Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet Neuer Erpressungs-Trojaner dreht seine Runden

Im Netz kursieren neue Varianten des GVU-Trojaners. Die aktuelle Version überlagert den Desktop nach der Anmeldung des infizierten Benutzers mit einer Warnmeldung, der Zugang zum PC sei "vorläufig" gesperrt worden. Man möge 100 Euro per PaySafeCard einzahlen, um wieder Zugriff auf den Rechner zu erhalten. Der Erpressungstrojaner sperrt den Computer komplett.

Freilich handelt es sich dabei um keine Aktion echter Strafverfolgungsbehörden. Der Trojaner behauptet, vom "Bundesamt für Sicherheit in der Informationstechnik", von der "Gesellschaft zur Verfügung von Urheberrechtsverletzungen e.V." (sic) und vom "BundesKriminalamt" zu stammen. Die Kopfzeile ist mit einem Foto von Angela Merkel und einem Polizisten dekoriert, die beide streng blicken. An den Rändern prangt ein gekacheltes Interpol-Logo.

Du musst angemeldet sein, um Bilder zu sehen.

Eine neue Variante des GBU-Trojaners.
Du musst angemeldet sein, um Bilder zu sehen.


Auf einem befallenen Rechner mit Windows 7 (64-Bit) stand zusätzlich "Unterstützt und Geschützt von", gefolgt vom Norton-Symbol. Das war besonders bitter, weil auf dem fraglichen Rechner tatsächlich Norton AntiVirus installiert war. Tatsächlich erkannten auf VirusTotal gestern nur 5 von 45 Scan-Engines die hochgeladene Malware als Trojaner. Heute sind es immerhin schon 15; Symantec gehörte um 16 Uhr noch nicht dazu.

Du musst angemeldet sein, um Bilder zu sehen.

Die neueste Iteration des Trojaners schmückt sich mit Angela Merkel und einem Virenscanner-Symbol.
Du musst angemeldet sein, um Bilder zu sehen.


Der Trojaner verhindert einen Systemstart im abgesicherten Modus, indem er den Rechner direkt wieder herunterfährt. Er trägt sich in der Registrierungsdatenbank als Shell ein und lässt sich nicht durch Werkzeuge wie dem Kaspersky Windows Unlocker oder HitmanPro.Kickstart entfernen. Das einzige, was noch geht, ist der "Affengriff" Strg+Alt+Entf. Hiermit kann man sich gegebenenfalls abmelden, um ein anderes, hoffentlich unbefallenes Benutzerkonto zu aktivieren.

Heise Security gelang es, den Trojaner beim Start über den Task-Manager zu beenden und per Autoruns den Shell-Eintrag zu löschen (unter Winlogon\Shell) sowie den Trojaner selbst Der Name des Trojaners lautete "cache.dat", er lag im Ordner für Anwendungsdaten (%appdata%). Danach war erstmal Ruhe.

Opfer sollten nach der Beseitigung des Schädlings unbedingt alle Systemwiederherstellungspunkte löschen, um sich den Trojaner später nicht auf diesem Weg wieder einzufangen, den Temp-Ordner mit der Datenträgerbereinigung leeren und einen Komplettscan ihres Systems anstoßen, um mögliche Reste der Malware zu entfernen. Den sollte man sicherheitshalber in einigen Tagen mit neuen Signaturen der AV-Hersteller wiederholen. Auf Nummer sicher geht, wer sein System neu einrichtet.

Quelle: heise
 
Zuletzt bearbeitet:
AW: Neuer Erpressungs-Trojaner dreht seine Runden

Hab erst von nem Arbeitskollegen den PC neu aufgesetzt, weil er sich das Teil eingefangen hat.
Allerdings noch die alte Variante. Aber kein Wunder, so viel Ahnung wie er von PCs hat.
Und dann hat er auch noch Microsoft Essentials drauf gehabt.
Das schlimmste war eigentlich, das er vor lauter Panik zur Tanke gefahren ist und sich ne Paysafe Card geholt hat und bezahlt hat.
Naja hab ihn jetzt erstmal vorgewarnt.
 
AW: Neuer Erpressungs-Trojaner dreht seine Runden

Hi

Das hat absolut nichts mit Ahnung haben oder nicht Ahnung haben zu tun.

So ein Teil kann man sich auch auf harmlosen Seiten einfangen, ohne dass man was dagegen tun kann.

Nur als Beispiel: Wenn man in google mal Index of selfshoot eingibt, kann man das Teil schon mal einfangen (ist mir passiert). Übrigens, es ist erstaunlich, was man bei so einer Eingabe alles so "finden" kann, wenn man mit den Begriffen spielt :D

Na ja, war dann eine Sache von max. 20 min (ohne die Windows updates) bis mein zurückgespieltes Backup (Acronis) wieder lief.
 
AW: Neuer Erpressungs-Trojaner dreht seine Runden

Hatte mir vor kurzem auch die 'alte' Version eingefangen. Hab sie mit Kasperski Windows Unlocker weggekriegt. Hat alles in allem 5 Std. gedauert. Da ist keiner zu schlau dazu.
Man sieht dann wieder wie wichtig ein Backup ist. Ich bin nämlich auch in der Beziehung faul. Werde mich aber ab sofort ändern.:emoticon-0144-nod:

gruß riedeljo

[h=1][/h]
 
AW: Neuer Erpressungs-Trojaner dreht seine Runden

Na Mahlzeit,
Sollte sich die NSA und BKA nicht lieber um solche Fraggles kümmern?
Mann oh Mann ,wo soll das noch hinführen wenn der User normale I-Net Seiten aufruft und sich so ein Sch*** einfängt.
Hab mir auch mal die alte Version eingefangen.War mit TTS Killer und lesen im I-Net wegzubekommen.
 
AW: Neuer Erpressungs-Trojaner dreht seine Runden

Hallo,
habe gleich mal im Windows-Explorer nach der "cache.dat" Datei gesucht und er hat die Datei im Ordner
C:\Windows\System32\spp\store\cache
gefunden. Ist das die richtige Datei?? Habe mit GData gezielt prüfen lassen, hat aber nichts gemeldet.

Gruß Pauline

p.s.
habe gerade rausgefunden, das im oben angegebenen Ordner die Windows Aktivierungsdaten sind.
Ist das richtig? Ich habe sie erst einmal gesichert.

Bin ein wenig verunsichert, da der gleiche Name "cache.dat" im Ordner ist.
 
Zuletzt bearbeitet:
AW: Neuer Erpressungs-Trojaner dreht seine Runden

Hi

Ist denn DEin PC gesperrt ?

Bei mir existiert im Verzeichniss C:\Windows\System32\spp\ keine solche Datei.

Du kannst die Datei mal an einen anderen Platz verschieben und schauen, was passiert.
 
AW: Neuer Erpressungs-Trojaner dreht seine Runden

nein, ist nicht gesperrt. ich habe nur mal nach der datei gesucht.

wie gesagt, die datei liegt im ordner;

C:\Windows\System32\spp\store\cache
 
AW: Neuer Erpressungs-Trojaner dreht seine Runden

oooch den oder Varianten dieser Art, hatte ich schon oft bei Kunden die ganz aufgeregt anriefen.
Einer hatte auch tatsächlich schon mal bezahlt. Sagte Ihm dann im Spass, nächste mal nehme ich die 100 € :emoticon-0105-wink:

Ging immer aus diversen Autostartpuntken raus zu nehmen und zu löschen auch wenn sie mal "geschützt" waren.
"Unlocker.exe" hilft da super .
System neu aufsetzen muste ich wegen dem Ding noch keines.
 
Zurück
Oben