Lösegeld-Trojaner (BKA-Trojaner / GEMA-Trojaner / Bundespolizei-Trojaner u.a.) sicher bekämpfen  – eine professionelle Herausforderung

Trojaner sind Der BKA-Trojaner (und seine vielen Varianten wie GEMA-Trojaner / BUNDESPOLIZEI-Trojaner) sowie Verschlüsselungstrojaner sind die derzeit übelsten Gesellen im Schadsoftware-Bereich. Sie erfordern umfangreiche Maßnahmen und als Sofortmaßnahme eine Trennung der Systeme vom Internetzugang.

Woran erkenne ich einen Trojaner-Befall?

Diese sogenannten “Lösegeld-Trojaner” behaupten, daß der Benutzer  etwas illegales getan hätte (Urheberrechtsverletzungen durch Herunterladen von Software- oder Musik geladen, terroristische Aktionen unterstützt, pornografische Seiten besucht haben soll). Auf der Bildschirm erscheint eine vermeintlich “Offizielle Mitteilung des Bundeskriminalamtes” (… oder einer anderen hochoffiziellen Stelle wie der Bundespolizei, der GEMA, oder anderer Behörden, Software- oder Sicherheitsfirmen umrahmt mit deren (natürlich unrechtmäßig) verwendeten Logos.
von vertrauenswürdigen Sicherheitssoftware-und Betriebssystem-Herstellern).
In diesem Sperrbildschirm wird eine Geldsumme gefordert, deren Zahlung über ein Gutschein-System angeblich bewirkt, daß der befallene Rechner wieder funktioniert und entsperrt wird.
Der Trojaner sperrt befallene Computer macht sie unbenutzbar. Er zeigt nur noch einen Bildschirm an, daß der Benutzer angeblich von einer Behörde bei illegalen Aktivitäten ertappt worden sein und deshalb der Rechner angeblich von der Behörde gesperrt worden sei.

Was bezwecken die Schockmeldungen auf dem Bildschirm?

Die  Bildschirmmeldung fordert sie auf einen Geldbetrag zu überweisen. ahlung mit einem Gutscheincode. Dieses Vorgehen dient aber nur dazu um die Nachverfolgbarkeit der Zahlung unmöglich zu machen – entsperrt oder trojanerfrei wird der Rechner dadurch keiensfalls.
Das Geld ist weg – und selbst wenn die Betrüger gefasst werden, läßt sich durch den anonym erstandenen Gutschein auch nicht nachweisen, wer es eingezahlt hat.
Keinesfalls sollten Sie einer solchen Erpressung nachkommen, den der Betrag ist kein Bußgeld an eine Behörde, sondern schlicht Betrug.
Um das sicher zu unterscheiden ob die Schockmeldung ernst zu nehmen ist, reicht es sich klarzumachen, daß “offizielle” Bußgeldforderungen, wie etwa die für das Falschparken (Bußgelder wie etwa für das Falschparken müssen auf ein offizielles Konto bezahlt werden).

Warum sind Trojaner ungleich schwerer zu bekämpfen als “einfache” Viren?

Hat sich ein Trojaner erstmal installiert ist selbst mit üblichen Rettungs-CDs  eine Wiederherstellung der Daten auf dem infizierten Rechner nur selten möglich.  Der Schädling agiert völlig anders als bekannte Viren, die durch einfache Anti-Virenprogramme entfernbar sind. Das liegt daran, daß ein Trojaner nicht nur gut getarnt (oft als Beipack eines an sich nützlichen Programmes auf das System gelangt, das dem Anwender mehr Sicherheit oder Hilfe bei der Installation oder der Aktualisierung von Hardware-Treibern (Driver-Updater) verspricht, oder kostenlose Musik-Downloads wie etwa beim (Free Youtube-Downloader) oder sich gar selbst als Antivirenprogramm oder Systemoptimierungsprogramm tarnt.

Der Trojaner ändert Einstellungen am System – das macht jedes neu installierte Programm – anders als seriöse Anwendungen installiert und konfiguriert es sich aber so, daß es ihr Computersystem fast vollständig kontrollieren kann oder wichtige Teilsysteme unter seiner Kontrolle stehen.

Ähnlich wie der AIDS-Virus in der Medizin so schwer bekämpfbar ist, weil er ständig sein Aussehen ändert, agieren auch diese “modernen” Internet-Viren ständig ihr Aussehen. Zudem manipulieren sie zahlreiche Einträge im Betriebssystem. Sie blockieren die Systemeinstellungen die die IT-Experten verwenden um Viren zu suchen und zu löschen.

Der Rechner läuft zwar weiter – allerdings übernimmt er nicht mehr die Aufgaben, für die ihn sein Besitzer benutzen will, sondern agiert ferngesteuert, häufig erkennbar an einer hohen System- oder Festplattenauslastung – obwohl der Benutzer kein eigenes Programm mehr starten kann.

Der Computer fühlt sich an wie ein Auto, daß mit Vollgas über die Autobahn fahrt bei dem aber Gaspedal und Lenkrad festgeschweißt sind. Der einzige Prozess der das System dann im wesentlichen steuert ist der Trojaner.

Habe ich (oder meine Kinder/Enkel/Mitarbeiter) wirklich etwas illegales getan – oder wie kommt diese Software auf meinen Rechner?

Diese Malware installiert sich, weil keine oder nur schwache kostenlose oder gar manipulierte Antivirensoftware aus dem Internet heruntergeladen wurde (populäre kostenfreie Version des Antivirus-Programms mit dem roten Regenschirm) erkennt den Trojaner nicht, oder weil Browser-Plugins wie Java, Flash oder der für die Anzeige von PDF-Dateien verwendete Adobe Reader veraltet sind. Die kriminellen Entwickler von Trojanern nutzen bekannt gewordene Schwachstellen dieser typischer PC-Software aus um sich einzuschleusen. Denn auf fast allen PC-Systemen ist Acrobat Reader / Java / Flash etc. installiert – Programme von denen viele nicht mal wissen wofür sie denn eigentlich benötigt werden und die allenfalls durch nervige Aktulasierungs-Aufforderungen in Erscheinung treten.  Und wer ist nicht genervt von den dauernden Aufforderungen neben dem Betriebssystem und dem Antivirenprogramm auch noch zahlreiche dieser Programme im Abstand weniger Tage aktualisieren zu sollen? So werden die Aufforderungen häufig einfach weggeklickt – oder aber übersehen, das die bei der Installation angebotene (aber nicht benötigte Zusatzsoftware) keinesfalls benötigt wird, und die Häkchenboxen die die Installation (etwa überflüssiger Toolbars) anbinden unbedingt deaktiviert werden sollten.

Welche Gefahr geht für mich und andere von einem befallenen System aus?

Ein Virus besteht aus zwei Komponenten: Einer Verbreitungs- und einer Schadroutine. Die Verbreitungsroutine versucht möglichst viele Rechner in der Netzwerkumgebung ebenfalls zu infizieren. Virenscan- und Beseigungsprogrammen behandeln letztlich  nur die Symptome. Der Benutzer fühlt sich sicher, aber die meisten Programme haben sich eine Hintertür (Backdoor) im Betriebssystem freigestemmt, über die  kurz darauf lädt derartige Malware andere Malware, u.a. Rootkits aus dem Internet nachgeladen wird.

Diese Rootkits überleben sogar das einfache Formatieren einer Festplatte, so dass nur das Auflösen der bestehenden Festplatten-Partitionen und deren Neuerzeugung durch ein “sauberes” System zuverlässig hilft.

WICHTIG: Es reicht nicht den Virus zu entfernen!  Vor allem müssen die Ursachen der Infektion behoben werden (nämlich veraltete Betriebssystem- und Sicherheits-Software, schwache Antivirenprogramme, Sicherheitslücken im Betriebssystem …

Wie lässt sich ein Lösegeld-Trojaner sicher beseitigen?

Das kompromittierte Betriebssystem läßt sich nur durch eine komplette Neuinstallation wiederherstellen. Wenn der Benutzer keine aktuelle Datensicherung erstellt hat – und das haben immer noch die wenigsten Anwender – aber seine Daten benötigt bleibt nur der Weg in unsere Werkstatt, die über hochsichere Systeme die Benutzerdaten von den manipulierten Daten trennen kann und den Computer komplett neu installiert.

Das System ist komplett neu aufzusetzen, da mit Parallel- und Folge-Infektionen über dieselbe Sicherheitslücke zu rechnen ist. Nachträgliche Datenrettung vor einem Neuaufsetzen darf nur von einem sicheren und sauberen System aus erfolgen, denn nach dem Bootvorgang (dem Einschalten und Starten des Betriebssystems) ist der Virus bereits im Hauptspeicher geladen. Deshalb sollten am infizierten System auch keine Datenträger mehr angesteckt werden. Die vorhandene Datensicherungsfestplatte  könnte bei dem Versuch die Daten zu sichern sonst auch verseucht werden.

Es gibt zahlreiche Programme die versprechen das sie Trojaner entfernen können – leider gelingt dies meist nie vollständig und vor daher ist immer mit einem Restrisiko einer Neuinfektion zu rechnen, weil diese Programme immer nur eindeutig identifizierte Die einzig sichere Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen (d. h. Windows und sämtliche Treiber- Anwendungen Systemtools und Zubehörprogramme neu zu installieren.

Das ist vom befallenen System aus nicht möglich – die meisten Anwender scheitern oder erleiden hohe Datenverluste. Falls Sie wichtige Daten auf Ihrem System haben: Vertrauen Sie hier auf die routinierte und professionell organisierten Schädlingsbekämpfungs-Routinen unserer Werkstatt. Wiemer Computer hilft Ihnen bei der Entscheidungsfindung, welcher Weg der schnellste, effektivste und preisgünstigste ist um Schadsoftware zu entfernen, die Lücken im Betriebssystem zu schließen über die die Schädlinge erneut eindringen können, kritische Programme zu entfernen, Windows-Registrierdatenbankeinträge zu prüfen. Die Hintertürchen über die üblicherweise Neuinfektionen  stattfinden können nageln wir gleich mit zu!

Ebenso erhalten Sie eine fundierte Beratung wie mit Sicherungsdatenträgern umzugehen ist, und welche Sicherheitsmaßnahmen helfen können, das Sie so einen Schock in Zukunft ausschließen können.