Erpresser-Trojaner fordern Geld und verschlüsseln Daten

Erpresser-Trojaner zeigt gefälschte Windows-Aktivierung an, damit Sie eine teure Rufnummer mit Ihrem Handy anrufen

Erpresser-Trojaner werden über gefährliche Webseiten und E-Mail-Anhänge installiert, blockieren Ihren PC und fordern zur Freigabe des Rechners eine Geldsumme von 50 EUR oder 100 EUR. Anfangs ließen sich diese Schadprogramme einfach entfernen, doch die neue Generation verschlüsselt die Festplatte mit Ihren Daten. Wie Sie sich vor Erpresser-Trojanern schützen und Ihre Daten retten lesen Sie hier.

Woran Sie eine Infektion mit einem Erpresser-Trojaner erkennen

Erpresser-Trojaner erkennen Sie leicht. Im Gegensatz zu anderen Schadprogrammen verstecken sich Erpresser-Trojaner nicht, sie machen im Gegenteil nach kurzer Zeit sehr deutlich und unübersehbar auf sich aufmerksam.

Nach der Infektion Ihres Rechners wird eine Meldung angezeigt, dass Sie angeblich eine Urheberrechtsverletzung begangen hätten und daher zahlen müssten. Es wird zum Beispiel behauptet, Sie hätten keine gültige Windows-Lizenz oder Sie hätten Raubkopien aus dem Internet heruntergeladen.

Teilweise wird zuvor als "Warnung" der Bildschirm schwarz, denn Microsoft verwendet einen solchen "Blackscreen" in einigen Ländern, wenn auf dem Rechner ungültige Lizenzen gefunden werden oder die Testzeit von Windows abgelaufen ist.

Dabei geben sich die Erpresser als das Bundeskriminalamt (BKA), das Bundesministerium für die Sicherheit in der Informationstechnik (BSI), Microsoft, die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen oder andere bekannte Organisationen und Firmen aus. Die Verbrecher verwenden die Logos der angegebenen Unternehmen bzw. Organisationen und üben starken Druck aus.

So wird etwa gedroht, dass alle Daten und Windows gelöscht würden, wenn nicht innerhalb von 48 Stunden eine bestimmte Summe bezahlt würde. Außerdem lässt sich Windows nicht mehr nutzen, denn bei jedem Start erscheint sofort die Meldung des Erpresser-Trojaners und es lässt sich nicht zu einer Anwendung wechseln oder ein Windows-Zubehör aufrufen.

Was Erpresser-Trojaner fordern und womit sie Ihnen drohen

Gefordert werden meist 50 EUR oder 100 EUR durch Kauf einer in Deutschland unüblichen Prepaid-Karte wie einer Paysafecard oder einer Ukash-Karte. Daher wird diese Art von Erpresser-Trojaner auch als Ukash-Trojaner bezeichnet. Andere Bezeichnungen sind je nach verwendetem Absender oder Wirkung BSI-Trojaner, GVU-Trojaner oder Webcam-Trojaner.

Denn einige Erpresser-Trojaner nehmen über die angeschlossene Webcam ein Bild von Ihnen auf und zeigen es in der Meldung an. Dadurch kann zusätzlicher Druck aufgebaut werden. So kann ein Erpresser-Trojaner etwa drohen, dass dieses Bild in Facebook oder auf anderen Webseiten im Internet veröffentlicht würde zusammen mit einer Meldung, in der Sie irgendeines Verbrechens beschuldigt würden.

Tatsächlich wäre es sicher sehr unangenehm, das eigene Bild auf einer Webseite zu sehen, wenn dort behauptet wird, man wäre ein Raubkopierer oder gar ein Kinderschänder. Nicht immer wird die Erpressung und der Betrug jedoch so deutlich. Es kann auch ein gefälschter, blauer Aktivierungsbildschirm erscheinen, der so aussieht, als käme er von Windows.

In dieser Meldung wird in englischer Sprache behauptet, dass die Aktivierung von Windows per SMS und per Internet nicht verfügbar wäre. Sie sollen eine der angegebenen Rufnummern mit Ihrem Mobiltelefon wählen und einen Code eingeben. Ein solcher Anruf führt zu einem sehr teuren Ferngespräch, das Ihnen Ihr Mobilfunkprovider anschließend in Rechnung stellt. Wählen Sie daher in einem solchen Fall niemals eine dieser Nummern!

Was das Bundeskriminalamt und das BSI Ihnen raten

Sowohl Bundeskriminalamt als auch das Bundesamt für die Sicherheit in der Informationstechnologie (BSI) raten in solchen Fällen, dass Sie auf keinen Fall zahlen sollen. Eine Zahlung soll Ihnen nach Angaben des BKA gar nichts nützen, denn die Erpresser entschlüsseln die Daten angeblich auch nach erfolgter Zahlung nicht, vermutlich um kein Risiko einzugehen, gefunden zu werden.

Wie Sie einen Erpresser-Trojaner über den abgesicherten Modus loswerden

Erpresser-Trojaner der ersten Generation sind recht einfach zu entfernen, da es sich lediglich um ein Programm handelt, das die Erpressung anzeigt und den Rechner sperrt. Das Programm wird automatisch mit Windows gestartet und kann daher über den abgesicherten Modus entfernt werden:

  1. Schalten Sie Ihren PC aus und starten Sie ihn wieder neu, dabei drücken Sie die Taste F8 und rufen so den abgesicherten Modus auf.
  2. Führen Sie eine Systemwiederherstellung durch auf einen Tag vor der Infektion mit dem Erpresser-Trojaner.

Alternativ zu dieser Methode können Sie einen PC mit Windows Vista oder 7 auch mit der Setup-DVD starten und darüber die Systemwiederherstellung aufrufen. Der abgesicherte Modus lässt sich allerdings nicht immer aufrufen und wenn die Systemwiederherstellung deaktiviert wurde oder aus anderen Gründen nicht funktioniert, schlägt diese Lösung fehl.

Erpresser-Trojaner mit Kaspersky WindowsUnlocker oder einer anderen Live-CD entfernen

Als zweites Rettungsverfahren bietet sich eine Rettungs-CD mit Kaspersky WindowsUnlocker an.

Sie laden die Image-Datei bei Kaspersky herunter, brennen eine CD oder DVD, auch ein USB-Stick lässt sich verwenden, und starten damit Ihren PC. Kaspersky WindowsUnlocker bereinigt dann die Registry von den Einträgen des Schadprogramms.

Statt Kaspersky WindowsUnlocker können Sie es auch mit Windows Defender Offline oder der zu Ihrem Antiviren-Programm angebotenen Live-CD versuchen.

Schauen Sie auf der Support-Seite des Herstellers Ihres Antiviren-Programms nach. Sie benötigen in jedem Fall einen zweiten PC zum Anfertigen der Live-CD, denn den blockierten Rechner können Sie dazu ja nicht mehr verwenden.

Verschlüsselte Daten retten mit der Datensicherung oder einem Entschlüsselungsprogramm

Im günstigsten Fall funktionieren Windows und Ihre Anwendungen anschließend wieder fehlerfrei und Sie haben auch wieder Zugriff auf Ihre Daten.

Doch wenn der Erpresser-Trojaner Ihre Daten verschlüsselt hat, haben Sie darauf keinen Zugriff mehr und sehr viel Arbeit durch veränderte Dateinamen vor sich. Die Dateien werden umbenannt, enthalten zum Beispiel die Zeichenkette "locked" (gesperrt) oder eine neue Dateiendung wie .abcd.

Selbst wenn die Datei nicht verschlüsselt ist, müssen Sie erst wieder die Dateiendung ändern, bevor Sie diese mit dem betreffenden Programm aufrufen können. Es hängt von der Anzahl der geänderten Dateien und den betroffenen Dateiformaten ab, ob hier eine Chance auf vollständige Wiederherstellung besteht.

Sie müssen Ihre Dateien in jedem Fall sehr gut kennen und die verwendeten Dateiformate ebenfalls, um diese Aufgabe bewältigen zu können. Dazu brauchen Sie etliche Stunden oder auch Tage.

Noch schlimmer ist jedoch, dass die Dateien mit einem Ihnen unbekannten Schlüssel verschlüsselt wurden und der Inhalt erst dann wieder verwendbar ist, wenn Sie diesen Schlüssel finden.

Es gibt dazu Hackerprogramme, deren Verwendung allerdings in Deutschland verboten ist. Dazu sind leistungsfähige Programme dieser Art sehr teuer. Sie brauchen für einen solchen Brute-Force-Hack auch sehr leistungsfähige Hardware und trotzdem dauert das Finden des Schlüssels womöglich Tage, Wochen oder sogar Jahre.

Als Quintessenz gibt es daher nur eine schnelle und sichere Methode, um Ihre Daten zurück zu erhalten: Sie kopieren diese von Ihrer aktuellen Datensicherung. Falls Sie keine aktuelle Datensicherung haben, ist genau jetzt der Zeitpunkt, um mit der Datensicherung zu beginnen und diese Gewohnheit täglich beizubehalten.

Sichern Sie die Systemfestplatte mit Windows und Ihren Anwendungen regelmäßig als Image auf eine externe Festplatte, Windows 7 hat dazu ja bereits ein serienmäßiges Sicherungsprogramm. Zusätzlich sichern Sie alle Ihre Daten und dann täglich die Änderungen daran.

Haben Sie keine Datensicherung und Sie stehen vor dem Problem mit den verschlüsselten Daten, bleibt Ihnen noch ein Fünkchen Hoffnung. Denn es gibt mehrere Entschlüsselungsprogramme, die eine Liste bekannter Schlüssel von Erpresser-Trojaner enthalten. Diese Programme können teilweise auch die Dateinamen automatisch in die Ursprungsnamen ändern:

Sie sollten die Festplatte ausbauen, an einen anderen Rechner anschließen und dann ein Image davon kopieren, bevor Sie den Rettungsversuch mit diesen Tools starten. Die Wahrscheinlichkeit ist recht groß, dass bei den Entschlüsselungsversuchen etwas schief geht und Dateien beschädigt werden. Es ist daher besser, wenn Sie jeweils mit dem Ursprungszustand der Festplatte arbeiten.

Warnung: Auch die Antiviren-Programme bzw. Live-CDs zum Entfernen des Erpresser-Trojaners können Daten und das Windows-System beschädigen. Sofern Sie keine Datensicherung haben, ist ein Kopieren der Festplatte daher vor dem Beginn der Rettungsversuche immer zu empfehlen. Ein professionelles Datenrettungsunternehmen arbeitet ebenso.

Veröffentlicht am 3. September 2012