BKA und BSI warnen vor Online-Erpressung mit Kinderpornografie

Das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen aktuell vor einer neuen Erpressungswelle. Wenn der entsprechende Rechner infiziert ist, erscheint plötzlich ein Popup mit Logo der GVU oder des BSI und unterstellt dem Nutzer schwere kriminelle Handlungen, wie Kinderpornographie, terroristische Aktionen oder Urheberrechtsverletzungen.

GVU Trojaner

Bild: BKA

Die Schadsoftware ist keine Unbekannte, bereits im März 2012 gab es Versuche des sogenannten GVU-Trojaners. Die Funktionsweise ist jedoch gleich geblieben. Der Rechner wird angeblich erst wieder freigegeben, wenn 100€ auf ein Konto überwiesen werden, die Funktionsfähigkeit des Rechners wird aber dennoch nicht wieder hergestellt.

Problematisch ist zudem, dass eine kinderpornografische Darstellung auftaucht, deren Besitz bereits strafbar ist. Natürlich kann der Rat nur sein, weder Bild abspeichern noch den Betrag zu zahlen. Falls es euch getroffen hat, solltet ihr eher versuchen Caschys Anleitung zur Entfernung anzuwenden.

Die sonstigen Ratschläge bzgl. aufpassen was man öffnet, aktuelle Updates (Java, Flash sind immer Kandidaten) einspielen spare ich mir mal an dieser Stelle. Ab und an einfach kurz über seine Handlung nachdenken, dürfte in den meisten Fällen schon reichen. [via, Quelle]

 

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

8 Kommentare

  1. Alessandro says:

    Ich muss immer wieder über jeden Lachen der auf soetwas herein fällt.
    Bereits mehrfach habe ich verzweifelte Anrufe erhalten „Das BKA möchte dass ich 200€ via uKash von der Tankstelle bezahle“

    BKA und uKash …. Und dann wird die Anzeige natürlich fallen gelassen – Yop !
    Sorry aber wer so behämmert ist, der hat mit 200€ ein gutes Lehrgeld bezahlt.

  2. Koalazumba says:

    Rechner platt machen und neu aufsetzten ist immer der beste Weg nach einer Infizierung. Die Antivirus Hersteller sagen selber das man Trojaner und so kaum komplett „löschen“ kann

  3. walter@freiwald.de says:

    jap, immer, IMMER plätten die Kisten, man weiß nie… ich bin dazu übergegangen, jemanden der das „nicht möchte“ (das plätten), einfach woanders hinzugehen ^^

  4. Hankost Bamber says:

    Konto pfänden kann ja nicht so schwer sein….

  5. SavanTorian says:

    langsam wirds langweilig 🙁

  6. Bei einem Bekannten habe ich oben genannten Virus entfernt.
    Avira BootCD konnte nichts finden. Kaspersky BootCD hat 2 schädliche Objekte im Java Cache gefunden.

    Problem gelöst:
    Boot im abgesicherten Modus:
    Java Cache löschen (Systemsteuerung – Java – Temporäre Internetdateien – Einstellungen -> löschen)
    Start – Ausführen -> msconfig
    Im Reiter Systemstart befindet sich eine Programm welches im %USERPROFILE%\gggwgwgwgwgwg.exe gestartet wird. Hier entfernt man den Haken und merkt sich den Speicherort. Per Windows Explorer wechselt man in den Pfad und entfernt diese Datei.

    Nach einem Reboot Java entfernen (falls zwingend notwendig -> updaten)

  7. Ich habe auch schon unzählige von diesen uKash Trojanern entfernt bei Kunden. Ich finde es interessant und krass wie viele neue Versionen da täglich erscheinen und die Hersteller von AV Software gar nicht so schnell hinterher kommen, was am Ende den Autoren den Vorsprung verschafft.

    Die interessanteste Variante war einmal die, wo ich auch so eine kryptische wxcvdvdgdss.exe entfernt habe, aber jedes mal nachdem er Internet hatte, hat er sich erneut installiert. Die Lösung war am Ende, dass sich der uKash Trojaner Verstärkung mitgebracht hat in der Form, dass eine Datei im Treiberverzeichnis vom Realtek Soundkartentreiber war, die den nach der Entfernung immer wieder neu installiert hat. Am schlimmsten war jedoch die Variante, die erpresst hat und glaub es war mit RC4 die Daten verschlüsselt hat, da bin ich schon froh, dass der weitestgehend nicht mehr im Umlauf ist.

    Letzte Woche dann war ein Fall, da war in der Registriy der Verweis auf eine Skype.dat, wo ich auch 2 mal hingucken musste, bis ich das als Schädling erkannt habe. Mal gucken was die sich nächste Woche einfallen lassen, einige Kunden waren ja damals bei der Polizei, aber da hieß es, dass die Täter aus St. Petersburg kommen und angeblich geschnappt wurden, wo ich aber nicht weiß, in wie fern man das glauben kann.

    Fakt ist aber, es gibt genug Geschäftsleute die so nach dem Prinzip „Time is Cash, and Cash is Money“ leben, die schicken die Sekretärin schnell so ne Karte holen und denken, dann können die ungestört weiter arbeiten.

  8. Die aktuelle Version des Programms hatte ich die Tage auch bei einem Kunden. Selbst im abgesicherten Modus startet die Version sofort. Verschiedene Boot Cds, OTL und Kaspersky Rescue CD ausprobiert, ohne Erfolg. Erst die Avira Rescue Disk hat das Programm im Userordner ausfindig gemacht und es konnte dann entfernt werden. Dennoch ist die beste Variante, die Daten sichern (wenn nicht vorher schon geschehen), das System neu aufsetzen und Schwachstellen, wie Java, Flashplayer und Co. aktuell halten. In diesem Fall hatte Trend Micro das Programm auch nicht gefunden, trotz „aktueller“ Virendefinition.