Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz

M

Manistrator

AW: Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz

Lösegeld-Trojaner sind "in" .
Polizeipresse: Landeskriminalamt Schleswig-Holstein - LKA-SH: Erpressung über Schadsoftware: Bereits neun Fälle in Schleswig-Holstein

und als BKA Fake
Verbraucherzentrale Sachsen-Anhalt : Online - Kriminelle legen PC lahm und fordern Strafgeld

In allen Meldungen fehlt jeglicher Hinweis, auf welchen Wegen die Trojaner verbreitet werden

Also, ich war weder auf Kino.to unterwegs, noch habe ich unvorsichtig irgendwelche sinnlosen Mailanhänge aufgemacht. Die kommen bei mir erst gar nicht an. Trotzdem hab ich mir den Rotz auf den Rechner geholt. Meine letzte Seite, welche ich noch öffnen konnte, war deviantart.com und die ist weder illegal noch sonstwie anrüchig. Und mittendrin OHNE dass ich was installiert habe, ging dieses Fenster auf und jetz habe ich den Dreck an der Backe.
und nein, kommt mir nicht mit, du musst was installiert haben.
Das Problem ist, wie bekomme ich den schund jetzt wieder weg, bzw stimmen solche Berichte wie im Spiegel, dass dieser Schädling wirklich die Platte verschlüsselt und nur noch ein Format c incl. Neuinstallation hilft ???

Gruß Mani
 

Reducal

Forenveteran
Es passieren im Hintergrund zu diversen Browseraktivitäten so viele Funktionen, dass es durchaus möglich ist, dass du aktiv gar nicht tätig warst.
Das Problem ist, wie bekomme ich den schund jetzt wieder weg ???
So isses! Alles andere macht anscheinend wenig Sinn oder es verbleiben womöglich schädliche Fragmente auf dem System, so dass eine Wiederholung durchaus möglich ist.
 
D

Drykell

Hab mir dieses Ding auch auf Deviantart eingefangen. Hab es geschafft den Task-Manager nach dem Reboot zu öffnen und den Prozess "ja..." zu beenden. Daraufhin hab ich die Systemwiederherstellung zum 5.August durchgeführt. Das reicht wohl nicht, oder? Kann ich jetzt noch meine Daten retten, bevor ich neu formatiere, oder sind die dann eventuell auch verseucht? Ich versuche es derweil noch mit dem Malware-Scanner...

Drykell
 

johinos

Mitglied
Meist klappt es, den PC im abgesicherten Modus zu starten, ansonsten mit einer Live-CD, und man kann erstmal an evtl. benötigte Dateien.

Ansonsten:
http://blog.botfrei.de/2011/07/anleitung-zum-entfernen-der-bka-ransomware-mithilfe-der-kaspersky-rescue-disk-krd/

Diese Empfehlung gilt natürlich nur für die bis zum Veröffentlichungszeitpunkt bekannten Versionen. Was die aktuellste Version alles mit dem Rechner anstellt und ob deshalb eine Neuinstallation nötig ist, das wird wahrscheinlich erst nächste Woche klar sein...
 
J

JiNx

also mich hats eben aufm laptop erwischt -.- son rotz lasse gerade im abgesicherten modus meinen virenscaner durchlaufen mal sehen obs was bringt....
ich war auch auf auf keinen prono-seiten etc mache regelmäßig nen virenscan der letzte war gestern -.- und eben als ich auf der seite vom kleiderkreisel war bekomm ich ne meldung mailware gefunden und als ich auf entfernen klicke wars auch schon zu spät -.- hoffe mal das ich das problem im abgesicherten modus beheben lässt...aufm meinem laptop ist win 7 professionel vorinstaliert also kann ichs gar nicht neu drauf amchen -.-
 

Heiko

root
Teammitglied
Ich empfehle folgende Vorgehensweise:
  1. An einen sauberen Rechner gehen
  2. Download und Brennen von folgender CD: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/
  3. Download und Brennen von folgender CD: http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
  4. Rechner per Kabel an den Router anschließen!
  5. Mit der Kasperky-CD starten und diese updaten. Am besten im Textmodus laufen lassen, der grafische macht gerade bei Notebooks ab und zu Probleme.
  6. Rechner komplett scannen lassen. Gefundene Viren löschen.
  7. Mit der F-Secure Disk starten und diese Update. Falls das nicht geht, http://download.f-secure.com/latest/fsdbupdate9.run herunterladen und die Datei auf einen USB-Stick kopieren und den beim Booten drin lassen.
  8. Rechner komplett scannen lassen. Gefundene Viren löschen.
  9. Daten sichern (Rechner sollte wieder booten).
  10. Rechner komplett neu installieren
  11. Vernünftigen Virenscanner installieren (komischerweise haben sehr viele Opfer der Ransomware den kostenlosen Avira installiert gehabt).
  12. Daten zurückspielen
Das hat bislang immer geklappt, trotzdem sind Datenverluste möglich. Die Nutzung der Anleitung geschieht ausdrücklich auf eigene Gefahr!
 
J

JiNx

als....

eine frage hab ich die links die eben genannt worden, ist es notwendig kasperski als virenscaner zu haben?

ich hab mir jetzt noch einen 2. virenscaner auf den rechner gespielt, bis jetzt kurrioserweise kein fund...
hab im abgesicherten modus nen virenscan gemacht und auch da wurde nichts gefunden. habe dann den rechner zurück gesetzt per systemwiederherstellung. jetzt läuft der virenscan wieder bisjetzt auch kein fund.

was kann ich denn machen um wirklich sicher sein zu können das mein rechner nicht mehr von diesem mistigen trojaner befallen ist, ich hab keinen bock meine ganzen dateien zu verlieren zumal ich ja ein vorinstalliertes win 7 hab und ich zugegeben nicht weiß wie das dann ist wenn win7 wieder installiert werden muss.
 

Heiko

root
Teammitglied
Nein, die Links oben gehen auch ohne Abo. Das sind kostenlose Serviceleistungen der Anbieter.
Ein zweiter Scanner auf dem Rechner ist nicht sinnvoll, man sollte bei einem Exemplar bleiben.

Normalerweise gehen bei der Vorgehensweise wie oben beschrieben keine Daten verloren, ich hab das schon etliche Male durchgezogen. Eine Garantie gibts freilich nicht.

Normalerweise sollte doch bei Deinem PC eine Wiederherstellungs-DVD oder -Partition vorhanden sein. Damit müsste das in vertretbarer Zeit zu erledigen sein.
 

Devilfrank

Teammitglied
Eins muss jedoch klar sein bei all den Rettungsversuchen. Wenn es sich um die aktuelle Variante des "GPCode" handelt, werden die AV-Lösungen zwar den Trojaner vom System schmeißen, die durch den Trojaner verschlüsselten Dateien sind jedoch nach wie vor verloren.
http://www.securelist.com/en/blog/6165/Ransomware_GPCode_strikes_back
The encrypted files cannot be recovered because of the strong cryptography employed.
Insofern würde ich da gar nicht erst mit Antivirenscannern rummachen, sondern gleich das System komplett neu aufsetzen, um sicher zu gehen.

Ein Wort noch zu deviantart.com. Die Infektion dort geschieht durch sogenannte "Drive-By-Downloads" über eingeblendete Werbung. Hier wird Javascript automatisch ausgeführt und die hier befallenen Systeme waren so eingestellt, dass das ohne Nachfrage sofort ausgeführt wurde. Peng! Hier heißt es künftig mehr an die Browsersicherheit zu denken.
 
B

Bordsteinfalke

Hai,

mich hat der Virus gerade eben erwischt. Ich war gerade dabei ein Lied von Enya auf YOUTUBE zu hören, als das Ding zugeschlagen hat. Ich habe gerde gestern meine Virenschutzprogramme ( ja ich habe sogar zwei) aktualisiert und habe garantiert keine Mailanhänge geöffnet. Wem nützt es? Und da prangt einem als erstes der englische Bezahldienst „uKash" entgegen. Da stecken also mit 90-prozentiger Sicherheit nicht die Russen sondern die [xxx] dahinter. Kündigt alle eure uKash Accounts - zeigtst den [xxx]!

[modedit by Hippo: Diese Ausdrucksweise ist unerwünscht]
 

Hippo

Moderator
Teammitglied
Zwei Virenschutzprogramme ist nicht unbedingt der Weisheit letzter Schluß. Oft behindern die sich gegenseitig. Und zu Deinem Vorwurf Ukash gegenüber - wenn also ein Killer ein Messer von WMF verwendet ist also WMF schuld? Ukash ist ein anonymer Bezahldienst, nicht mehr und nicht weniger Genausogut könnte das über Moneygram oder Western Union abgewickelt werden
 

Heiko

root
Teammitglied
Ich möchte das mal unterstützen: zwei Antivirenprogramme gleichzeitig installiert ist Quatsch (im besten Fall) oder sorgt dafür, dass der Rechner überhaupt nimmer läuft (im schlechtesten Fall).
Und Ukash wird da auch nur missbraucht. Da könntest Du genauso mutmaßen, dass die Kohle in Wirklichkeit ans BKA geht...
 
Oben