Ransomware

Erpresser-Malware vorgeblich vom Bundeskriminalamt

Online-Kriminelle nutzen weiterhin die japanische Erdbebenkatastrophe und ihre Folgen, um Spendengelder einzukassieren und Malware zu verbreiten. Ein in diesem Zuge eingesetzter Schädling fällt besonders auf. Es handelt sich um ein Trojanisches Pferd, das den PC lahm legt und Lösegeld fordert - vorgeblich im Namen der Bundespolizei.

Erpresser-Malware vorgeblich vom Bundeskriminalamt

© Kaspersky Lab

Erpresser-Malware vorgeblich vom Bundeskriminalamt

Nicolas Brulez berichtet im Blog des Antivirusherstellers Kaspersky Lab über Spammer und andere Online-Kriminelle, die sich als Trittbrettfahrer des Erdbebens in Japan betätigen. Unter den Fundstücken der im Zuge dessen verbreiteten Malware ist auch ein deutschsprachiger Vertreter der Kategorie "Ransomware" (Erpresser-Malware). Er wird von Kaspersky als "Trojan-Ransom.Win32.PornoBlocker.jtg" bezeichnet. Der Schädling blockiert den Rechner und zeigt ein vorgebliche Warnung des Bundeskriminalamts an, dessen angedachte (und wieder verworfene) Zusammenlegung mit der Bundespolizei er schon mal vorweg nimmt. Laut dieser auf dem blockierten Desktop angezeigten HTML-Seite wurde auf dem PC ein "Vertoss festegestellt" - es sollen Seiten mit Kinderpornografie und Sodomie aufgerufen worden sein. Auch entsprechende Videos seien gefunden worden, ferner seien "Emails, in Form von Spam, mit terroristischen Hintergründen" verschickt worden - die ganze Palette also.Der Rechner würde daher gesperrt, um "Ihre illegalen Aktivitaten zu unterbinden". Um die Sperre aufzuheben, sei der Benutzer "verflichtet, eine Strafe von 100 Euro zu zahlen" (alle Fehler sind original). Sollte dies nicht innerhalb 24 Stunden erfolgen, würde die "Festplatte unwiderruflich formatiert(gelöscht)". Die Zahlung soll - wie bei den falschen Abmahnungen  - per Ukash-Coupon erfolgen. Den Coupon-Code sollen die Erpressten in ein HTML-Formular eingeben, das per Javascript an einen bereits nicht erreichbaren Server geschickt werden soll.Der Schädling registriert sich als Windows-Shell und beendet dann alle Prozesse des Windows Explorer, dem diese Rolle normalerweise obliegt. Außerdem prüft er alle 100 Millisekunden, ob der Explorer oder der Taskmanager gestartet wird und beendet deren Prozesse gegebenenfalls. Der Aufruf eines Programms ist nicht mehr möglich. Was bleibt, ist der Start des Rechners von einer Reparatur-CD oder -DVD, um die Registry zu bereinigen und den Schädling zu entfernen.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…