1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Neuer Erpressungs-Trojaner dreht seine Runden

Dieses Thema im Forum "PC&Internet News" wurde erstellt von josef.13, 17. Juli 2013.

  1. josef.13
    Offline

    josef.13 Modlehrling Newsbereich Digital Eliteboard Team Modlehrling

    Registriert:
    1. Juli 2009
    Beiträge:
    15.634
    Zustimmungen:
    15.232
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Im Netz kursieren neue Varianten des

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    . Die aktuelle Version überlagert den Desktop nach der Anmeldung des infizierten Benutzers mit einer Warnmeldung, der Zugang zum PC sei "vorläufig" gesperrt worden. Man möge 100 Euro per PaySafeCard einzahlen, um wieder Zugriff auf den Rechner zu erhalten. Der Erpressungstrojaner sperrt den Computer komplett.

    Freilich handelt es sich dabei um keine Aktion echter Strafverfolgungsbehörden. Der Trojaner behauptet, vom "Bundesamt für Sicherheit in der Informationstechnik", von der "Gesellschaft zur Verfügung von Urheberrechtsverletzungen e.V." (sic) und vom "BundesKriminalamt" zu stammen. Die Kopfzeile ist mit einem Foto von Angela Merkel und einem Polizisten dekoriert, die beide streng blicken. An den Rändern prangt ein gekacheltes Interpol-Logo.

    [​IMG]
    Eine neue Variante des GBU-Trojaners.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Auf einem befallenen Rechner mit Windows 7 (64-Bit) stand zusätzlich "Unterstützt und Geschützt von", gefolgt vom Norton-Symbol. Das war besonders bitter, weil auf dem fraglichen Rechner tatsächlich Norton AntiVirus installiert war. Tatsächlich erkannten auf VirusTotal gestern nur 5 von 45 Scan-Engines die hochgeladene Malware als Trojaner. Heute sind es

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ; Symantec gehörte um 16 Uhr noch nicht dazu.

    [​IMG]
    Die neueste Iteration des Trojaners schmückt sich mit Angela Merkel und einem Virenscanner-Symbol.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Der Trojaner verhindert einen Systemstart im abgesicherten Modus, indem er den Rechner direkt wieder herunterfährt. Er trägt sich in der Registrierungsdatenbank als Shell ein und lässt sich nicht durch Werkzeuge wie dem

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    oder

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    entfernen. Das einzige, was noch geht, ist der "Affengriff" Strg+Alt+Entf. Hiermit kann man sich gegebenenfalls abmelden, um ein anderes, hoffentlich unbefallenes Benutzerkonto zu aktivieren.

    Heise Security gelang es, den Trojaner beim Start über den Task-Manager zu beenden und per

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    den Shell-Eintrag zu löschen (unter Winlogon\Shell) sowie den Trojaner selbst Der Name des Trojaners lautete "cache.dat", er lag im Ordner für Anwendungsdaten (%appdata%). Danach war erstmal Ruhe.

    Opfer sollten nach der Beseitigung des Schädlings unbedingt

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , um sich den Trojaner später nicht auf diesem Weg wieder einzufangen, den Temp-Ordner mit der Datenträgerbereinigung leeren und einen Komplettscan ihres Systems anstoßen, um mögliche Reste der Malware zu entfernen. Den sollte man sicherheitshalber in einigen Tagen mit neuen Signaturen der AV-Hersteller wiederholen. Auf Nummer sicher geht, wer sein System neu einrichtet.

    Quelle: heise
     
    Zuletzt bearbeitet: 17. Juli 2013
    #1
    F-48, Pauline42, xtra und 4 anderen gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. kalle1984
    Online

    kalle1984 Hacker

    Registriert:
    26. Juni 2009
    Beiträge:
    450
    Zustimmungen:
    138
    Punkte für Erfolge:
    43
    Ort:
    irgendwo im nirgendwo
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    Hab erst von nem Arbeitskollegen den PC neu aufgesetzt, weil er sich das Teil eingefangen hat.
    Allerdings noch die alte Variante. Aber kein Wunder, so viel Ahnung wie er von PCs hat.
    Und dann hat er auch noch Microsoft Essentials drauf gehabt.
    Das schlimmste war eigentlich, das er vor lauter Panik zur Tanke gefahren ist und sich ne Paysafe Card geholt hat und bezahlt hat.
    Naja hab ihn jetzt erstmal vorgewarnt.
     
    #2
  4. Tina Redlight
    Offline

    Tina Redlight Elite Lord

    Registriert:
    21. Mai 2009
    Beiträge:
    5.276
    Zustimmungen:
    4.703
    Punkte für Erfolge:
    113
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    Hi

    Das hat absolut nichts mit Ahnung haben oder nicht Ahnung haben zu tun.

    So ein Teil kann man sich auch auf harmlosen Seiten einfangen, ohne dass man was dagegen tun kann.

    Nur als Beispiel: Wenn man in google mal Index of selfshoot eingibt, kann man das Teil schon mal einfangen (ist mir passiert). Übrigens, es ist erstaunlich, was man bei so einer Eingabe alles so "finden" kann, wenn man mit den Begriffen spielt :D

    Na ja, war dann eine Sache von max. 20 min (ohne die Windows updates) bis mein zurückgespieltes Backup (Acronis) wieder lief.
     
    #3
  5. riedeljo
    Offline

    riedeljo Ist gelegentlich hier

    Registriert:
    2. Januar 2012
    Beiträge:
    69
    Zustimmungen:
    33
    Punkte für Erfolge:
    18
    Geschlecht:
    männlich
    Ort:
    Nirgendwo in Afrika
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    Hatte mir vor kurzem auch die 'alte' Version eingefangen. Hab sie mit Kasperski Windows Unlocker weggekriegt. Hat alles in allem 5 Std. gedauert. Da ist keiner zu schlau dazu.
    Man sieht dann wieder wie wichtig ein Backup ist. Ich bin nämlich auch in der Beziehung faul. Werde mich aber ab sofort ändern.:emoticon-0144-nod:

    gruß riedeljo

    [h=1][/h]
     
    #4
  6. Heutenicht
    Offline

    Heutenicht Freak

    Registriert:
    14. April 2009
    Beiträge:
    261
    Zustimmungen:
    190
    Punkte für Erfolge:
    43
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    Na Mahlzeit,
    Sollte sich die NSA und BKA nicht lieber um solche Fraggles kümmern?
    Mann oh Mann ,wo soll das noch hinführen wenn der User normale I-Net Seiten aufruft und sich so ein Sch*** einfängt.
    Hab mir auch mal die alte Version eingefangen.War mit TTS Killer und lesen im I-Net wegzubekommen.
     
    #5
  7. Pauline42
    Offline

    Pauline42 Ist gelegentlich hier

    Registriert:
    10. Juni 2013
    Beiträge:
    42
    Zustimmungen:
    9
    Punkte für Erfolge:
    8
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    Hallo,
    habe gleich mal im Windows-Explorer nach der "cache.dat" Datei gesucht und er hat die Datei im Ordner
    C:\Windows\System32\spp\store\cache
    gefunden. Ist das die richtige Datei?? Habe mit GData gezielt prüfen lassen, hat aber nichts gemeldet.

    Gruß Pauline

    p.s.
    habe gerade rausgefunden, das im oben angegebenen Ordner die Windows Aktivierungsdaten sind.
    Ist das richtig? Ich habe sie erst einmal gesichert.

    Bin ein wenig verunsichert, da der gleiche Name "cache.dat" im Ordner ist.
     
    Zuletzt bearbeitet: 18. Juli 2013
    #6
  8. Tina Redlight
    Offline

    Tina Redlight Elite Lord

    Registriert:
    21. Mai 2009
    Beiträge:
    5.276
    Zustimmungen:
    4.703
    Punkte für Erfolge:
    113
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    Hi

    Ist denn DEin PC gesperrt ?

    Bei mir existiert im Verzeichniss C:\Windows\System32\spp\ keine solche Datei.

    Du kannst die Datei mal an einen anderen Platz verschieben und schauen, was passiert.
     
    #7
  9. Pauline42
    Offline

    Pauline42 Ist gelegentlich hier

    Registriert:
    10. Juni 2013
    Beiträge:
    42
    Zustimmungen:
    9
    Punkte für Erfolge:
    8
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    nein, ist nicht gesperrt. ich habe nur mal nach der datei gesucht.

    wie gesagt, die datei liegt im ordner;

    C:\Windows\System32\spp\store\cache
     
    #8
  10. Easyduck
    Offline

    Easyduck Hacker

    Registriert:
    29. Januar 2010
    Beiträge:
    306
    Zustimmungen:
    148
    Punkte für Erfolge:
    43
    AW: Neuer Erpressungs-Trojaner dreht seine Runden

    oooch den oder Varianten dieser Art, hatte ich schon oft bei Kunden die ganz aufgeregt anriefen.
    Einer hatte auch tatsächlich schon mal bezahlt. Sagte Ihm dann im Spass, nächste mal nehme ich die 100 € :emoticon-0105-wink:

    Ging immer aus diversen Autostartpuntken raus zu nehmen und zu löschen auch wenn sie mal "geschützt" waren.
    "Unlocker.exe" hilft da super .
    System neu aufsetzen muste ich wegen dem Ding noch keines.
     
    #9

Diese Seite empfehlen