Wenn ein Lösegeld-Trojaner Windows sperrt

Wie man seine Dateien noch retten kann

von Alfred Krüger

Nichts geht mehr, wenn der PC mit einem neuen, fiesen Computerschädling infiziert ist: Der Trojaner sperrt das ganze Betriebssystem. Den Freischaltcode gibt es über eine teure Service-Nummer. Doch auch ohne den Anruf muss nicht alles verloren sein.

Es ist der Alptraum eines jeden Nutzers: Man startet seinen Rechner, doch der Zugriff auf Bilder, Dokumente oder E-Mails bleibt versagt. Stattdessen öffnet sich ein blaues Fenster mit der Überschrift: "Windows license locked!" Nichts geht mehr, denn die Windows-Lizenz wurde blockiert. Schuld ist ein Trojaner, der zurzeit die Runde macht und Windows-Nutzer vom eigenen Rechner aussperrt.
Gefälschte Meldung von Microsoft

"Diese Windows-Kopie ist gesperrt", heißt es weiter im Text. Schuld könnte ein Schadprogramm oder ein Systemfehler sein, wird scheinheilig erklärt. In jedem Falle sei es erforderlich, die Windows-Aktivierung erneut durchzuführen, kann der verstörte Nutzer in dem blauen Fenster lesen. Der Text erweckt den Eindruck, als handelte es sich um eine offizielle Meldung von Microsoft.

Das Gegenteil ist der Fall. Die Nachricht kommt von Cyberkriminellen, die mit dieser neuen Betrugsmasche arglose Windows-Nutzer abkassieren wollen. Betroffene Nutzer haben sich ein Schadprogramm eingefangen, das diese Meldung generiert und den Rechner völlig lahmgelegt hat.

Lösegeld per Telefon

In einem weiteren Fenster erfährt der Nutzer, wie er sein Windows-Betriebssystem wieder aktivieren kann. Er müsse eine angeblich kostenlose, in Wahrheit aber teure Telefonnummer anrufen und erhalte dort einen neuen Freischaltcode. Die Anschlüsse befinden sich in Taiwan, auf Madagaskar oder im Inselstaat São Tomé und Príncipe vor der Westküste Afrikas.

Die Cyberkriminellen verdienen an den anfallenden Gesprächsgebühren mit. Sie hätten laut dem finnischen Sicherheitsunternehmen F-Secure Mittel und Wege gefunden, die teuren Auslandsanrufe in Billigländer umzuleiten, wobei dem Nutzer trotzdem die hohen Gesprächskosten in Rechnung gestellt werden. Die Differenz zwischen den regulären Kosten und den tatsächlich anfallenden Gebühren streichen die Cyberkriminellen als eine Art Lösegeld ein.

Erste Hilfe bei Lösegeld-Trojanern

Lösegeld-Trojaner sperren das System. Ein Zugriff auf die gespeicherten Dateien ist nicht mehr möglich. In der Regel hilft nur eine Neuinstallation des Betriebssystems, um sicher zu sein, dass der Lösegeld-Trojaner nicht irgendwann wieder aktiv wird.

Die eigenen Dateien müssen allerdings nicht zwangsläufig verloren sein. Sie sind auf der Festplatte gespeichert. Es kann mit dem bisher installierten Betriebssystem nur nicht mehr auf die Dateien zugegriffen werden. Abhilfe schafft eine bootfähige CD, mit der man seine wichtigen Dateien retten kann. Wie man eine solche Boot-CD erstellt, sollte man in der Hilfesektion seines jeweiligen Betriebssystems nachlesen.

Auch bootfähige Linux-CDs oder DVDs wie etwa Knoppix(Externer Link - Öffnet in neuem Fenster) können bei der Datenrettung hervorragende Dienste leisten. Sie starten von CD oder DVD und erlauben es, die Daten, die sich auf der Festplatte befinden, trotz gesperrter Windows-Version auf einen externen Datenträger zu kopieren.

Immer derselbe Freischaltcode

F-Secure hat die sechs genannten Telefonnummern getestet. Bevor der Nutzer seinen Freischaltcode bekommt, wird er mehrere Minuten lang in der Leitung gehalten, damit auch wirklich hohe Gebühren anfallen. Anschließend bekommt er eine Zahlenfolge, mit der er sein System wieder freischalten kann. Es sei immer derselbe Code "1351236", fanden die finnischen Experten heraus.

Betroffene Nutzer sollten diese Zahlenreihe ausprobieren, bevor sie eine der teuren Telefonnummern anrufen, raten die Experten. Im Übrigen sei das neue Gaunerstück ziemlich clever eingefädelt. Die Meldungen wirkten so echt, "dass einige Opfer zunächst gar nicht bemerken, dass sie hereingelegt wurden", heißt es bei F-Secure.

Trojaner verschlüsselt Dateien

Der neue Lösegeld-Trojaner, der auf den Namen "Trojan.Generic.KDV.153863" hört, ist nicht der erste seiner Art. Das russische Sicherheitsunternehmen Kaspersky meldete bereits Ende März ein ähnliches Schadprogramm, das Bilder, Videos und Textdateien auf der Festplatte verschlüsselt. "Wegen der verwendeten starken Verschlüsselung ist es nicht möglich, die Daten wiederherzustellen, warnte Kaspersky.

Dem Anwender bleibe nur die Möglichkeit, das Lösegeld zu zahlen und darauf zu hoffen, dass ihm die Betrüger den nötigen Schlüssel auch tatsächlich zuschicken, sagten die Experten. Wer sich vor solchen und ähnlichen Angriffen schützen wolle, müsse von seinen Daten regelmäßig Sicherungskopien anfertigen und diese auf einem externen Datenträger speichern.

Gelöschte Dateien wiederherstellen

Eine letzte Hoffnung bleibt dem Nutzer aber auch dann, wenn er keine Sicherungskopien besitzt. Nachdem die Dateien verschlüsselt wurden, werden die Originale gelöscht. Damit verschwinden sie allerdings nicht von der Festplatte. Gelöschte Dateien lassen sich mit einem sogenannten "Recovery-Programm" wiederherstellen, sofern sie beim Löschen nicht überschrieben wurden. Wie das mit Hilfe eines kostenlosen Programms funktioniert, wird auf dem Portal über Internet-Sicherheit www.viruslist.com Schritt für Schritt erklärt.

Quelle: http://www.heute.de/ZDFheute/inhalt/17/0,3672,8233393,00.html


Herrje, das wird ja immer dreister und unverschämter mit der Internetkriminalität. Kennt ihr jemanden, dem das schon passiert ist? Wenn ja, was hat er getan?
Auch eine wichtige Frage: Hilft gegen solche Trojaner ein einfaches, kostenloses Virenprogramm wie z.B. "Avira" noch?
Den Freischaltcode habe ich mir sicherheitshalber schon mal notiert. Man weiß ja nie...

@SallySpectra
Da ich Avira Kostenlos benutze hoffe ich das ,wen nicht müsste ich wieder 30 Euro zu Kaspersky rüber wandern lassen, ich selbst hatte zwar schon Trojaner aber nicht so einen danke für die Info werd gleich mal Sicherheitsmaßnamen hier ergereifen. :)

@soulbreaker

Ich nutze ja auch das kostenlose "Avira" und hatte nie größere Probleme. Zusätzlich benutze ich noch "Spybot", das ist ebenfalls kostenlos. Ich hoffe auch von diesem Trojaner verschont zu bleiben.

Egal ....dann wird der PC eben neu installiert. Wichtige Sachen habe ich da eh nicht drauf........

@tom.1st

Benutzt du für wichtige Dateien eine externe Festplatte?

bin mit der kostenlosen avira version nie groß zufrieden, wo ich meinen neuen laptop bekam, war das neue norton 360 drauf, was mir gut gefallen hatte- da ich nen lizenzcode umsonst bekam, bin ich jetzt zu kaspersky internet security 2011 umgestiegen, was echt zu empfehlen ist

@SallySpectra ne externe ist sehr zu empfehlen

Wir holen uns immer Kaspersky Internetsecurity, Lizenz für unserer 3 Rechner, kostet immer nur rund 30-40 Euro, einmal im Jahr! Das sollte einem die Sicherheit schon wert sein, von kostenlosen Antivirenprogrammen halte ich persönlich gar nichts!

clearsky schrieb:von kostenlosen Antivirenprogrammen halte ich persönlich gar nichts!

Das ändert nichts daran, dass sie in c't tests oft höher gelobt werden, als ihre teuren Brüder.

Versucht mal G-Data. Nach meiner Erfahrung bremst Kaspersky sehr.

hab hier noch zwei .reg dateien für die windows lizensen, die es mal offiziell und als beilage in der com! gab, die überschreiben son mist und dann ab in den abgesicherten die scanner durchjagen lassen, im notfall nochmal die zwei .reg installieren und dann wars das auch schon...

wenn nichts dagegen spricht kann die diese beiden dateien hochladen und nen link reinstellen, die waren wie gesagt bei nem magazin dabei.

@SallySpectra

...habe keine "wichtigen" Daten ;)

Was ist wichtig ?

Hmmm naja mir sind meine ganzen Fotos wichtig und die habe ich auf nen alten Laptop ohne Inet und ner externen Platte.

Ist echt witzig.
Ne,eigentlich nicht.......:(
Gestern erst diesen Thread hier gelesen,und was passiert gestern Abend ?
Richtig,ein Bundeskriminalamttrojaner....
Allerdings in einer etwas anderen Form,wie die vom TE.
Ich soll über Ukash 100 € überweisen,und bekäme dann einen Freischaltcode. LOL.....

Jetzt hab ich schon G-Data.Hat aber auch nichts genützt........

@Desmocorse

Und wie hast du den Trojaner jetzt überlistet und konntest dein Windows dennoch starten?

@SallySpectra
Ich gar nicht,bin ein Honk in sachen PC !
Hab ihn heute Morgen zu meinem Computer Spezi gebracht.
Das Betriebssystem muss komplett neu drauf,damit man sicher ist,daß er wirklich weg ist.
Er meinte aber,er bekäme das hin ohne Datenverluste.

Windows starten war nicht mehr möglich,kam sofort dieser Bildschirm des "Bundeskriminalamt"
Fazit:Russische Warez Seiten nixe gut.........:)

@Desmocorse

Dann halte uns hier mal auf dem Laufenden wie es ausging. Hoffentlich hat dein Spezi recht und es funktioniert ohne Datenverluste!

@SallySpectra
Werde ich machen!

Er macht einfach eine Datensicherung und spielt die Daten einzeln wieder zurück. Ist ein Haufen Arbeit, aber tatsächlich die einzige Möglichkeit.

...Backup ist Pflicht ;)

Benutze seit Jahren Avira Antivir und hatte bisher nie Probleme. Kaum mal ein Virus oder Trojaner.
Ich finde es kommt auch stark darauf an, auf welchen lustigen Internet Seiten man sich rumtreibt.

Und ein Backup zu machen ist sicherlich sehr hilfreich, gibt ja genug Möglichkeiten.

Allerdings ist nicht alles verloren wenn so etwas passiert. Und je nachdem wie viele Dateien man drauf hat, kann das eben länger oder kürzer dauern. Ist nur schade bei Leuten die sich mit PC´s nicht so auskennen. Die müssen das Teil dann eben zum Spezi bringen.
Die Leute die sich auskennen, können das selbst erledigen :)

Also Leute aufpassen, Vorsicht ist immer besser als Nachsicht.

Danke für die Info hab mir den Code direkt aufgeschrieben und auf den desktop gepinnt.

Hab nicht lust den Pc noch mals neu aufzusetzen

@Tobspeed

Tobspeed schrieb:Ich finde es kommt auch stark darauf an, auf welchen lustigen Internet Seiten man sich rumtreibt.

Das denke ich auch mal. Und nicht jede Mail öffnen.


@oiwoodyoi

oiwoodyoi schrieb:Danke für die Info hab mir den Code direkt aufgeschrieben und auf den desktop gepinnt.

Aber kannst du noch auf den Desktop zugreifen, wenn dein Windows gesperrt ist? Also ich habe ihn mir in meinen Kalender geschrieben.