Bundespolizei: National Cyber Crimes Unit – Achtung!!!

Soeben flattert mir von einem bewährten Lieferanten (mit Malware-magnetischer Tochter im Notebook-Besitz) ein Tierchen rein, das den Rechner sperrt (Ransomware) und mit (derzeit) einer IP Kontakt aufnimmt, die mit diesem Text kommt:

Bundespolizei - National Cyber Crime Unit - Achtung!!!Achtung!!!

Das Betriebssystem wurde im Zusammenhang mit Verstoßen gegen die Gesetze der Bundesrepublik Deutschland gesperrt!

Es wurde folgender Verstoß festgestelltt: Ihre IP Adresse lautet “XX.YYY.WW.ZZ” mit dieser IP wurden Seiten mit pornografischen Inhalten, Kinderpornographie, Sodomie und Gewalt gegen Kinder aufgerufen Auf Ihrem Computer wurden ebenfalls Videodateien mit pornografischen Inhalten, Elementen von Gewalt und Kinderpornografie festgestellt!

 Es wurden auch Emails in Form von Spam, mit terroristischen Hintergründen, verschickt. Diese Sperre des Computers dient dazu, Ihre illegalen Aktivitäten zu unterbinden.

Und so weiter. Da bleibt mir natürlich sofort das Herz stehen, wegen all der Kaninchenpornos, die ich täglich mit Terroristen-Freunden tausche…

im Ernst: Natürlich ist die Meldung Blödsinn. Und wer tatsächlich glaubt, er brauchte mit einer Mail an einzahlung@inter-bundeskriminalamt.eu und Zahlungen über Ukash, Epay oder Paysafecard eine “Strafe” von (nur!) 100 Euro zahlen, um “die Sperre des Computers aufzuheben”, der irrt natürlich. Es handelt sich um den “BKA-Trojaner”, “Bundeskriminalamt-Trojaner”, auch Ukash-Trojaner genannt, der natürlich nichts mit dem echten BKA zu tun hat, aber gewiss das vage vorhandene Wissen um den “Bundestrojaner” für seine Täuschung ausnutzt:

Merke: Das BKA schreibt echte Briefe auf Papier hat einen uniformierten Zustelldienst, der Ermittlungsanfragen persönlich überbringt. Es macht weniger Rechtschreibfehler. Und es sammelt Bußgelder nicht per Ukash ein.

Falls Sie das Ding gesehen haben: Sie sind nicht allein. Dieser eine Blogbeitrag hat die Zugriffe auf meine Website verdoppeltfünfacht. Das heißt, wahnsinnig viele Leute sind wohl davon betroffen.

Variationen: Zum Beispiel GEMA- / GVU-Trojaner

Inzwischen gibt es etliche Variationen, unter anderem (!) mit diesem Text:

GEMA GVU Trojaner

GEMA-/GVU-Trojaner

“Der Zugang zu Ihrem Computer wurde gesperrt. Auf Ihrem Computer wurden illegal heruntegeladene Musikstücke (‘Raubkopien’) gefunden. Durch den Download wurden die Musikstücke vervielfältigt, so dass ebenfalls eine Strafbarkeit gemäß § 106 Urhebergesetz gegeben ist. […] Um die Sperre aufzuheben und weiteren strafrechtlichen Konsequenzen aus dem Weg zu gehen, sind Sie verpflichtet eine Mahngebühr in Höhe von € 100,- zu bezahlen.  […] Nach erfolgreicher Bezahlung wird Ihr Computer automatisch entsperrt. Um die Bezahlung durchzuführen, geben Sie den erworbenen Paysafecard-Code in das dafür vorgesehene Feld ein […] Die GEMA ist gesetzlich legitimiert – und steht in engem Kontakt zu den Gesetzgebern.”

Hahaha. Ist natürlich derselbe Bullshit in anderem Gewand. Siehe Meldung der GEMA.

Soforthilfe beim Ukash- / BKA-Trojaner

  • Keine Panik!
  • Auf keinen Fall überweisen. (siehe auch Warnungen des echten BKA z.B. hier und hier.)
  • Ruhe bewahren.
  • Rechner runterfahren.
  • Falls Sie einigermaßen PC-Erfahrung haben: Versuchen Sie die Entfernung, siehe im Folgenden Entfernung ohne Tool und Entfernung mit Tool.
  • Falls Sie wenig PC-Erfahrung haben: Wenn Sie Windows neu installieren können, tun Sie das. Wenn nicht: Lassen Sie sich von jemandem helfen, der mehr Erfahrung hat. Geschriebene Anleitungen nützen Ihnen hier eher nichts mehr. Was nichts heißt, dass Sie es nicht versuchen können:

BKA-Trojaner-Entfernung ohne Tool

Laut  Silverstrike (und einiger Danke-Meldungen dazu) klappt folgendes ganz gut:

  • Windows PC im abgesicherten Modus starten (<- drauf klicken für Anleitung),
  • im Windows-Startmenü den Ordner Alle Programme / Autostart öffnen,
  • darin die seltsame EXE-Datei mit Zahlen ausfindig machen
    (falls es keine gibt siehe weiter unten-> Entfernung mit Tool),
  • mit rechter Maustaste anklicken, Löschen wählen,
  • Papierkorb leeren, neu starten.
  • Danke im Namen vieler Leser an Silverstrike!
Falls hier noch keine seltsame EXE-Datei war:
  • Wie oben: Windows PC im abgesicherten Modus starten (<- drauf klicken für Anleitung),
  • [Windows R] drücken
  • msconfig eingeben
  • Register Systemstart
  • In der Spalte “Befehl” eine seltsame EXE suchen und deren Häkchen in der Spalte Systemstartelement entfernen. Was ist eine “seltsame EXE”? Tja, leider sehr aufwändig zu beantworten… der einfachste Weg ist, sich bei jeder EXE zu fragen: Brauche ich die? Gehört die zu einem Programm, das ich nutze (erkennbar am Pfad)? Wenn Nein -> eher seltsam.

Aber:
Wichtiger Sicherheitshinweis:

Egal, was Ihr System infiziert hatte, es hatte eine Zeit lang Zugriff auf Ihren Rechner und konnte schalten und walten, wie es wollte. Sie müssen daher prinzipiell davon ausgehen, dass Ihr Rechner infiziert war und noch immer infiziert sein kann

BKA-Trojaner-Entfernung mit Tool

Falls keine EXE-Datei im Autostart zu finden ist: Keine Panik! Der Bundeskriminalamt-Trojaner kommt in immer neuen Variationen heraus, damit Anleitungen wie diese nicht mehr helfen können. Dann hilft ein Tool. Manchmal das eine, manchmal das andere.

  • Tools von Botfrei.de:
    Downloaden Sie alle Cleaner auf botfrei.de/decleaner.html und schauen Sie mal, ob Sie damit weiter kommen. (Wahrscheinlich nicht, wenn der Rechner gesperrt ist.)
  • Kaspersky Unlocker:
    Downloaden Sie sich (am Zweit-Rechner) die Kaspersky Windows Unlocker gegen Ransomware und gehen Sie vor wie dort beschrieben vor, also den infizierten Rechner booten und säubern. Im Großen und Ganzen rehts es sich nur um den Aufruf von “Terminal”; darin dann windowsunlocker und [Enter] und beten. Den normalen Virenscanner Kaspersky Rescue Disk lassen Sie natürlich auch noch drüberlaufen, nachdem Sie ihm im Register Update frische Signaturen verpasst haben.
Kaspersky Rescue CD, Terminal: windowsunlocker

Kaspersky Rescue CD, Terminal: windowsunlocker

Verwenden Sie nicht nur eine dieser CDs. Sondern am besten nacheinander alle.

Aber:
Wichtiger Sicherheitshinweis: 
Egal, was Ihr System infiziert hatte, es hatte eine Zeit lang Zugriff auf Ihren Rechner und konnte schalten und walten, wie es wollte. Sie müssen daher prinzipiell davon ausgehen, dass Ihr Rechner infiziert war und noch immer infiziert sein kann

Plan B: 100% immer funktionierende Entfernung

Das ist leider kein Scherz:

  • Installieren Sie Windows neu.

Es ist und bleibt die sicherste Methode. (Wenn Sie ein Backup haben, auch die schnellste & einfachste.)

  • Dateien in Sicherheit bringen: Um vorher wenigstens ihre wichtigsten Daten zu sichern, booten Sie Ihren Rechner von einen Rettungssystem, das Ihnen erlaubt, Dateien zum Beispiel auf eine externe Festplatte zu kopieren. Die externe Platte schließen Sie vorher an, dann erst das Rettungssystem booten.
  • Dateimanager zum Retten von Dateien finden Sie zum Beispiel bei der CD von Kaspersky und der von BitDefender. Hier zum Beispiel der Dateimanager Dolphin der aktuelle Kaspersky-CD, C: wäre hier die versaute Windows-Platte, F: die externe Festplatte:
Kaspersky Rescue Disc: Filemanager Dolphin

C: öffnen, alles markieren mit {Strg A}, das Markierte kopieren mit {Strg C}, F: öffnen, das Kopierte einfügen mit {Strg V} – warten, bis das fertig ist. Später, nachdem Sie Windows neu installiert haben, können Sie dann per Windows von der externen Festplatte alle Dateien rüberholen, die Sie wirklich brauchen. (Und den Rest in die Tonne treten.)

Der [Strg]+[Alt]+[Entf]-Tipp

Habe ich selbst nicht ausprobiert, stammt von Bro Luke auf Facebook:

  • “Alt+Strg+Entf drücken und auf Herunterfahren klicken. Windows beendet dann alle Programme, also auch den Trojaner. Wenn man viele Programme anklickt, kommt mit etwas Glück Möchten Sie Windows wirklich beenden? und dann muss man Erzwingen oder Abbrechen wählen, da nimmt man dann Abbrechen und hat den Virus-Prozess nicht mehr laufen. Hab ich selbst schon herausgefunden, bevor ich Ihren Beitrag gefunden hatte.”

Kann ich nicht überprüfen, weil mich dieser Trojaner einfach nicht anspringen will, aber es klingt durchaus plausibel und ist sicher einen Versuch.

Vorsorge gegen diese Art von Angriff

Sie haben nichts installiert, keinen Mailanhang angeklickt, keine Raubsoft installiert und trotzdem den Bundeskriminalamt-Trojaner? Das ist keine Schande, denn man kann sich schon dadurch infizieren, dass man die falsche Website besucht hat, und die wiederum kann in einer Suchmaschine als Link angezeigt worden sein.

Vorbeugend hilft gegen Drive-by-Infektionen wie den BKA-Trojaner nur ein sicherer Browser:

  • Browser wechseln:
    Alle Browser haben Löcher, aber je exotischer = weniger verbreitet die Browser sind, desto geringer die Wahrscheinlichkeit, dass ihre Löcher angegriffen werden. Statt Internet Explorer: Firefox, statt Firefox: Chrome / Iron oder gar Dragon, statt Chrome: Safari, statt Safari: Opera. Ich empfehle: Opera.
  • Browser und Plugins aktualisieren:
    Verwenden Sie stets die neueste Version des Browsers und die neusten Plugins von Flash, Java, Adobe PDF. Siehe Java manuell aktualisieren und Flash manuell updaten. Auch Secunia Online Software Inspektor kann helfen, altes Zeug zu identifizieren.
  • Plugins abschalten:
    Verzichten Sie auf Java, Javascript, Adobe Flash, Adobe PDF und schalten Sie den ganzen Quark ab.
    z.B: Java im Browser deaktivieren
    Machen Sie ja eh nicht. Macht nämlich keiner.
    Ich sags nur, weils trotzdem richtig ist. ;-)
  • Whitelist-Plugins verwenden:
    Siehe auch: Flash blockieren mit FlashBlock und QuickJava
    Ein Werbeblocker wie AdBlock (Fox, Chrome), ein Flash-Blocker wie Flashblock (Firefox) oder FlashControl (Chrome) und ein Skripteblocker wie wie NoScript (Firefox) oder ScriptNo (Chrome). Sie machen das Surfen sehr unkomfortabel, denn Sie müssen selbst freischalten, auf welchen Seiten welche Features erlaubt sind (z.B. auf YouTube: Flash, auf Freemail: Javascript), aber das macht das Surfen deutlich sicherer. (Chrome erlaubt zumindest Java ohnehin nur auf Nachfrage.)

Das BKA / die Kriminalpolizei rät…

  • Offizielle Warnungen des echten BKA zum BKA-Trojaner / Ukash-Trojaner auf www.bka.de hier und hier.
  • Ergänzung am 5.12.: Ich habe beim BKA nachgefragt, was zu tun ist, wenn man sein Geld bereits überwiesen hat. Hierzu kann das BKA nach eigenen Aussagen nichts sagen, weil es keine rechtlichen Auskünfte erteilt. Aha. Aber: “Die Opfer sollten in jedem Fall eine Anzeige erstatten, was bei jeder Polizeidienststelle erfolgen kann.”
  • Ergänzung am 8.12., denn auf Anraten des BKA habe ich auch bei der Staatsanwaltschaft Göttingen nachgefragt, die dazu wohl eine zentrale Erfassung eingerichtet hat: “Die Betroffenen sollten auf jeden Fall bei der örtlichen Polizeibehörde Strafanzeige erstatten und ein Bildschirmfoto ihres Computers vorlegen. Außerdem sollten sie angeben, auf welchen Seiten sie unmittelbar vor der Attacke im Internet unterwegs waren. Der Trojaner kann auch auf absolut unverfänglichen Seiten aktiviert worden sein, der Geschädigte muss also nicht unbedingt auf problematischen Seiten gewesen sein. Im Übrigen sollten sich die Betroffenen auf einschlägigen Internetseiten informieren, wie der Trojaner schadlos zu beseitigen ist.” Und weiter: “Die Verfahren im Zusammenhang mit dem ‘BKA-Trojaner’ werden bei der Staatsanwaltschaft Göttingen zentral geführt. Hier sind allerdings schon über 8.000 Vorgänge vorhanden, so dass mit einer zeitnahen Abarbeitung weiterer Vorgänge nicht gerechnet werden kann.”
..
:

Hier nochmal die Abzocke in ihrer ganzen “offiziell wirkenden” Pracht als JPG, auf bka-trojaner.de gibts eine Galerie mit weiteren Vertretern. Interessant ist, dass die Seite bis auf ein Bild alle Bilder direkt als HTML (base64) kodiert – so was habe ich noch nie gesehen. (HTML als ZIP hier.) Interessante Möglichkeit, um Seiten zu beschleunigen (weil sich die Zahl der http-Requests verringert), vielleicht auch das Ergebnis irgendeines Baukastens oder der Versuch, automatisierte Zugriffe zu täuschen. Auch Nachbarländer haben solche Dinger, siehe z.B. F-Secure.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …