gegen Trickdiebe und Trickbetrüger

Erpressungs-Trojaner sperrt Computer

Beim sog. BKA-Trojaner Hier wird dem Nutzer des mit der Schadsoftware infizierten Computers mittels einer eingeblendeten Meldung z.B. mit Kopf Bundeskriminalamts, suggeriert, dass der Computer im Zusammenhang mit verschiedenen strafbaren Handlungen in Erscheinung getreten und daher gesperrt worden sei. Die Meldung informiert den Geschädigten weiterhin über die Möglichkeit einer Entsperrung des Computers nach Zahlung von 100 Euro. Dabei wird dem Geschädigten in der Regel die Möglichkeit der Bezahlung über digitale Zahlungsdienstleister angeboten, wodurch ein anonymer Geldtransfer vom Opfer zum Täter erfolgt. Mittlerweile sind weltweit mindestens 25 Staaten von diesem Phänomen betroffen. (Quelle: Bundeslagebericht Cybercrime 2012 (PDF Datei) des BKA

E-Mails mit gerichtlichen Vorladungen

Computernutzern werden E-Mails mit gerichtlichen Vorladungen zugesandt. Im Anhang befinden sich dann Schadprogramme, die den Rechner zumeist lahm legen. Die Polizei warnt davor, solche E-Mail-Anhänge zu öffnen. Unbekannte versenden vermeintlich offizielle Vorladungen zu Gerichtsverhandlungen in eigener Sache. Will der Empfänger Genaueres wissen, muss er eine angehängte Datei öffnen, die jedoch ein Schadprogramm - einen sogenannten Trojaner - enthält, der sich dann im Betriebssystem installiert, so dass der Rechner meist nicht mehr funktionsfähig ist. Die Polizei warnt davor, Dateianhänge solcher Mails zu öffnen, da Gerichte Vorladungen zu Verhandlungen nicht per E-Mail, sondern nur per Post versenden.

Quelle: Polizeipresse Mittelfranken v. 04.04.14

nach oben

Aktueller Erpressungstrojaner befällt nicht nur Windows

screenshotbrowlocktrojaner Das Landeskriminalamt Mecklenburg-Vorpommern warnt vor einem Trojaner mit dem Namen "Browlock", der den Rechner durch einen Sperrbildschirm blockiert.

Durch den Trojaner wird ein Betrag von 200 EUR für die Freigabe des eigenen Rechners gefordert. Bei der Aktivierung des Trojaners wird das Browserfenster in den Vollbildmodus geändert. Der Anwender wird daran gehindert das Fenster zu schließen. Außerdem wird eine Verschlüsselung der Daten des Rechners suggeriert, wobei diese technisch nicht stattfindet.

Am 18.08.2013 wurde eine bislang unbekannte Variante des "Browlock" Trojaners auf einem Rechner mit dem Betriebssystem Mac OS und dem Safari Browser festgestellt. Dabei wurde der Sperrbildschirm mit einer deutschen IP Adresse und in deutscher schlecht übersetzter Sprache dargestellt. Die vorherige Variante des "Browlock" Trojaners stellte Textpassagen hauptsächlich in spanischer /portugiesischer Sprache dar.Bislang waren hauptsächlich Windows Betriebssysteme von solchen Erpressungstrojanern befallen. Aufgrund dieser aktuellen Erkenntnisse werden Internetnutzer unabhängig vom genutzten Betriebssystem gewarnt, da definitiv auch andere Betriebssysteme (Linux/Mac OS) befallen werden können.

Das Landeskriminalamt rät: Sollte Ihnen beim Surfen im Internet eine derartige oder ähnliche Meldung angezeigt werden, kommen Sie der Zahlungsaufforderung auf keinen Fall nach. Wenden Sie sich an die nächste Polizeidienststelle. Das Surfen im Internet sollte sofort beendet werden. Der benutzte Rechner ist zu diesem Zeitpunkt bereits mit Schadsoftware (Trojaner) infiziert.

Generell gilt: Halten Sie den Update-Status ihres Betriebssystems und Ihrer genutzten Anti-Viren-Software immer auf dem aktuellen Stand. Damit verringert sich das Risiko einer Infektion mit der Schadsoftware. Vorsichtig sollten Nutzer auch bei unbekannten Links oder Dateianhängen von E-Mails sein. Dahinter können sich Schadprogramme sowie infizierte oder gefälschte Webseiten verbergen.

Quelle: Landeskriminalamt Mecklenburg-Vorpommern v. 21.08.13

nach oben

Neuer Erpressungstrojaner Urheberrechtsverletzungen

Eine neue Variante Erpressungssoftware, die unter Missbrauch der Namen des BSI, des Bundeskriminalamts und der Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) Windows-PCs befällt, sperrt und die Nutzer zu Geldzahlungen auffordert. Die aktuelle Version überlagert den Desktop nach der Anmeldung des Benutzers mit einer Warnmeldung, der Zugang zum PC sei "vorläufig" gesperrt worden und fordert den Nutzer auf, 100 Euro per PaySafeCard einzuzahlen, um wieder Zugriff auf den Rechner zu erhalten.

Wie auch die vorherigen Versionen der Schadsoftware, sperrt der Erpressungstrojaner den befallenen PC komplett und lässt sich – insbesondere für Laien – nur schwer wieder loswerden. Darüber hinaus kann sich der Nutzer bei der neuen Version nicht mehr im abgesicherten Modus am System anmelden. Stattdessen kann die Anmeldung und eine eventuelle Reinigung des Systems nur noch über ein sauberes Benutzerkonto erfolgen, sofern dieses schon vor dem Angriff auf dem Rechner existierte.

Nutzer, die eine derartige Meldung erhalten, sollten den geforderten Betrag auf keinen Fall zahlen. Hilfreiche Hinweise zur Bereinigung Ihres Systems von Schadsoftware finden Sie auf den Internet-Seiten des

Anti-Botnetz-Beratungszentrums [http://www.botfrei.de]. Im Zweifelsfall sollte ein Fachmann hinzugezogen werden. Zur Vorbeugung sollte der Update-Status des Betriebssystems und der genutzten Antiviren-Software sowie aller installierten Programme auf dem aktuellen Stand gehalten werden.

Quelle: Newsletter SICHER INFORMIERT www.buerger-cert.de v. 01.08.13

nach oben

Trojaner mit BKA-Logo, angebliche Kinderpornos

Aktuell: Antivirensoftware beseitigt auch verbotene Dateien

Bisher konnte es trotz einer Reinigung des PCs mit einer Antivirensoftware häufig passieren, dass die Dateien auf dem PC verbleiben. Da deren Besitz strafbar ist, haben einige Hersteller von Antivirensoftware reagiert und erkennen und löschen diesen Dateien jetzt ebenfalls. Das BSI hat dazu Hersteller von Antivirensoftware kontaktiert, die zum Teil schnell reagiert und entsprechende Signaturen bereit gestellt haben. heise.de [http://heise.de/-1862799] führt in einem Artikel die zur Verfügung stehenden Antivirenprodukte auf.

Quelle: Newsletter http://www.buerger-cert.de v.23.05.13

nach oben


Bereits vor längerer Zeit hat das LKA Niedersachsen vor einem Trojaner gewarnt, der die Rechner befällt, diesen für die weitere Nutzung sperrt und die Nutzer auffordert, zur Freischaltung, einen Geldbeitrag zu überweisen.

Popup Fenster BKA Erpressungstrojaner Jetzt gibt es eine neue Variante dieser Ransomware! Beim Surfen im Internet erscheint plötzlich ein Hinweisfenster und das Logo des Bundeskriminalamtes ist zu sehen. Der Nutzer wird darauf hingewiesen, dass er kinderpornografisches Material auf seinem Computer habe. Um eine Überwachung vorzutäuschen, versucht dieses Programm sogar, auf angeschlossene Webcams zuzugreifen, um das aktuelle Kamerabild zu übertragen. Zusätzlich werden sogar vier kinderpornografische Bilder auf dem Sperrbildschirm dargestellt.

Bei dieser Variante handelt es sich nicht um eine Mitteilung des BKA. Hier versuchen Täter wieder, den Nutzer zu erpressen. Das LKA Niedersachsen warnt davor, die geforderten 100 EUR zu zahlen. Der Computer wird durch eine Bezahlung nicht "freigeschaltet"! Auch besteht wieder die Gefahr, dass sich durch ein Abspeichern des Monitorbildes (z.B. über eine Fotoaufnahme per Digitalkamera) oder das spätere Ausdrucken dieses Bildes tatsächlich eine strafbare Handlung ergibt, da dadurch kinder-/jugendpornografisches Material vervielfältigt wurde.

Betroffene Computernutzer können bei einer Polizeidienststelle ihrer Wahl Anzeige erstatten. Sollte es dann notwendig sein, den Sperrbildschirm als Bildbeweis bei der Anzeige mitzubringen, so sollte der Bereich der kinder-/jugendpornografischen Bilder vor einer Aufnahme per Digicam vorsichtig abgedeckt werden. Alternativ kann, wenn es sich um ein gesperrtes Notebook handelt, dieses zur Anzeigenerstattung mitgebracht werden. Die Polizeibeamten vor Ort werden über den weiteren Verlauf informieren.

Hintergründe, wie die Schadsoftware auf den PC gelangt sein könnte, sind derzeit noch nicht bekannt. Es wird vermutet, dass dieses als Drive-By-Infektion erfolgt. Hierbei kann die Schadsoftware beim Surfen im Internet nebenbei unbemerkt auf den PC geladen werden. Dies kann auf infizierten, harmlosen Internetseiten, aber auch Internetseiten mit tatsächlich illegalem Inhalt geschehen.

In diesem Zuge wird auch auf die Internetseite www.botfrei.de verweisen, auf der wertvolle Tipps u. a. zur Ransomware und deren Entfernung gegeben werden. Es wird dazu geraten, ein aktuelles Betriebssystem, sowie aktuelle Antivirensoftware und eine Firewall einzusetzen, um solchen Bedrohungen vorzubeugen. Kostenpflichtige Virenscanner sind den kostenfreien vorzuziehen, weil sie eine bessere Leistung bieten!

Quelle: Polizeipresse Stade, news aktuell v. 04.04.13

nach oben

Erpressungs-Trojaner per Skype

Eine 14jährige aus Himmelpforten hatte über "Skype" mit einem Bekannten gechattet, als plötzlich eine Nachricht mit angefügtem Link auf dem Bildschirm erschien. Darin stand: "Ich habe das Bild wieder gefunden, Schau es dir mal an". Nachdem sie den Link angeklickt hatte, wurde ihr Rechner blockiert. Sie erhielt die Mitteilung, dass ihr Rechner gesperrt sei, da sie gegen diverse Straftaten (u.a. verbotene Internetseiten) verstoßen habe. Weiterhin wurde sie aufgefordert, über PaySafeCard oder Ukash 100,-Euro zu zahlen. Dieser Aufforderung kam die Geschädigte natürlich nicht nach.

Später stellte sich heraus, dass alle Kontakte der Geschädigten ebenfalls eine derartige Nachricht bekommen hatten. Der Rechner ist nach wie vor blockiert. Nach Angaben der Polizei nimmt die Kriminalität auf diesem Gebiet in letzter Zeit spürbar zu. Mit immer neuen Maschen versuchen die Täter, die PC-Nutzer zu schädigen. Über Skype waren in dieser Form derartige Taten bisher nicht bekannt. Die Polizei weist erneut darauf hin, bei Nachrichten/E-Mails sich genau anzuschauen, wer der Absender ist. Ist dieser nicht vertrauenswürdig, die Nachricht auf keinen Fall öffnen oder Links anklicken, sondern sie sofort löschen.

Quelle: Polizeipresse Stade, news aktuell v. 19.03.13

nach oben

Computersperre wegen Kinderpornos

Wieder ist eine neue Variante von Erpressungs-Schadsoftware, eine so genannte Ransomware, im Umlauf, die Computer infiziert und sperrt. Eine Nutzung des Rechners ist nicht mehr möglich. Dabei wird durch die Schadsoftware ein sogenanntes Popup-Fenster mit den Logos des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) eingeblendet. Darin wird dem Nutzer unterstellt, dass der Rechner im Zusammenhang mit der Verbreitung kinderpornografischen Materials, bei terroristischen Aktionen, Urheberrechtsverletzungen oder anderen Straftaten genutzt worden sei. Es folgt die Behauptung, dass die Funktion des Computers "aus Gründen unbefugter Netzaktivitäten ausgesetzt worden" sei. Zur Untermauerung der Anschuldigungen werden angebliche Gesetzesvorschriften zitiert, deren Verletzungen Ursache für die Sperrung sein sollen.

Bei dieser Variante von Schadsoftware wird auch ein Foto eingeblendet. Dabei handelt sich nach Einschätzung des Bundeskriminalamtes um eine strafbewehrte jugendpornografische Darstellung. Im weiteren Text wird behauptet, dass "die Wiedergabe von pornografischen Inhalten mit Minderjährigen festgestellt" worden sei. Wie bei Ransomware üblich, wird der Nutzer schließlich zur Zahlung von 100 Euro über die digitalen Zahlungsdienstleister uKash oder Paysafecard aufgefordert, um einen Freigabecode zur angeblichen Entsperrung des Rechners zu erhalten.

Hierzu erklären das Bundeskriminalamt und das BSI: Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch die Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) sind Urheber einer solchen Meldung! Sollten Sie eine derartige Meldung erhalten, zahlen Sie den geforderten Betrag auf keinen Fall! Ihr Rechner ist bereits mit einer Schadsoftware infiziert, die wesentliche Teile des Betriebssystems verändert hat, um das Popup-Fenster zu generieren. Ein regulärer Zugriff auf Ihr Betriebssystem ist mit hoher Wahrscheinlichkeit auch nach Begleichung der geforderten Zahlung nicht möglich. Vorsorglich wird darauf hingewiesen, dass die Sicherung der in der Ransomware enthaltenen jugendpornografischen Darstellung eine Besitzverschaffung bzw. einen strafbaren Besitz von Jugendpornografie darstellt.

Lassen Sie sich von dem Foto und der Behauptung, dass "die Wiedergabe von pornografischen Inhalten mit Minderjährigen festgestellt" worden sei, nicht einschüchtern und zu Zahlungen drängen. Es handelt sich hierbei um eine Form der digitalen Erpressung. Sie sind Opfer einer Straftat geworden. Hilfreiche Hinweise zur Bereinigung Ihres Systems von Schadsoftware finden Sie auf den Internet-Seiten des Anti-Botnetz-Beratungszentrums unter www.botfrei.de.

Quelle: www.bsi.bund.de v. 29.01.13

nach oben

Persönliche Zahlungserinnerung mit zip-Datei

In den neuesten Fällen erhalten Internetnutzer eine Zahlungserinnerung per Email. Absender sind vermeintlich "alternate.de", "amazon.de" oder "itunes.apple". Auch andere Absender sind möglich. Wöchentlich werden mehrere Fälle bei den hiesigen Polizeistationen gemeldet. Allein im Bereich Frankenberg sind in der letzten Woche 10 neue Fälle bekannt geworden.

In der Zahlungserinnerung werden die Empfänger persönlich angesprochen und freundlich auf eine nicht beglichene Rechnung hingewiesen. Folgt man anschließend der Aufforderung, einen Anhang (ZIP-Datei) zu öffnen, verseucht man seinen Rechner mit einem Lösegeld-Trojaner (Ransomware), der den Computer sperrt. Den Opfern wird vorgegaukelt, dass eine Polizeibehörde (meist Bundespolizei) den Computer über das Internet wegen einer ungesetzlichen Handlung verschlüsselt hat. Für die Entsperrung soll der Nutzer dann eine Zahlung per UKash bzw. Paysafe-code leisten. Um auf die Nutzer noch weiteren Druck auszuüben, wird mit der Formatierung der Festplatte gedroht.

Die Polizei empfiehlt in diesen Fällen:

Quelle: Polizeipresse Nordhessen, news aktuell v. 29.01.13

nach oben

Neuer Trojaner, Wiederherstellung selten möglich

BSI und Polizei weisen auf besonders aggressive Schadsoftware hin

Erpresser missbrauchen offizielle Logos und erpressen Geldbeträge durch Verschlüsselung von PCs - Vollständige Wiederherstellung von betroffenen Rechnern selten möglich.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizeiliche Kriminalprävention der Länder und des Bundes weisen auf eine neue und besonders dreiste Variante von Schadsoftware hin. Kriminelle versuchen damit, Geld von PC-Besitzern zu erpressen. Bei den Attacken werden die PCs von Betroffenen so verschlüsselt, dass eine vollständige Wiederherstellung aller Daten oft nicht möglich ist. Die Polizei und das BSI zeigen Schutzempfehlungen auf und geben konkrete Handlungshilfen für den Ernstfall.

Die neueste Variante der Schadsoftware, der so genannte Windows-Verschlüsselungs-Trojaner, wird bundesweit über Spam-Mails verbreitet. Die angeschriebenen Personen werden beispielsweise im Namen einer Staatsanwaltschaft im Bundesgebiet dazu verleitet, die beigefügten Anhänge zu öffnen. Doch schon beim Öffnen des Anhangs wird der PC verschlüsselt und Geld gefordert.

Auch nach Bezahlen der Forderung, in der Regel 100 Euro per Paysafecard oder 50 Euro per Ukash, wird die Sperrung nicht aufgehoben. Vielmehr sind sämtliche Dateien auf dem PC so verschlüsselt, dass auch die Wiederherstellung mit einer Rettungs-CD („Rescue Disk“) nur teilweise erfolgreich ist.

Immer wieder tauchen neue Varianten dieser bereits seit 2011 bekannten Schadsoftware auf. Um Glaubwürdigkeit vorzutäuschen, missbrauchen die Erpresser offizielle Logos von bekannten Unternehmen und Behörden. So wurden bereits Logos des Bundeskriminalamts, der Bundespolizei oder verschiedener Softwareunternehmen zu betrügerischen Zwecken verwendet.

Eine andere Variante der Schadsoftware täuscht die Nutzer mit den Logos des BSI und der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU).

Kritisch sein und Anzeige erstatten "Das BSI sowie die anderen Behörden und Unternehmen sind nicht Absender dieser Meldungen", betont BSI-Präsident Michael Hange. "Wir rechnen mit einer weiteren Zunahme relevanter Schwachstellen und neuer Schadprogramme beziehungsweise deren Varianten", führt Hange weiter aus. "Insofern wird die Gefährdungslage tendenziell eher noch zunehmen.

Mit Standard-Schutzmaßnahmen lassen sich aber auch im privaten Umfeld bereits 80 Prozent aller Cyber-Angriffe abwehren." Anwender sollten daher stets auf aktuelle Virenschutzprogramme achten, sowie Sicherheitsupdates für die von ihnen genutzte Software einspielen, sobald diese von den Herstellern bereitgestellt werden. Die Programme der im Markt bekannten Antivirensoftware-Hersteller erkennen in der Regel die bekannten Varianten der Erpressungsschadsoftware und hindern sie daran, den Rechner zu infizieren.

Das BSI und die Polizeiliche Kriminalprävention der Länder und des Bundes raten allen Betroffenen, die geforderte Gebühr unter keinen Umständen zu bezahlen. "Sollten Internet-Nutzer von einer der Erpressungsvarianten betroffen sein, sollten sie umgehend Anzeige bei der nächstgelegenen Polizeidienststelle erstatten", empfiehlt Professor Dr. Wolf Hammann, Vorsitzender der Polizeilichen Kriminalprävention der Länder und des Bundes. "Eine Zahlung des geforderten Betrags führt nicht zu einer Entschlüsselung des Rechners. Jeder sollte sich bewusst machen, dass offizielle Stellen in dieser Form niemanden ansprechen und in dieser Form kein Geld fordern würden", betont Hammann.

Eine Möglichkeit, einen durch Trojanerbefall gesperrten Rechner von der Schadsoftware zu befreien, können Rettungs-CDs sein, die beispielsweise die Anbieter von Antivirensoftware auf ihren Webseiten zum Teil kostenfrei bereitstellen. Diese Rettungs-CDs müssen über einen nicht infizierten Rechner heruntergeladen und auf den betroffenen Rechner aufgespielt werden.

Im Falle der neuesten Schadsoftware-Variante empfehlen Polizei und BSI jedoch, sich an IT-Experten zu wenden, die bei der Entschlüsselung des Rechners behilflich sein können. Darüber hinaus bietet das Anti-Botnetz-Beratungszentrum auf seinem Internet-Angebot unter https://www.botfrei.de/ eine Schritt-für-Schritt-Anleitung, mit der Betroffene ihren Rechner reinigen können.

Quelle: Polizeipresse Brandenburg v. 01.08.12

nach oben

PDF-Rechnungen Zusatzdienstleistungen

Am Dienstag (05.06.2012) wurde eine neue E-Mail-Welle beobachtet, die als Dateianhang angebliche Rechnungen von ELSTER, der Telekom, Vodafone oder o2 enthielt. Tatsächlich wurden diese E-Mails nach BSI-Erkenntnissen aus mindestens 13 unterschiedlichen Ländern versendet. Der PDF-Anhang der angeblichen Rechnung für nicht näher beschriebene "Zusatzdienstleistungen" enthielt eine Banking-Trojaner-Variante, die zur Zeit nur von sehr wenigen Anti-Virus-Lösungen erkannt wird.

Das BSI (Bundesamt für Sicherheit) empfiehlt, die E-Mail ungelesen zu löschen. Benutzer, die den Anhang bereits geöffnet haben müssen damit rechnen, dass ihr PC infiziert wurde. Unwahrscheinlich ist eine Infektion des Rechners von Nutzern, die zur PDF-Betrachtung den Adobe Reader X mit aktiviertem Sicheren Modus ("Sandbox") verwenden. Die Erkennung des Banking-Trojaners ist für den Laien jedoch im Normalfall nicht zu erkennen.

Wenn Sie unsicher sind, ob Ihr System von dem Trojaner befallen ist, dann verzichten Sie vorerst auf Online-Banking-Vorgänge und aktualisierten regelmäßig Ihr Antivirenprogramm. Prüfen Sie zudem in kurzen Abständen Ihre Bankkonten auf illegitime Vorgänge und ungewöhnliche Kontobewegungen und informieren Sie Ihre Bank darüber. Wenn Sie als Nutzer von dem Banking-Trojaner betroffen sind, ist die einzig sichere Methode eine Neuinstallation des Rechner.

Quelle: Newsletter Sicher informiert www.buerger-cert.de 07.06.12

nach oben

E-Mail BKA erdrückende Akte

Das Bundeskriminalamt warnt vor einer Schadsoftware, die über den Versand von E-Mails in Umlauf gebracht wird. Die E-Mails verschiedenen Inhalts tragen unter anderem den Hinweis: "BKA erdrückende Akte gegen ["Name des Empfängers"]". Der Anhang der E-Mail (z. B. "Akte.zip") enthält eine Schadsoftware, die sich nach Öffnung des Anhangs installiert.

Bild dieses Popup Fensters Ein Bild dieses Pop-Up-Fensters

Anschließend wird in einem Pop-Up-Fenster angegeben, dass der Computer nach den Besuchen pornografischer Webseiten mit einem Verschlüsselungstrojaner infiziert sei. Der User müsse über uKash oder Paysafecard für 100 Euro ein kostenpflichtiges Sicherheitsupdate herunterladen, um die Verschlüsselung zu bseitigen.

Ist der Rechner bereits infiziert, bezahlen Sie den geforderten Betrag auf keinen Fall. Der Rechner ist bereits mit der Schadsoftware infiziert, die wesentliche Teile des Betriebssystems verändert hat, um das Pop-Up-Fenster zu generieren. Ein normaler Zugriff auf Ihr Betriebssystem ist auch nach der rechtswidrig geforderten Zahlung nicht möglich.

Nach bisherigem Kenntnisstand verschlüsselt die Schadsoftware tatsächlich einige Bereiche der Festplatte. Dies bedeutet, dass selbst nach der Wiederherstellung der Systemfunktionalität immer noch auf einige Dateien kein Zugriff genommen werden kann.

Hinweise zur Bereinigung von Schadsoftware befinden sich u. a. auf der Webseite www.botfrei.de

Es wird weiterhin empfohlen, den Update-Status des Betriebssystems und der genutzten Anti-Viren-Software und installierter Programme auf dem aktuellen Stand zu halten. Dies erhöht die Chancen, erst gar nicht mit der Schadsoftware infiziert zu werden.

Quelle: Bundeskriminalamt, news aktuell gmbh 25.05.12

nach oben

Windows Update, per Ukash 50 Euro

Seit etwa drei Wochen versuchen unbekannte Betrüger bundesweit mit einem neuen Trojaner, sog. Ransomware, Internet-PC-Nutzer zu schädigen. Auch in Südwestsachsen gibt es bereits ein Dutzend zur Anzeige gelangte Fälle.

Die Geschädigten erhielten jeweils eine E-Mail von einer erfundenen Firma und wurden als neues Mitglied/neuer Kunde/neuer Member o. ä. begrüßt sowie eine Abbuchung der entstandenen Kosten angekündigt. Einzelheiten wären aus der der E-Mail anhängigen Datei (eine gezippte exe-Datei) zu entnehmen.

Beim Öffnen dieser Datei installierte sich dann der Trojaner jeweils auf dem PC und es erschien ein Bild mit Text, welcher überschrieben war mit „Windows Update“. Folgend wurden die Geschädigten unter einem Vorwand aufgefordert, per Ukash 50 Euro zu zahlen, um ihren PC von einem „Verschlüsselungs-Trojaner“ zu befreien.

Der eigentliche Trojaner wurde als Virus TR/Injection.LO ermittelt, welcher sich vor den Systemstart setzt.

Die Polizei warnt davor, den E-Mail-Anhang zu öffnen und, wenn doch geschehen, auf die Geldforderung einzugehen. Sollte es zu dem Trojaner-Befall gekommen sein, so kann man im Internet Hilfe finden, u. a. bei Anti-Botnet unter www.technik@botfrei.de.

In jedem Falle sollte bereits bei Empfang der E-Mail bei der Polizei Anzeige erstattet werden. In Vorarbeit dazu sollte man die E-Mail samt Anlage auf CD speichern sowie die erweiterte Kopfzeile der E-Mail und den Wortlaut der E-Mail entweder ausdrucken oder durch sog. Screen-Shot fotografieren und ebenfalls abspeichern.

Quelle: Polizeipresse Sachsen, news aktuell gmbh 11.05.12

nach oben

E-Mail-Rechnung, Anhang verschlüsselt PC

Im Bereich des Polizeipräsidiums Südhessen und auch in anderen Gebieten sind im Laufe dieser Woche (30.04.-04.05.2012) vermehrt Anzeigen wegen einer Computersabotage eingegangen. Bislang unbekannte Täter haben e-Mails mit hohen Geldforderungen, Vertragsabschlüssen, Mitgliedschaften, Onlinekäufen oder Abmahnungen versandt, zum Teil von namhaften Unternehmen.

Im Anhang der e-Mails befanden sich ".exe"-Dateien mit einem sogenannten Trojaner. Kriminalhauptkommissar Marc Freitag vom Internetkommissariat des Polizeipräsidiums Südhessen erklärt, wie die Täter vorgehen:

Kriminelle verschicken massenhaft e-Mails an eine Vielzahl von Empfängern. Diese e-Mails suggerieren dem Empfänger, dass er Ware bei einem bestimmten Absender bestellt hat oder ein Abonnement abgeschlossen hat. Der e-Mail-Anhang in Form einer ".zip"-Datei, würde angeblich die Rechnung oder aber auch ein Widerspruchsformular beinhalten. Tatsächlich handelt es sich bei dem Anhang aber nicht um eine ".zip"-Datei sondern um einen Trojaner in Form einer ".exe"-Datei.

Öffnet man den Anhang, so löst der Trojaner eine Verschlüsselung von Dokumenten aus. Diese Verschlüsselung soll man durch eine Zahlung von 50,- Euro wieder rückgängig machen können. Eine entsprechende Maske zur Zahlungseingabe erscheint unmittelbar auf dem Bildschirm. Nach einer Zahlung soll der Computer angeblich wieder voll funktionsfähig sein.

Die Polizepresse Bayern berichtet am 04.05.12:
Nach einem Neustart wird der Rechner in den meisten Fällen gesperrt, der Bildschirm wird schwarz und es erscheint ein blaues Bildschirmfenster. Darin wird dem Nutzer erklärt, seine Windows-Version wäre nicht lizenziert und bleibe bis auf Weiteres Eigentum der Firma Microsoft. Die Windows-Lizenz können nun vom Nutzer durch Zahlung von 100.- Euro per Ucash oder Paysafe-Code wieder freigeschalten werden. Dazu sind zwei Eingabefelder vorhanden, in die man diesen Code eintragen kann. Selbstverständlich bewirkt die Übermittlung des Bezahlcodes am Computer gar nichts.

Die Polizei warnt in diesem Zusammenhang dringend: Vergewissern Sie sich, ob Ihre e- Mails von legitimen Absendern stammen. Sollte dies nicht der Fall sein, öffnen Sie unter keinen Umständen den Anhang solcher Mails! Öffnen Sie grundsätzlich nicht leichtfertig Ihre e-Mails.

Hilfestellungen zu dem Trojaner "trojan.matsnu.1" sind im Internet zu finden. Grundsätzlich rät die Polizei zur Neuinstallation der Software bei infizierten Rechner und regelmäßiger Änderung der Kennwörter.

Quelle: Polizeipresse Südhessen, news aktuell gmbh 04.05.12

nach oben

Festplatte durch Trojaner gesperrt

Der Trojaner taucht bundesweit auf. Das Besondere an den Schadprogrammen ist, dass sie den heimischen PC völlig lahm legen - ein Weiterarbeiten ist unmöglich.

Es öffnet sich eine bkatrojaner-Meldung Bildschirmseite, auf der zumeist das Bundeskriminalamt, die Bundespolizei oder auch die GEMA genannt wird und eine Zahlung von 100 Euro gefordert wird, weil angeblich illegale Seiten besucht wurden. Damit die Zahlung nicht zurückverfolgt werden kann, soll das "Internetgeld" UKash verwandt werden, bei dem nur eine PIN-Nummer eingegeben werden muss. Auf der anderen Seite, oft tausende Kilometer entfernt, muss die Summe nur noch abgehoben werden.

Quelle: Polizeipresse Rotenburg, news aktuell gmbh 15..08.11

Das Pop-Up enthält zur weiteren Untermauerung der Authentizität der Meldung Angaben über den betroffenen Computer, dessen Betriebssystem sowie der verwendeten IP-Adresse und dessen Provider. Nach den bisherigen Ermittlungen der Kriminalpolizei existiert das Phänomen seit Februar 2011 in mehreren Wellen.

Das Das Hessische Landeskriminalamt warnt: Eine Infizierung mit dem Virus erfolgt nach Kenntnissen der Polizei auf Videoportalen oder Pornoseiten. Seit Kurzem wurden aber auch vermehrt Infektionen auf Facebook registriert. "Bist du das auf dem Bild?" ist dann die Botschaft, die den Nutzer dazu bringt, auf ein Foto oder einen Link zu klicken, wodurch er sich den Virus auf den PC lädt.


Wie entfernt man den Erpressungstrojaner?

Wer sich trotz aktueller Firewall und Virenscanner den Erpressung-Trojaner eingefangen hat, sollte über einen anderen PC die Internetseite www.botfrei.de aufsuchen, an der das Bundesamt für Sicherheit in der Informationstechnologie beteiligt ist. Hier bekommt man die aktuellsten Tipps und das Programm DE-Cleaner, das den Trojaner löscht und das System wieder herstellt. Dazu muss eine lauffähige CD mit dem Reinigungsprogramm erstellt werden, deren Inhalt dort herunter geladen werden kann. Die Vorgehensweise ist gut erläutert, auch Nichtprofis dürfte es gelingen, den Computer wieder virenfrei und betriebsbereit zu bekommen.

Das Service-Center des Bundesamts für Sicherheit in der Informationstechnik steht für Fragen von Privatnutzern unter 01805- 274100 (14 ct/Minute aus dem deutschen Festnetz) oder unter mail@bsi-fuer-buerger.de zur Verfügung.

Quelle: Polizeipresse Rotenburg, news aktuell gmbh 15..08.11


Hier nur zwei beispielhafte Fälle

Gleich zwei Fälle von Internetkriminalität beschäftigten die Polizei im Landkreis Hersfeld-Rotenburg und das Internetkommissariat (ZK 50) in Fulda. Zunächst rief am Sonntagabend, 24.07.11, ein besorgter 50jähriger Mann aus Wildeck und am Mittwochabend, 27.07.11, eine 39jährige Frau aus Bad Hersfeld bei der Polizei an. In beiden Fällen hatten sich die beiden Internetnutzer einen Virus auf ihren Computern eingefangen.

Das Polizeipräsidium Osthessen warnt nun noch einmal Internetuser vor einem aggressiven Computervirus. Das Bundeskriminalamt (BKA) hatte bereits Anfang April 2011 eine entsprechende Warnmeldung veröffentlicht. Die Schadsoftware lädt sich automatisch beim Surfen im Internet herunter und installiert sich dann selbstständig auf dem infizierten Computer. Nach der Installation öffnet sich ein bildschirmfüllendes Pop-Up-Fenster.

Der darin erscheinende Text behauptet, dass der Computer an strafbaren Handlungen, insbesondere im Zusammenhang mit der Verteilung kinderpornografischen Materials sowie dem Versand von E-Mails mit terroristischem Hintergrund beteiligt gewesen sein soll. Bei diesem Phänomen handelt es sich um einen Trojaner, den sich der Betroffene über das Internet, wie auch immer, eingefangen hat. Dieser verhindert die weitere Nutzung des Computers.

Zur Entsperrung soll der Benutzer des Computers nunmehr binnen 24 Stunden eine "Strafe" in Höhe von 100 Euro mittels des digitalen Bezahldienstes "uKash" entrichten. Sollte der geforderte Betrag nicht entrichtet werden, würde die Festplatte des Computers gelöscht werden.

Das Pop-Up enthält zur weiteren Untermauerung der Authentizität der Meldung Angaben über den betroffenen Computer, dessen Betriebssystem sowie der verwendeten IP-Adresse und dessen Provider. Nach den bisherigen Ermittlungen der Kriminalpolizei existiert das Phänomen seit Februar 2011 in mehreren Wellen. Die Angriffe auf Internetrechner in Deutschland erfolgen demnach von Rechnern in Osteuropa.

Besonders dreist: Um den Eindruck einer polizeilichen Handlung zu erwecken bzw. zur Bekräftigung der Drohung nutzen die Täter rechtswidrig die Logos des Bundeskriminalamtes und der Bundespolizei sowie von verschiedenen bekannten Antiviren-Herstellern.

Weder das Bundeskriminalamt noch die Bundespolizei sind Urheber einer solchen Meldung. In dem vorliegenden Fall handelt es sich um einen Betrugsversuch. Die Polizeien in Deutschland nutzen in keinem Fall Pop-Up-Fenster, in denen zur Zahlung bestimmter Beträge aufgefordert wird.

Die Polizei rät:

Internetuser, die eine derartige Pop-Up-Meldung auf ihrem Computer erhalten, sollten den geforderten Betrag auf keinen Fall bezahlen. Der Rechner ist bereits mit der Schadsoftware infiziert, die wesentliche Teile des Betriebssystems verändert hat, um das Pop-Up zu generieren. Ein normaler Zugriff auf das Betriebssystem ist auch nach der rechtswidrig geforderten Zahlung nicht möglich. Die Sicherheitsbehörden arbeiten derzeit gemeinsam intensiv an einer Empfehlung, wie durch die Benutzer eine Bereinigung des infizierten Rechners erfolgen kann.

Generell gilt: Vorsicht ist besser als Nachsicht - Halten Sie deshalb den Update-Status ihres Betriebssystems und Ihrer genutzten Anti-Viren-Software immer auf dem aktuellen Stand. Dies erhöht die Chancen, dass es erst gar nicht zu einer Infektion mit der Schadsoftware kommt.

Quelle: Polizeipresse Osthessen, news aktuell gmbh v. 28.07.11

Das Service-Center des Bundesamts für Sicherheit in der Informationstechnik steht für Fragen von Privatnutzern unter 01805- 274100 (14 ct/Minute aus dem deutschen Festnetz) oder unter mail@bsi-fuer-buerger.de zur Verfügung.