Lösegeld-Trojaner - Zahlart: PaySafeCard oder Ukash

[PCDpan_fee]

Wird auf dem Bildschirm plötzlich eine der Meldungen, die unten aufgeführt sind, angezeigt und der PC funktioniert nicht mehr so, wie er soll, haben Sie sich einen Trojaner/Ransomware eingefangen.

Zahlen Sie auf keinem Fall!
Eine Zahlung bewirkt nachweislich keine versprochene Freischaltung.

Die Bundespolizei (BPol) und das Bundeskriminalamt (BKA) warnen in einer Pressemitteilung.

Ein Bericht über "Wie verbreiten sich Lösegeld-Trojaner?" zeigt die Webseite ComputerBetrug.de.

Was ist Ransomware? erklärt Wikipedia.

---

!!!Achtung!!!
Sehr geehrter Besucher,
Sie haben unauthorisiert die folgende Datei [Dateiname] heruntergeladen.
Aus diesem Grund wurden sämtliche Daten Ihres Computers verschlüsselt und der Zugang zu Ihrem PC gesperrt.
Um den Zugang zu Ihrem Computer wieder zu ermöglichen und die Daten zu entschlüsseln, bitten wir Sie die einmalige Gebühr in Höhe von 20 EUR mittels Ukash zu begleichen.
Dies ist möglich nachdem Sie:
1. Beim Ukash-Verkaufsstelle Ihrer Wahl www.ukash.xxx einen Ukash-Gutschein in Höhe von 20 EUR erwerben.
2. Dein PIN-Code innerhalb von sieben Tagen an die folgende Nummer +4917636588881 schicken.
3. Ihnen wird per SMS der Sicherheits-PIN zur Entsperrung zugeschickt.

Wenn Sie die Aufforderungen in der vorgegebenen Zeit nicht erfüllen, sind wir gezwungen Ihre Daten permanent zu löschen.



Bild in groß

---

Achtung!

Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.

Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalt ist das Computersystem an eine kritische Grenze angekommen, nach der das System zusammenbrechen und die ganzen Daten verloren gehen können. Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen.

Dieses Update ist ein kostenpflichtiges Upgrade für besonders infizierte Windowssysteme. Es beschützt das System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

[Bezahlen und runterladen]



Bild in groß

---

Wählen Sie Ihre bevorzugte Zahlart.

- PayPal                                       nicht möglich da PC stark virenverseucht
- sofort                                        nicht möglich da PC stark virenverseucht
- Visa/Mastercard/American Express  nicht möglich da PC stark virenverseucht
- PaySafeCard                               Möglich
- Ukash                                        Möglich

Damit Ihr Computersystem schnellstens verbessert wird, geben Sie bitte weiter unten einen Code für 50,- Euro Ukash oder PaySafe ein. Diese können Sie an fast jeder Tankstelle oder einen Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da, wo Sie Handyaufladekarte erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird Ihr Computer komplett aktualisiert und gesichert - alle Trojaner und Viren werden gelöscht.

Paysafe PIN-Code [    ]   [Zahlen]



Bild in groß

---

Weitere Screenshots und Hilfen für Windows XP, Windows Vista und Windows 7 (getrennt), sowie zur passenden Trojaner-Version (1.01 bis 3.05) findet man auf http://www.bka-trojaner.de/ in Zusammenarbeit mit http://blog.botfrei.de

NOCHMAL ... Zahlen Sie auf keinem Fall!
Eine Zahlung bewirkt nachweislich keine versprochene Freischaltung.

Es gibt mittlerweile verschiedene Arten (Versionen) vom den Trojaner. Die ersten Versionen ersetzten noch die Windows Shell (Shell=Explorer.exe) durch die svhcost.exe (originale Systemdatei schreibt sich svchost.exe), die eine Warnmeldung des Bundeskriminalamts anzeigte, die dem Benutzer von Kinderpornographie bis hin zu allen möglichen Schandtaten vorwirft. Nun gibt es von Microsoft Corporation Drohungen, wegen falscher Windows-Lizenz oder von der GEMA, wegen urheberrechtliche, geschützte Musikstücke, die Sie angeblich runtergeladen haben oder von der Schweizer Eidgenossenschaft. Bei einer Meldung wird sogar ein kostenpflichtiges Sicherheitsupdate (Upgrade) angeboten, um infizierte Windowssysteme wiederherzustellen.

Die Meldungen ändern sich vom Text und vom Aussehen, nur die Bezahlart bleibt gleich. Ukash oder PaySafeCard werden bevorzugt, die man an Tankstellen oder Postämtern erwerben kann. Auch werden die Beiträge immer höher. Erfolgt diese Zahlung nicht innerhalb von 24 Stunden, wird die Festplatte gelöscht, so die Drohung. Im Kontext dieser Meldungen werden auch die IP-Adresse des Benutzers angezeigt, weitere Informationen bezüglich des genutzten Betriebssystems sowie des verwendeten Browsers werden eingeblendet. Hierdurch soll die Authentizität der Meldung verstärkt werden. Zur weiteren Untermauerung dieser Drohungen werden die Logos der Bundespolizei, als auch des Bundeskriminalamtes, sowie verschiedener Firmen und des Softwareentwicklers Microsoft innerhalb des Meldungstextes eingeblendet. Verschlüsselt werden mit MS Office erstellte Dokumente, "Eigene Dateien"- bzw. Dokumente-Ordner, E-Mails, Foto-Ordner etc. sodass der Benutzer keinen Zugriff auf den Inhalt mehr hat. Auch die HOSTS-Datei wird manipuliert. Die Drohung, dass die Festplatte nach 24 Stunden gelöscht wird, tritt nicht ein.

Es wurde mittlerweile eine Hotline freigeschaltet, die speziell Fragen und Antworten des besagten Trojaners zur Verfügung stehen.
Werktags von 9.00 bis 21.00 Uhr: 0231 189 26 50 oder 0231 – 189 26 50 (kostenlos)

Entfernungstools, die helfen könnten:

Malwarebytes Anti-Malware -> Kurzanleitung
ComboFix -> Kurzanleitung
Auch Trojaner-Board.de stellt eine Kurzanleitung beider Tools zur Verfügung.
Antiviren Rescue CDs Empfehlungen

Aktualisieren Sie Ihren Virenscanner oder Antimalware-Scanner. Einige Scanner erkennen den Trojaner bereits. Auch das Zurückspielen eines Images (Beispiel Acronis True Image) kann zum Erfolg führen, wenn natürlich eins angelegt wurde.

Für weitere Hilfe bitte einen neuen Thread hier im Board eröffnen.

Viel Erfolg Eure pan_fee

[PCDpan_fee]

Hierbei handelt es sich, je nach Trojaner-Variante, um einen neuen Trojaner, der auch Dateien in ein Format wie locked-<Dateiname>.png.wxyz umbenennt.  
Beispiel: locked-IMG_0324.JPG.wnys oder locked-Desktop anzeigen.scf.wixa

Es werden keine Systemdateien umbenannt, nur Filme, Bilder, Dokumente etc.

Eine Bilddatei bekommt so zum Beispiel den Zusatz vorne "locked-" und eine Endung nach zufälligen Buchstabenkombinationen "wnys" - so wird aus der originalen Bilddatei IMG_0324.JPG eine vom Trojaner umbenannte Datei - locked-IMG_0324.JPG.wnys. Sie können zwar die Datei wieder in die originale Datei umbenennen und das Bild lässt sich auch wieder korrekt öffnen, nur wäre das zu viel Handarbeit und in einigen Fällen klappt es nicht. So verhält es sich auch mit PDFs, MP3s, HTML, DOCs etc. Es gibt aber Tools, die Ihnen helfen, die Dateien wieder zu entschlüsseln. "DecrypterHelper" und "Avira Ransom File Unlocker" wird am Ende des Threads vorgestellt.  
  
Infizieren kann man sich, wenn man einen E-Mail-Anhang öffnet (Rechnung.exe oder Abrechnung.exe) - meist mit einem falschen PDF-Symbol.
heise online: Vorsicht bei angeblicher Telekom-Onlinerechnung mit präparierten PDF-Anhang

Trend Micro warnt im Trend Micro Blog vor einer neuen Ransomware bzw. einem Lösegeld-Trojaner. Dabei sperrt der Trojaner den Rechner des Anwenders, bis dieser einen Geldbetrag an die mutmaßlichen Cyber-Erpresser überwiesen hat. Die Lösegeldzahlungen sind wirkungslos. Anders als die vorhergehende Ransomware, wie der GEMA- oder BKA-Trojaner, nistet sich der nun aufgetauchte Trojaner im sogenannten Master Boot Record (MBR) ein, und kann so den Start des Computers komplett verhindern. Der Trojaner wird über präparierte Websites übertragen. Nach der Installation führt das Programm einen Neustart durch und fordert den Nutzer zur Zahlung auf. Trend Micro hat eine Anleitung (Step 6 "Learn more") veröffentlicht, mit der sich der Schadcode entfernen lässt.
 
Es geht darum den Master-Boot-Record (MBR) mittels Wiederherstellungskonsole und den Befehl FixMbr zu reparieren.
Tipp für Windows XP: MBR defekt
Tipp für Vista/Win7: MBR unter Vista oder Windows 7 reparieren

Die Meldung, die erscheint ...

-----
Willkommen bei Windows Update
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 2048 Bit PGP-RSA Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar.

Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitupdate herunterladen. Diese Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es, weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen Ihre Daten nicht zu verlieren. Bitte schalten Sie Ihren Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie Ihre Daten komplett verlieren. Dieses Update beschützt Ihr System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Damit Ihr Computer schnellstens entsperrt wird, nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit durch Paysafecard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle oder einen Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da, wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergeladen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit.

50 Euro Paysafe-Card Code:____________________ [Code eingeben]

50 Euro Ukash Code: _____________________[Code eingeben]


-----

Zahlen Sie auf keinen Fall!

Verdächtige Dateien, bis bis jetzt bekannt sind:
Realtecdriver.exe
unter
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Realtec
%User Profile%\Drivers
%APPDATA%\Realtec
CB6E3819BC75221AB5F4.exe
(oder eine andere Buchstaben- und Zahlenkombination)
unter
C:\WINDOWS\system32

Unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run löschen Sie
Realtecdriver.exe
um den Trojaner-Start zu unterbinden.

Dann löschen sie unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"=C:\Windows\system32\userinit.exe,C:\Windows\system32\3E5D1393D8812EB16C61.exe - sodass nur noch "Userinit"=C:\Windows\system32\userinit.exe,  da steht (das Komma muss bleiben).



Zuletzt löschen Sie unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run
C10199CBD8812EB1F92D.exe (oder eine andere Buchstaben- und Zahlenkombination).

"Avira Ransom File Unlocker" oder "DecryptHelper" helfen die Dateien wiederherzustellen. Beide Tools sind in Deutsch und müssen nicht installiert werden.

Die DecryptHelper-0.5.2.zip enthält 2 Dateien: DecryptHelper-0.5.2.jar (javabasiert) und DecryptHelper-0.5.2.exe und ist von Matthias Kunig (trojaner-board.de).
Wichtig ist, das wenigstens eine originale, unverschlüsselte Datei noch vorhanden ist, zum Beispiel von einer alten Sicherung. Ein unverschlüsseltes Pendant zur verschlüsselten Datei reicht aus. Der DecryptHelper fordert nach dem Start des Programmes die originale und die verschlüsselte Datei und legt einen Schlüssel fest. Sobald dieser Schlüssel vorliegt, kann man Ordner für Ordner wieder entschlüsseln. Selbst Unterverzeichnisse werden bearbeitet. Am Ende bleibt dann noch das Löschen der verschlüsselten Datein die alle mit "locked-" beginnen.

Avira-RansomFileUnlocker-1.0.1.zip ist selbsterklärend und von trojaner-board.de

DecrypterHelper Version 0.52


Avira Ransom File Unlocker Version 1.0.1


Weitere Informationen: Trojaner Ransom-AI (von McAfee unter "Virus Characteristics")

Thread zu diesem Problem.