Polizei warnt per Facebook vor Trojaner

Die Polizei Hannover warnt per Facebook vor der neuesten Variante des Ukash/Paysafe-Trojaners. Mittlerweile ermittle man in rund 35 Verfahren wegen "versuchter Erpressung mittels Trojanern" gegen unbekannte Täter.

Derzeit kurisieren Mails mit der Betreff-Zeile "BKA erdrückende Akte gegen ...", die aber nicht von offizieller Stelle stammen. Das stellte das BKA am Freitagabend in Wiesbaden klar. Die Kriminalpolizei rät zu pragmatischen Vorsichtsmaßnahmen, um kein Opfer zu werden: nie Anhänge zweifelhafter E-Mails öffnen, sondern sofort als Spam markieren oder löschen; einen aktuellen Virenscanner nutzen und Software-Updates einspielen. Befallene Anwender sollen sich auf keinen Fall auf den Erpressungsversuch einlassen, sondern die Polizei kontaktieren.

Offenbar ziehen die Erpressungs-Trojaner immer weitere Kreise. Dabei ist die Masche eigentlich alt: Ältere Varianten behaupteten unter anderem, im Auftrag der GVU oder gar des Bundeskriminalamts zu handeln. Stets wird auf ein schlechtes Gewissen des Anwender spekuliert: Auf dem Rechner sei illegale Software, geklaute Musik oder gar Kinderpornografie gefunden worden. Zugriff auf den PC werde erst nach der Zahlung einer "Strafe" wiederhergestellt, die über ein Payment-System wie Paysafe oder Ukash zu bezahlen sei.

In Wirklichkeit bewirkt eine Bezahlung natürlich nichts; der Rechner bleibt gesperrt. Echte Abhilfe bringen nur beherzte Eingriffe über den abgesicherten Modus oder spezialisierte Säuberungswerkzeuge, die man etwa über das Anti-Botnet Beratungszentrum oder direkt bei diversen AV-Herstellern findet.

Die jüngste Auflage des Ukash/Paysafe-Trojaners zieht die Daumenschrauben fester an als seine Vorgänger. Aktuelle Versionen der Malware geben sich als "Microsoft Windows Lizenzierung" aus: Die Windows-Lizenz sei illegal oder abgelaufen, deshalb seien alle Dateien verschlüsselt worden. Im Folgenden türmen sich die Lügen: Die Festplatte sei "mit PGP-RSA verschlüsselt" worden, Entschlüsselungsversuche auf eigene Faust seien strafbar, man müsse den Computer unbedingt eingeschaltet lassen und weiterer Unsinn.

Stimmen tut nur eines: Der Trojaner verschlüsselt die Dateien auf der Festplatte – allerdings nicht die komplette Platte, sondern dateiweise und nach einer relativ simplen Methode. Für diesen Vorgang braucht der Trojaner jedoch Zeit; damit erklärt sich auch die Aufforderung, den Computer nicht auszuschalten. Angesichts des Verhalten des Trojaners überrascht, dass die Polizei die Fälle nur als Erpressung und nicht zudem auch noch als Computersabotage einstuft.

Bei einigen Versionen des Trojaners lassen sich die Dateien mithilfe eines unverschlüsselten Gegenstücks entschlüsseln. Hier helfen unter anderem Werkzeuge von Avira, Dr. Web und Kaspersky sowie der DeCryptHelper von Trojaner-Board.de. Neuere Revisionen des Trojaners verschlüsseln die Dateien allerdings so, dass sie sich bisher nicht wiederherstellen lassen. Man sollte die betroffenen Dateien dennoch auf keinen Fall löschen, sondern sicher aufbewahren – neue Entschlüsselungswerkzeuge sind angeblich in Arbeit.

Aufmerksame Anwender werden bei der Lektüre des Drohbildschirms sofort über diverse Inkonsistenzen und Schreibfehler stolpern. Auch der Umstand, dass der zu zu zahlende Betrag je nach Zahlungs-Provider entweder 50 oder 100 Euro betragen soll, sollte stutzig machen. Hyperventilierende Trojaneropfer sollten besonnen handeln: Schnell den Rechner ausschalten, die Polizei kontaktieren, den derzeitigen Systemzustand zur Spurensicherung und Wiederherstellung über ein Boot-Medium sichern und dann mit viel Sorgfalt beginnen, den Schaden zu beseitigen. Hier können unter anderem die Foren der Initative botfrei.de sowie die Teilnehmer im Trojaner-Board helfen. Vor einer Neuinstallation des Betriebssystems oder einer vorschnellen Formatierung der Platte ist in jedem Fall abzuraten. (ghi)