BKA und BSI warnen vor Online-Erpressung mit Kinderpornografie

29. Januar 2013 Kategorie: Internet, Software & Co, geschrieben von: Patrick Meyhöfer

Das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen aktuell vor einer neuen Erpressungswelle. Wenn der entsprechende Rechner infiziert ist, erscheint plötzlich ein Popup mit Logo der GVU oder des BSI und unterstellt dem Nutzer schwere kriminelle Handlungen, wie Kinderpornographie, terroristische Aktionen oder Urheberrechtsverletzungen.

GVU Trojaner

Bild: BKA

Die Schadsoftware ist keine Unbekannte, bereits im März 2012 gab es Versuche des sogenannten GVU-Trojaners. Die Funktionsweise ist jedoch gleich geblieben. Der Rechner wird angeblich erst wieder freigegeben, wenn 100€ auf ein Konto überwiesen werden, die Funktionsfähigkeit des Rechners wird aber dennoch nicht wieder hergestellt.

Problematisch ist zudem, dass eine kinderpornografische Darstellung auftaucht, deren Besitz bereits strafbar ist. Natürlich kann der Rat nur sein, weder Bild abspeichern noch den Betrag zu zahlen. Falls es euch getroffen hat, solltet ihr eher versuchen Caschys Anleitung zur Entfernung anzuwenden.

Die sonstigen Ratschläge bzgl. aufpassen was man öffnet, aktuelle Updates (Java, Flash sind immer Kandidaten) einspielen spare ich mir mal an dieser Stelle. Ab und an einfach kurz über seine Handlung nachdenken, dürfte in den meisten Fällen schon reichen. [via, Quelle]

 

 

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Patrick Meyhöfer

#Linux, #Ubuntu, #OpenSource #Android sind meine Themen. Du findest mich auch auf Twitter und Google+. Zudem schreibe ich Beiträge für freiesMagazin und auf meinem Blog Softwareperlen .

Patrick hat bereits 404 Artikel geschrieben.


8 Kommentare

Alessandro 29. Januar 2013 um 17:34 Uhr

Ich muss immer wieder über jeden Lachen der auf soetwas herein fällt.
Bereits mehrfach habe ich verzweifelte Anrufe erhalten “Das BKA möchte dass ich 200€ via uKash von der Tankstelle bezahle”

BKA und uKash …. Und dann wird die Anzeige natürlich fallen gelassen – Yop !
Sorry aber wer so behämmert ist, der hat mit 200€ ein gutes Lehrgeld bezahlt.

Koalazumba 29. Januar 2013 um 18:22 Uhr

Rechner platt machen und neu aufsetzten ist immer der beste Weg nach einer Infizierung. Die Antivirus Hersteller sagen selber das man Trojaner und so kaum komplett “löschen” kann

walter@freiwald.de 29. Januar 2013 um 18:30 Uhr

jap, immer, IMMER plätten die Kisten, man weiß nie… ich bin dazu übergegangen, jemanden der das “nicht möchte” (das plätten), einfach woanders hinzugehen ^^

Hankost Bamber 29. Januar 2013 um 19:07 Uhr

Konto pfänden kann ja nicht so schwer sein….

SavanTorian 30. Januar 2013 um 04:02 Uhr

langsam wirds langweilig :(

Jan K. 30. Januar 2013 um 10:59 Uhr

Bei einem Bekannten habe ich oben genannten Virus entfernt.
Avira BootCD konnte nichts finden. Kaspersky BootCD hat 2 schädliche Objekte im Java Cache gefunden.

Problem gelöst:
Boot im abgesicherten Modus:
Java Cache löschen (Systemsteuerung – Java – Temporäre Internetdateien – Einstellungen -> löschen)
Start – Ausführen -> msconfig
Im Reiter Systemstart befindet sich eine Programm welches im %USERPROFILE%\gggwgwgwgwgwg.exe gestartet wird. Hier entfernt man den Haken und merkt sich den Speicherort. Per Windows Explorer wechselt man in den Pfad und entfernt diese Datei.

Nach einem Reboot Java entfernen (falls zwingend notwendig -> updaten)

Der Datenreisende 30. Januar 2013 um 14:01 Uhr

Ich habe auch schon unzählige von diesen uKash Trojanern entfernt bei Kunden. Ich finde es interessant und krass wie viele neue Versionen da täglich erscheinen und die Hersteller von AV Software gar nicht so schnell hinterher kommen, was am Ende den Autoren den Vorsprung verschafft.

Die interessanteste Variante war einmal die, wo ich auch so eine kryptische wxcvdvdgdss.exe entfernt habe, aber jedes mal nachdem er Internet hatte, hat er sich erneut installiert. Die Lösung war am Ende, dass sich der uKash Trojaner Verstärkung mitgebracht hat in der Form, dass eine Datei im Treiberverzeichnis vom Realtek Soundkartentreiber war, die den nach der Entfernung immer wieder neu installiert hat. Am schlimmsten war jedoch die Variante, die erpresst hat und glaub es war mit RC4 die Daten verschlüsselt hat, da bin ich schon froh, dass der weitestgehend nicht mehr im Umlauf ist.

Letzte Woche dann war ein Fall, da war in der Registriy der Verweis auf eine Skype.dat, wo ich auch 2 mal hingucken musste, bis ich das als Schädling erkannt habe. Mal gucken was die sich nächste Woche einfallen lassen, einige Kunden waren ja damals bei der Polizei, aber da hieß es, dass die Täter aus St. Petersburg kommen und angeblich geschnappt wurden, wo ich aber nicht weiß, in wie fern man das glauben kann.

Fakt ist aber, es gibt genug Geschäftsleute die so nach dem Prinzip “Time is Cash, and Cash is Money” leben, die schicken die Sekretärin schnell so ne Karte holen und denken, dann können die ungestört weiter arbeiten.

Kobi 30. Januar 2013 um 23:56 Uhr

Die aktuelle Version des Programms hatte ich die Tage auch bei einem Kunden. Selbst im abgesicherten Modus startet die Version sofort. Verschiedene Boot Cds, OTL und Kaspersky Rescue CD ausprobiert, ohne Erfolg. Erst die Avira Rescue Disk hat das Programm im Userordner ausfindig gemacht und es konnte dann entfernt werden. Dennoch ist die beste Variante, die Daten sichern (wenn nicht vorher schon geschehen), das System neu aufsetzen und Schwachstellen, wie Java, Flashplayer und Co. aktuell halten. In diesem Fall hatte Trend Micro das Programm auch nicht gefunden, trotz “aktueller” Virendefinition.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.