Captain Picard (13 Mai 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Video: Lösegeld für den eigenen Rechner | c't-TV


> Erpressung aus dem Netz
> Lösegeld für den eigenen Rechner


----------



## Captain Picard (19 Mai 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Computervirus mit BKA-Logo: Polizei warnt vor Interneterpressern - Computer - FOCUS Online


> Donnerstag, 19.05.2011, 15:56  Computervirus mit BKA-Logo
> Bundeskriminalamt und Bundespolizei warnen vor einem Computervirus, mit dem Internetnutzer erpresst werden. Betroffene sollen Geld wegen angeblicher Terror-Mails zahlen, ansonsten werde ihre Festplatte gelöscht...
> ...
> Bei dem Virus handelt es sich um die neue Variante einer Schadsoftware, vor der bereits am 1. April gewarnt wurde.


Und  wieder nur diese diffuse  völlig nichtssagende  "Information" 


> Die Software lädt sich beim Surfen automatisch herunter und installiert sich selbstständig auf dem infizierten Computer.


tomatisch...


----------



## Goblin (19 Mai 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Ohne eigenes zutun kann sich keine Software "von alleine" installieren. Im Net nicht jeden Mist anklicken und Hirn 1.0 nutzen,dann passiert sowas auch nicht


----------



## Captain Picard (19 Mai 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Meine persönliche Vermutung geht in Richtung Spammails. Viele Menschen können es einfach nicht lassen auf jeden Müll zu klicken und  das ohne  jeden Virenscannerschutz.

Über normale Suche in Google  auf solche Seiten zu geraten halte ich für sehr viel geringer, 
bzw  eher unwahrscheinlich  und  wie sonst soll denn Otto Normalo auf solche Seiten geraten? 

PS: Eine Möglichkeit sind schlecht  moderierte  Foren in  denen  Spambots ihren 
Unrat hinterlassen, aber auch da  gilt das Gebot nicht jeden Link anzuklicken.


----------



## Unregistriert MJ (11 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

den PC meines Sohnes hat es erwischt.

hier die Seite nach dem Windows-Start:

http://s7.directupload.net/file/d/2552/b63rrq7f_jpg.htm
http://s7.directupload.net/images/110611/temp/b63rrq7f.jpg

Ein Problem bei uns ist es aber nicht, der PC wird eh ausser Betrieb genommen, andernfalls hätte ich Windows neu installiert.


----------



## Heiko (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Unregistriert MJ schrieb:


> andernfalls hätte ich Windows neu installiert.



Damit ist es leider nicht getan, das Drecksding ist hartnäckig.


----------



## Hippo (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Wo sitzt das Tierchen denn noch?
Windows formatiert ja standardmäßig die Platte.
Gab ja mal so Schnupfentierchen die im MBR oder im FlashBIOS saßen.
Gehört der da auch dazu?


----------



## Aka-Aka (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

[offtopic]


> Die international erfolgreiche Online-Zahlungsmethode Ukash meldet eine Vervierfachung des Deutschlandgeschäfts über die letzten 24 Monate. Die bemerkenswerte Entwicklung innerhalb der Bundesrepublik bestätigt die steigende Nachfrage nach alternativen Zahlungsmöglichkeiten, mit denen Konsumenten im Internet durch den Einsatz von Bargeld sicher bezahlen können.


Quelle: Ukash

Das ist natürlich nicht alles auf die Betrüger zurückzuführen, die UKash nutzen


----------



## Antiscammer (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Hippo schrieb:


> Windows formatiert ja standardmäßig die Platte.



Da ist so nicht gesagt. Je nach Art und Weise, wie der Re-Install durchgeführt wird, kann es sein, dass nur "drüberinstalliert" wird. Neuformatieren der Festplatte muss in den Install-Optionen extra mit angewählt werden.

Außerdem gibt es noch Bootsektor-Viren, die müssen unabhängig von der Formatierung mit dem fixmbr-Befehl entfernt werden.
Beschreibung der Windows XP-Wiederherstellungskonsole für fortgeschrittene Benutzer


----------



## Aka-Aka (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Wenn Du den PC eh nicht mehr brauchst, bring ihn doch zur Polizei. Vielleicht hat ja dort jemand Lust, da zu ermitteln die Nutznießer der Mehrwertnummern rauszukriegen  [nach Hinweis korrigiert]

[Rest editiert, Ausführungen zu einem vergleichbaren Fall, hier aber unpassend]


----
Video - "Windows Activation" Ransom Trojan - F-Secure Weblog : News from the Lab


> The numbers:
> 
> •  002392216368
> •  002392216469
> ...


und genau da hörte F-secure auf. Da würde Polizeiarbeit beginnen. ...


----------



## Reducal (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Aka-Aka schrieb:


> ....die Nutznießer der Mehrwertnummern rauszukriegen


Was haben Mehrwertnummern mit der Abrechnung via Ucash-Code zu tun? Wo bietet der Lösegeld-Trojaner ausländische Mehrwertnummern an?


----------



## Aka-Aka (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Reducal schrieb:


> Was haben Mehrwertnummern mit der Abrechnung via Ucash-Code zu tun?


Da habe ich ungenau geschrieben... im konkreten Fall hat das nichts damit zu tun, aber UKash-Abrechnung könnte ja eine Neuversion der gleichen "Anbieter" sein. Es bräuchte halt eine koordinierte Stelle, die solche Fälle an sich zieht (oder aufgedrückt bekommt). Aber wem sage ich das?
Ich hab nicht detailliert nachgelesen, ob das dieselben Täter(gruppen) sind/sein könnten.


----------



## Reducal (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Genau wegen dem 





Aka-Aka schrieb:


> könnte


sind Ermittlungen unmöglich, da es dafür sicher keine Ressourcen gibt.





Aka-Aka schrieb:


> Es bräuchte halt eine  koordinierte Stelle, die solche Fälle an sich zieht (oder aufgedrückt  bekommt).


Tja


Aka-Aka schrieb:


> ...wem sage ich das?


:scherzkeks:

Es gibt keine Stelle, die das bearbeiten könnte/sollte/müsste, zumindest nicht im aktuellen Deutschland 2.0! :unzufrieden:


----------



## Aka-Aka (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Ich habe das mal rausgelöscht, zur Verwirrungsreduzierung.

Ah, ich hab da einen Fehler... Aus irgendeinem Grund hatte ich offenbar ein Bild, nahezu identisch mit dem Bild des betroffenen users hier, aber abgespeichert mit ransom_erpressung, daher dachte ich, das sei die selbe Sache, zumal es hier im selben Thread auftauchte.

Ansonsten bleibt alles  gültig. Ukash will in Deutschland sein Geschäft erweitern, dann sollen die Jungs auch anständig mit den Behörden zusammen arbeiten. Da muß es doch Möglichkeiten geben...

Ukash| Ukash meldet Rekordwachstum in Deutschland: Verkäufe innerhalb von zwei Jahren um 400% gestiegen - Ukash

und der Chef hat auch Erfahrungen:


> Prior to joining Smart Voucher he worked for Wanadoo, as Head of Paid for Services. Previously, he was COO of Paybox UK, an investment of Deutsche Bank



ich dachte, das wären Russen... die hießen aber anders...


----------



## Aka-Aka (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Captain Picard schrieb:


> Lösegeld-Trojaner  sind "in" .
> Polizeipresse: Landeskriminalamt Schleswig-Holstein - LKA-SH: Erpressung über Schadsoftware: Bereits neun Fälle in Schleswig-Holstein
> 
> In allen Meldungen fehlt jeglicher Hinweis, auf welchen Wegen die Trojaner verbreitet werden





> 16/04/2011 um 09:44Also Leute zusammenfassend kann man sagen:
> 1. Avira AntiVir versagt bei diesem Virus und
> 2. er ist gegenwärtig *u.a. auf Kino.To zu finden, denn meine sis* [Anm. für Ü30: sis = "Schwester"] hat ihn auch von da
> LG, Geo


tja. Hat das BKA denn zufällig damals schon kino.to überwacht? 

dann könnte man dazu doch was sagen


---

http://www.gutefrage.net/frage/bundeskriminalamts-meldung-wegben-kinoto-



> HILFE !!! *meine schwester hat sich auf kino.to* eine alte folge von Oc California oder so angeschaut und dann schlossen sich alle Programme und eine meldung kam die ungefähr so lautet
> 
> Überschrift : offizielle warnung des bundes Kriminalamts (in nem grünen kästchen mit )
> 
> Auf ihrem Computer wurden Illegale Aktivitäten festgestellt und ihr system wurde gesperrt


am 27.5.2011

noch einmal, falls jemand das BKA kennt... Vielleicht hat man ja zufällig kino.to überwacht und könnte mehr dazu sagen.



> Ukash BKA Trojaner
> 
> Hallo ich hab ein echtes Probelm!
> 
> Also zunächst mal wie ich an den kack Trojaner gekommen bin. War auf einer *Partnerstreamingseite von kino.to* und hab mir über eine pop-up Werbung den Trojander zugelegt.


(Quelle: gulli)

ich mein das natürlich ernst, nicht dass jmd anderes vermutet. Es könnte doch Erkenntnisse dazu geben. könnte. jaja.


----------



## Heiko (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Hippo schrieb:


> Wo sitzt das Tierchen denn noch?
> Windows formatiert ja standardmäßig die Platte.
> Gab ja mal so Schnupfentierchen die im MBR oder im FlashBIOS saßen.
> Gehört der da auch dazu?


Du kannst auch installieren ohne zu formatieren.


----------



## Heiko (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Aka-Aka schrieb:


> [offtopic]
> 
> Quelle: Ukash
> 
> Das ist natürlich nicht alles auf die Betrüger zurückzuführen, die UKash nutzen


Nicht nur. Aber zu einem satten Anteil.


----------



## Heiko (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Reducal schrieb:


> zumindest nicht im aktuellen Deutschland 2.0! :unzufrieden:



Fachlich sind wir leider immer noch oft bei 0.5.


----------



## Aka-Aka (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

xxxxx


----------



## Hippo (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*



Heiko schrieb:


> Du kannst auch installieren ohne zu formatieren.



Richtig, ich vergaß daß das etliche machen.
Für mich ist der Standard die Formatierung, schon alleine um zumindest einen groben Test der FP zu haben


----------



## Heiko (12 Juni 2011)

*AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*

Ist allerdings ein sehr grober.


----------



## Manistrator (7 August 2011)

Captain Picard schrieb:


> *AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*
> 
> Lösegeld-Trojaner  sind "in" .
> Polizeipresse: Landeskriminalamt Schleswig-Holstein - LKA-SH: Erpressung über Schadsoftware: Bereits neun Fälle in Schleswig-Holstein
> ...




Also, ich war weder auf Kino.to unterwegs, noch habe ich unvorsichtig irgendwelche sinnlosen Mailanhänge aufgemacht. Die kommen bei mir erst gar nicht an. Trotzdem hab ich mir den Rotz auf den Rechner geholt. Meine letzte Seite, welche ich noch öffnen konnte, war deviantart.com und die ist weder illegal noch sonstwie anrüchig. Und mittendrin OHNE dass ich was installiert habe, ging dieses Fenster auf und jetz habe ich den Dreck an der Backe. 
und nein, kommt mir nicht mit, du musst was installiert haben. 
Das Problem ist, wie bekomme ich den schund jetzt wieder weg, bzw stimmen solche Berichte wie im Spiegel, dass dieser Schädling wirklich die Platte verschlüsselt und nur noch ein Format c incl. Neuinstallation hilft ???

Gruß Mani


----------



## Reducal (7 August 2011)

Es passieren im Hintergrund zu diversen Browseraktivitäten so viele Funktionen, dass es durchaus möglich ist, dass du aktiv gar nicht tätig warst.


Manistrator schrieb:


> Das Problem ist, wie bekomme ich den schund jetzt wieder weg ???
> 
> 
> > Neuinstallation


So isses! Alles andere macht anscheinend wenig Sinn oder es verbleiben womöglich schädliche Fragmente auf dem System, so dass eine Wiederholung durchaus möglich ist.


----------



## Drykell (7 August 2011)

Hab mir dieses Ding auch auf Deviantart eingefangen. Hab es geschafft den Task-Manager nach dem Reboot zu öffnen und den Prozess "ja..." zu beenden. Daraufhin hab ich die Systemwiederherstellung zum 5.August durchgeführt. Das reicht wohl nicht, oder? Kann ich jetzt noch meine Daten retten, bevor ich neu formatiere, oder sind die dann eventuell auch verseucht? Ich versuche es derweil noch mit dem Malware-Scanner...

Drykell


----------



## johinos (7 August 2011)

Meist klappt es, den PC im abgesicherten Modus zu starten, ansonsten mit einer Live-CD, und man kann erstmal an evtl. benötigte Dateien.

Ansonsten:
http://blog.botfrei.de/2011/07/anle...mware-mithilfe-der-kaspersky-rescue-disk-krd/

Diese Empfehlung gilt natürlich nur für die bis zum Veröffentlichungszeitpunkt bekannten Versionen. Was die aktuellste Version alles mit dem Rechner anstellt und ob deshalb eine Neuinstallation nötig ist, das wird wahrscheinlich erst nächste Woche klar sein...


----------



## JiNx (8 August 2011)

also mich hats eben aufm laptop erwischt -.- son rotz lasse gerade im abgesicherten modus meinen virenscaner durchlaufen mal sehen obs was bringt....
ich war auch auf auf keinen prono-seiten etc mache regelmäßig nen virenscan der letzte war gestern -.- und eben als ich auf der seite vom kleiderkreisel war bekomm ich ne meldung mailware gefunden und als ich auf entfernen klicke  wars auch schon zu spät -.- hoffe mal das ich das problem im abgesicherten modus beheben lässt...aufm meinem laptop ist win 7 professionel vorinstaliert also kann ichs gar nicht neu drauf amchen -.-


----------



## Heiko (8 August 2011)

Ich empfehle folgende Vorgehensweise:

An einen *sauberen* Rechner gehen
Download und Brennen von folgender CD: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/
Download und Brennen von folgender CD: http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
Rechner per Kabel an den Router anschließen!
Mit der Kasperky-CD starten und diese updaten. Am besten im Textmodus laufen lassen, der grafische macht gerade bei Notebooks ab und zu Probleme.
Rechner komplett scannen lassen. Gefundene Viren löschen.
Mit der F-Secure Disk starten und diese Update. Falls das nicht geht, http://download.f-secure.com/latest/fsdbupdate9.run herunterladen und die Datei auf einen USB-Stick kopieren und den beim Booten drin lassen.
Rechner komplett scannen lassen. Gefundene Viren löschen.
Daten sichern (Rechner sollte wieder booten).
Rechner komplett neu installieren
Vernünftigen Virenscanner installieren (komischerweise haben sehr viele Opfer der Ransomware den kostenlosen Avira installiert gehabt).
Daten zurückspielen
*Das hat bislang immer geklappt, trotzdem sind Datenverluste möglich. Die Nutzung der Anleitung geschieht ausdrücklich auf eigene Gefahr!*


----------



## JiNx (8 August 2011)

als....

eine frage hab ich die links die eben genannt worden, ist es notwendig kasperski als virenscaner zu haben?

ich hab mir jetzt noch einen 2. virenscaner auf den rechner gespielt, bis jetzt kurrioserweise kein fund...
hab im abgesicherten modus nen virenscan gemacht und auch da wurde nichts gefunden. habe dann den rechner zurück gesetzt per systemwiederherstellung. jetzt läuft der virenscan wieder bisjetzt auch kein fund.

was kann ich denn machen um wirklich sicher sein zu können das mein rechner nicht mehr von diesem mistigen trojaner befallen ist, ich hab keinen bock meine ganzen dateien zu verlieren zumal ich ja ein vorinstalliertes win 7 hab und ich zugegeben nicht weiß wie das dann ist wenn win7 wieder installiert werden muss.


----------



## Heiko (9 August 2011)

Nein, die Links oben gehen auch ohne Abo. Das sind kostenlose Serviceleistungen der Anbieter.
Ein zweiter Scanner auf dem Rechner ist nicht sinnvoll, man sollte bei einem Exemplar bleiben.

Normalerweise gehen bei der Vorgehensweise wie oben beschrieben keine Daten verloren, ich hab das schon etliche Male durchgezogen. Eine Garantie gibts freilich nicht.

Normalerweise sollte doch bei Deinem PC eine Wiederherstellungs-DVD oder -Partition vorhanden sein. Damit müsste das in vertretbarer Zeit zu erledigen sein.


----------



## Devilfrank (9 August 2011)

Eins muss jedoch klar sein bei all den Rettungsversuchen. Wenn es sich um die aktuelle Variante des "GPCode" handelt, werden die AV-Lösungen zwar den Trojaner vom System schmeißen, die durch den Trojaner verschlüsselten Dateien sind jedoch nach wie vor verloren.
http://www.securelist.com/en/blog/6165/Ransomware_GPCode_strikes_back


> The encrypted files cannot be recovered because of the strong cryptography employed.



Insofern würde ich da gar nicht erst mit Antivirenscannern rummachen, sondern gleich das System komplett neu aufsetzen, um sicher zu gehen.

Ein Wort noch zu deviantart.com. Die Infektion dort geschieht durch sogenannte "Drive-By-Downloads" über eingeblendete Werbung. Hier wird Javascript automatisch ausgeführt und die hier befallenen Systeme waren so eingestellt, dass das ohne Nachfrage sofort ausgeführt wurde. Peng! Hier heißt es künftig mehr an die Browsersicherheit zu denken.


----------



## Heiko (9 August 2011)

Die verschlüsselnde Variante hatte ich bislang nicht in den Fingern. Die scheint (noch) nicht allzu verbreitet.


----------



## Devilfrank (10 August 2011)

Die soll es aber sein, die zunehmend für den "deutschen Markt" re-aktiviert wurde. Ich finds nimmer, wo ich das gelesen hab...


----------



## Bordsteinfalke (13 August 2011)

Hai,

mich hat der Virus gerade eben erwischt. Ich war gerade dabei ein Lied von Enya auf YOUTUBE zu hören, als das Ding zugeschlagen hat. Ich habe gerde gestern meine Virenschutzprogramme ( ja ich habe sogar zwei) aktualisiert und habe garantiert keine Mailanhänge geöffnet. Wem nützt es? Und da prangt einem als erstes der englische Bezahldienst „uKash" entgegen. Da stecken also mit 90-prozentiger Sicherheit nicht die Russen sondern die [xxx] dahinter. Kündigt alle eure uKash Accounts - zeigtst den [xxx]!

[modedit by Hippo: Diese Ausdrucksweise ist unerwünscht]


----------



## Hippo (13 August 2011)

Zwei Virenschutzprogramme ist nicht unbedingt der Weisheit letzter Schluß. Oft behindern die sich gegenseitig. Und zu Deinem Vorwurf Ukash gegenüber - wenn also ein Killer ein Messer von WMF verwendet ist also WMF schuld? Ukash ist ein anonymer Bezahldienst, nicht mehr und nicht weniger Genausogut könnte das über Moneygram oder Western Union abgewickelt werden


----------



## Heiko (13 August 2011)

Ich möchte das mal unterstützen: zwei Antivirenprogramme gleichzeitig installiert ist Quatsch (im besten Fall) oder sorgt dafür, dass der Rechner überhaupt nimmer läuft (im schlechtesten Fall).
Und Ukash wird da auch nur missbraucht. Da könntest Du genauso mutmaßen, dass die Kohle in Wirklichkeit ans BKA geht...


----------



## Hippo (14 August 2011)

Heiko schrieb:


> ... dass die Kohle in Wirklichkeit ans BKA geht...



SO finanzieren die sich also ...


----------



## Trijecho (23 August 2011)

Hallo zusammen,

nun hat mich der Virus auch gerade erwischt. Auch ich war auf Deviantart und hab dort munter etwas gesucht. Ich bin fast vom Stuhl gefallen, so schockiert war ich als dieses Ding aufging. Glücklicherweise legte sich der Schreck als ich das mit Paysafecard und Ukash gesehen habe.

Aber das Problem ist, wie kann ich über den Task-Manager und dem Explorer eine Systemwiederherstellung machen? In der Systemsteuerung wird das öffnen der Verlinkung Taskleisten&Startmenü geblockt.

Verzweifle gerade :/


----------



## Trijecho (23 August 2011)

Ich nochmal,

also nachdem mein Malwarebytes 2 Dateien gekillt hat und ich einen Wiederherstellungspunkt von vor 2 Tagen eingespielt habe, scheint alles auf den ersten Blick wieder richtig zu laufen und zu funktionieren.

Grüße.


----------



## Thaliel (23 August 2011)

Hallo allerseits, mal wieder hier.
Also ich bin premiummitglied bei deviantart, was beudetet dass ich keine werbung zu sehen bkeomme in der sich viren verstecken könnten. DA selbst schreibt ja breits dass sie den kampf gegen bösartigen werbeanzeigen aufgnommen haben.Generell kann man wohl sagen dass es sich eomfiehlt, einen werbeblocker (adblockplus oder ähnliche) zu verwenden und evtl auch noch flashblock für animierte anzeigen.


----------



## Bento (23 August 2011)

Hallolöle....

Hat schon jemand Info darüber ob und welcher Virenscanner diese Schädlinge erkennt oder erahnt und deren Einnistung verhindert?


----------



## Devilfrank (24 August 2011)

Das kann man so nicht sagen. Es ist das ewige Wettrennen...
Wichtiger ist, Javascript nicht überall und jederzeit zuzulassen. Entweder wie schon beschrieben AddOns nutzen oder generell verbieten und nur auf den Seiten zulassen, die einem sicher erscheinen.


----------



## Heiko (24 August 2011)

Allein das Firefox-AddOn "NoScript" ist schon deutlich mehr als die halbe Miete!


----------



## Heiko (24 August 2011)

Trijecho schrieb:


> Hallo zusammen,
> 
> nun hat mich der Virus auch gerade erwischt. Auch ich war auf Deviantart und hab dort munter etwas gesucht. Ich bin fast vom Stuhl gefallen, so schockiert war ich als dieses Ding aufging. Glücklicherweise legte sich der Schreck als ich das mit Paysafecard und Ukash gesehen habe.
> 
> ...


Es gibt Varianten des Virus, die nicht sofort zuschlagen, sondern erst nach einiger Zeit. Insofern kann kein direkter Bezug zwischen deviantart und dem Schädling hergestellt werden.


----------



## Reducal (25 August 2011)

Heiko schrieb:


> Allein das Firefox-AddOn "NoScript" ist schon deutlich mehr als die halbe Miete!


Nur, funktioniert dann das Internet nicht mehr in gewohnter Weise. Shoping ist kaum mehr möglich (z. B. bei Amazon, Produktauswahl in Unterframes)


----------



## Heiko (25 August 2011)

Reducal schrieb:


> Nur, funktioniert dann das Internet nicht mehr in gewohnter Weise. Shoping ist kaum mehr möglich (z. B. bei Amazon, Produktauswahl in Unterframes)


Schon, man muss halt gezielt und dosiert freischalten.


----------



## Hippo (25 August 2011)

Das Problem dabei ist nur, wenn dann unbedarfte auch drankommen, die schalten halt erstmal wieder alles frei. Ich kenn da auch jemand ...


----------



## Bento (25 August 2011)

Naja, die Addons habe ich und nur wenige Seiten (wie z.B. diese hier) sind ganz freigeschaltet. Aber was, wenn eine Seite plötzlich infiziert ist, die man schon dutzendemale besucht hat? Darum ging es mir genauer gesagt.


----------



## Heiko (25 August 2011)

Das kann leider immer passieren. Wie gesagt: die Masse der verseuchten Seiten sind "ganz normal" - bis auf die Malware eben.


----------



## Devilfrank (26 August 2011)

Bento schrieb:


> Naja, die Addons habe ich und nur wenige Seiten (wie z.B. diese hier) sind ganz freigeschaltet. Aber was, wenn eine Seite plötzlich infiziert ist, die man schon dutzendemale besucht hat? Darum ging es mir genauer gesagt.


Da helfen nur grundsätzliche Überlegungen zur Absicherung des Betriebssystems.
Grundsatz:
Surfen im Internet nur im eingeschränkten Konto, dann kann sich der Mist nicht einfach installieren (fehlende Rechte).
WXP = entweder das Gastkonto nutzen oder ein zusätzliches Konto ohne Adminrechte einrichten
Vista/W7 = wie XP oder zumindest LUA eingeschaltet bzw. auf höchster Stufe lassen. Browser verwenden, der in einer eigenen Sanbox läuft (Chrome/ IE9) und ein Antivirenprogramm installieren, dass auch Systemveränderungen erkennt und abfängt (Norton, MSE, Avast und sicher noch einige mehr).


----------



## Kakashi25190 (26 August 2011)

Ich hab den blöden Hirnrissen Trojaner jetzt auf dem Lappi- wieso? keine ahnung-ich habe NICHT hirnlos im Internet rumgehangen, habe bloß zwei Seiten geöffnet, die ich immer öffne (DeviantArt und Web.de)- in irgendeiner muss er dringehangen haben-oder in deren Anhängen, wobei ich KEINE E-Mail geöffnet habe und bei DeviantArt nichts heruntergeladen habe. Also entweder hat er sich weiterentwickelt oder er hängt schon in den Seiten selber drin. Oder in AntiVir- das war das einzige Programm das zu derzeit gerade ein Update gemacht hat. Sonst-keine Downloads wie gesagt und ZACK war es trotzdem drauf! Ich hoffe das ich das Problem gelöst bekomme.


----------



## Nutzlosbranche (27 August 2011)

Bei einem Nachbarn den es ebenfalls vor Wochen mal erwischt hatte, er weiß nicht wie, benutzt den IE, hatte so einige Sicherheitsupdates für Windows verpennt, habe ich den PC mit Vista im abgesicherten Modus hochgefahren, den Befehl aus dem Autostart entfernt, den da steht der Pfad drinnen wo die Datei zur .exe steckt welche beim hochfahren geladen wird, dort im Zielpfad die EXE gelöscht, in der Registry nach den Einträgen mit dieser EXE gesucht und diese entfernt. PC neu gestartet und siehe da, der PC zeigte diese Fake-BKA-Meldung nicht mehr an.


----------



## Heiko (27 August 2011)

*AUA*

Gefährliche Sache. Man weiß nie, was da noch an Seiteneffekten vorhanden ist und welche Schädlinge zusätzlich installiert wurden.


----------



## Hippo (27 August 2011)

Nummer 1-Aktion >>> sofort Daten sichern solange es geht
Nummer 2-Aktion >>> Platte plätten und neu aufsetzen


----------



## joerg06101980 (19 September 2011)

JiNx schrieb:


> als....
> 
> eine frage hab ich die links die eben genannt worden, ist es notwendig kasperski als virenscaner zu haben?
> 
> ...


Bei vorinstalierten windows7 musst du dir eine backup kopie machen. Dazu brauchst du  einen mindestens16gb großen usbspeicher zumindest bei underem netbook.
wie das genau geht findest du in der betriebsanleitung die auf dem rechner abgespeichert sein sollte.


----------



## Reducal (19 September 2011)

joerg06101980 schrieb:


> betriebsanleitung die auf dem rechner abgespeichert sein sollte.


Ah ja echt? Woher aber nehmen, wenn der Rechner sonst schon keinen Mucks mehr macht!

Passt zum Thema:

http://www.viruslist.com/de/weblog?weblogid=207319504
http://support.kaspersky.com/de/faq/?qid=208641247


----------



## Heiko (21 September 2011)

Das Problem mit dem BKA-Trojaner (der mich in den letzten Tagen mal wieder beruflich beansprucht hat) ist, dass es meistens die Leute komplett unvorbereitet trifft. Keine Sicherung, oft Antivir free als Virenscanner, treuer Kuh-Augen wenns passiert ist.
*Leute, macht Euch vorher Gedanken!*

*Schaut Euch zum Beispiel mal das an: *http://www.edv-buchversand.de/f-secure/url.php?cnt=online-backup

Das ist Fire-and-Forget und kann Euch viele Schweißperlen für nen Appel und ein Ei ersparen.


----------



## Gondoe12 (19 November 2011)

Aka-Aka schrieb:


> *AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*
> 
> [offtopic]
> 
> ...



leider bin ich in die Falle reingelegt worden.Habe bei Ukash und der Polizei Anzeige erstattet.Wegen Versuchten Betruges und Nötigung.Ukask hat sofort das Konto gespert.Habe eine zurückerstatung beantragt.Habe schon gleich Antwort erhalten, deshalb gebe ich Ukash nicht die schuld sondern mich ich war zu leichtg reinzu legen.


----------



## Hippo (19 November 2011)

Halte uns da bitte auf dem Laufenden ob Ukash tatsächlich zurückerstattet hat.
Ich kann mir das nämlich absolut nicht vorstellen


----------



## Reducal (19 November 2011)

Gondoe12 schrieb:


> Ukask hat sofort das Konto gespert.


Welches Konto denn? Könntest du die Nachricht von Ukash hier mal rein kopieren? Die könnten nämlich lediglich den einen Code sperren, mehr nicht.

Ukash selbst auf seiner Seite:http://www.ukash.com/de/de/alerts/betrug-im-namen-der-gema-–-senden-sie-kein-ukash.aspx


			
				Ukash schrieb:
			
		

> 03.11.2011
> 
> *Betrug im Namen der GEMA – SENDEN SIE KEIN UKASH*
> 
> ...


----------



## Joshy (21 März 2012)

Lösegeld-Trojaner sind "in" .

Polizeipresse: Landeskriminalamt Schleswig-Holstein - LKA-SH: Erpressung über Schadsoftware: Bereits neun Fälle in Schleswig-Holstein

In allen Meldungen fehlt jeglicher Hinweis, auf welchen Wegen die Trojaner verbreitet werden
Bei einer Googlesuche nach einer Schauspielerin klickte ich nur einen Link an
und schon hatte ich nur noch eine Seite der Kripo mit der Aufforderung über Paysafe 100 EUR zu überweisen.
Nun bekomme ich meinen PC nicht mehr gestartet!
Leider weiß ich die URL nicht...


----------



## Heiko (27 März 2012)

Die Verbreitung läuft in aller Regel per Drive-by-Download.


----------



## Reducal (10 April 2012)

..hab mir soeben das Teil als js/iframeref auf yourfreesextv.c** eingefangen. AV hats automatisch in Quarantäne gesteckt.

http://blog.teesupport.com/eliminat...deutschland-gesperrt-bka-ukash-trojanervirus/
http://forum.chip.de/5752326-post45.html


----------



## Hippo (10 April 2012)

Ja wo Du Dich wieder rumtreibst ...
tststs


----------



## Reducal (11 April 2012)

Hippo schrieb:


> Reducal schrieb:
> 
> 
> > ...auf sex.*** eingefangen
> ...


Kann mir vorstellen, auf härtere Weise Geld verdienen zu müssen.


----------



## Reducal (26 Mai 2012)

Jetzt warnt die Polizei Hannover sogar schon per Facebook vor dem Trojaner: https://www.facebook.com/photo.php?fbid=338245159578694



			
				Heise schrieb:
			
		

> Gegen die bislang unbekannten Täter werde bereits in rund 35 Verfahren ermittelt. http://www.heise.de/security/meldung/Polizei-warnt-per-Facebook-vor-Trojaner-1585054.html


Und was ist mit den anzunehmenden paar hundert anderen Verfahren im Bundesgebiet? Was ist mit den abertausenden (zumindest versuchten) weiteren Schäden? Hat man denn in Hanno noch nicht genug vom Göttinger Nerd gelernt?





			
				SpOn schrieb:
			
		

> 2011 hat sich dieser Trick zu einer wahren Plage entwickelt. _Zehntausende_ Nutzer in Deutschland bekamen in den vergangenen Monaten angeblichen Internet-Besuch vom BKA, der Bundespolizei, von Microsofts Antipiraterie-Abteilung oder der Gema. Mit unangenehmen Folgen...
> ...Die Staatsanwaltschaft Göttingen hat für ein Sammelverfahren derzeit rund 8.000 Fälle zusammengetragen


 
Dem kann abgeholfen werden - wenn schon gefacebookt wird, dann kann man dort ja auch gleich online eine Anzeige erstatten: 





			
				mir schrieb:
			
		

> Meiner Erfahrung nach wird jeder Fall so behandelt, wie wenn man persönlich auf der Wache war.


Was halten sie davon, Herr PHKommissar?


----------



## frankski (21 Juli 2012)

Goblin schrieb:


> *AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz*
> 
> Ohne eigenes zutun kann sich keine Software "von alleine" installieren. Im Net nicht jeden Mist anklicken und Hirn 1.0 nutzen,dann passiert sowas auch nicht


 Hallo kamerad oberschlau,

deine gescheitarschreden helfen niemanden.hier sind eigentlich die viren programme gefragt , man muß bei teuer bezahleten programmen erwarten könne ,daß sie diese nepper fern halten können. tun sie aber nicht , sind das geld ,was man ausgibt nicht wert !!!!!
außer bei kaspersky ,hört man kein rauschen im wald!!!!
armutszeugmis , von norton , data , bitdefender usw.


----------



## Aka-Aka (21 Juli 2012)

frankski schrieb:


> Hallo kamerad oberschlau


ääähm. Sonst alles im grünen Bereich bei Dir?
Zum Thema Lösegeldtrojaner sind übrigens gerade auch deutsche Experten von Virenschutzfirmen sehr aktiv gewesen. Und selbst wenn Du es offenbar nicht gerne hörst, hilft tatsächlich der gesunde Menschenverstand mehr als alle AVPs. Aber auch Goblin sollte (und der verträgt's, wenn ich das sage) zur Kenntnis nehmen, dass es perfide Fallen im Netz gibt, die durchaus auch Menschen mit "guter CPU" überlisten können*. Das kann, nein: muß! man aber etwas freundlicher sagen können, wenn man im Leben zurecht kommen will...

*


Heiko schrieb:


> Die Verbreitung läuft in aller Regel per Drive-by-Download.


----------



## Reducal (21 Juli 2012)

Armer User, du! Dir ist da was passiert? Schade für dich aber sieh es sportlich - dein Computer bekam nun ein Refresh und du bist fürs nächste Mal gewarnt.

Goblin war etwas unsensibel. Aber so ist das nun mal, wenn am laufenden Band mit immer wieder dem selben Sch.... konfrontiert wird. Allen aktiven hier entgleitet gelegentlich der Humor und niemand hat einen Rechtsanspruch darauf, dass die Gutmenschen immer alles richtig machen.

Recht hat er aber trotzdem. Würde man nicht den Anhang öffnen, würde die Problematik nicht eskalieren. Nur - die Halunken machen es schon sehr geschickt, indem sie den Otto-Normal-User durch einen Fake dazu animieren, sich für den Anhang ernsthaft zu interessieren. Diese Zip-Anhänge sind wie Mienen - niemand ist davor sicher!

Was deinen Unmut hinsichtlich der Antivirensoftware betrifft, so ist auch das Phänomen simpel erklärt: .... du kannst raten, warum die Anhänge gezippt daher kommen. Das Packen einer Miene ist wie bei einer Briefbombe. Terroristen würden das nicht so oft machen, wenn es überall schlaue Durchleuchtungsgeräte und scharfe Spürhunde gäbe.
Außerdem werden die Viren wohl kaum mehr manuell geschrieben. Da ist Software am Werk, die diesen Schädlingen immer wieder neue Aspekte verleiht. Diese Aspekte müssen erst einmal einer Antivirenenzyklopädie beigebracht/eingepflegt - werden. Dazu muss der Virus aber erst mal aufgefallen und als solcher analysiert worden sein. Das dauert in der Regel nur wenige Stunden bis zu ein paar Tagen - kommt auf die Verbreitungsmenge und die Einschläge an.


----------



## Heiko (21 Juli 2012)

Reducal schrieb:


> du kannst raten, warum die Anhänge gezippt daher kommen.


Ich muss hier mal etwas präzisieren: als *passwortgeschütztes* ZIP.


----------



## Goblin (22 Juli 2012)

Sobald ich die ZIP öffne schlägt mein Antivir an. Spätestens jetzt sollte man Brain 2.0 aktivieren und dem Mist löschen


----------



## Aka-Aka (22 Juli 2012)

von was reden wir denn hier eigentlich? Welche zip? Ich gehe jetzt ins Bett. Brain 1.0, Brain 2.0 - mein Brain braucht jetzt Schlaf 
Ich träume von Lösegeldtrojanern, Russen und Cybercrime. Ich lese wohl die falschen Bücher...


----------



## Rüdiger Kunz (16 Januar 2013)

Kam gerade eben rein:


> > VON: [email protected]
> > AN: Xxx
> > Betreff: Letzte Mahnung Ihrer Bestellung Nummer 43022956 Xxx
> 
> ...


----------

