Scareware, die unter einem fingierten Vorwand den Computer blockiert und den Nutzer auffordert Geld über UKASH oder andere anonyme Dienstleister zu überweisen, ist seit langem eine echte Qual. Scheinbar gibt es immer noch Betroffene die alle Warnungen ignorieren und trotzdem bezahlen.

Über Scare- bzw.  Fraudware hatten wir bereits einen Artikel erstellt.

• Siehe auh: Pseudo-Antivirus-Trojaner entfernen

In Deutschland sehr verbreitet ist der BKA-Trojaner der in immer neuen Varianten erscheint. Leider wird der Trojaner immer hartnäckiger und der Schaden den er hinterlässt immer gravierender, eine aktuelle Variante geht sogar so weit alle Dateien im Nutzerverzeichnis zu verschlüsseln. Der BKA-Trojaner gibt vor, illegale Aktivitäten entdeckt zu haben, für die man sich freikaufen soll.

Weitere Varianten geben vor das die Windows-Lizenz abgelaufen sei oder die GEMA Gebüren bezahlt werden sollen.

Aus einem befallen System lässt sich der Trojaner nicht mehr entfernen. Man benötigt einen aktuellen Virenkiller auf einem externen Startmedium auf CD oder USB-Stick. Leider zerstören die aktuellen Versionen des BKA-Trojaners auch wichtige Systemtools wie regedit und task-manager. An zahlreichen Stellen wird zudem die Registry verbogen damit z.B. Updates nicht mehr möglich sind. Daher ist es häufig ratsam die Systempartition zu formatieren und Windows neu zu installieren.

Wie kommt man an die eigenen Dokumente wenn sie verschlüsselt sind?
Man erkennt die alten Dateien an dem "locked"-Zusatz im Dateinamen.

• locked-Familienfoto.JPG.lrgp
• locked-WichtigesDokument.DOC.lrgp
• ....

Mit etwas Glück handelt es sich bei Ihnen nicht um eine echte Verschlüsselung sondern um einen zufälligen Schlüssel der den Dateiinhalt maskiert (XOR). Um den Schlüssel ermitteln zu können, benötigt man eine unverschlüsselte Datei für den Vergleich. Notfalls reicht eines der Originalbilder aus den Windows Beispieldateien.

• Die original Windows Beispieldateien findet ihr hier

Wie entschlüsseln?

Kopieren Sie sich den "Eigene Dateien"-Ordner in ein virenfreies System und laden eines der Tools am Endes dieses Artikels herunter. Wir benutzen das Tool von Kaspersky, das bislang schnell und zuverlässig funktioniert hat. Wählen Sie erst die Originaldatei und danach die verschlüsselte Version. Das Kaspersky-Tool beginnt daraufhin den Scan und erzeugt entschlüsselte Dateien.

Verbreitung des BKA Trojaners

Scareware verbreitet sich übrigens nicht immer über Schwachstellen im System sondern über Downloads und Emails. Durch Täuschung oder pure Ignoranz hat das Opfer manchmal der Installation sogar zugestimmt. Andere Verbreitungswege sind DriveBy-Downloads auf pornografischen Seiten durch ungepatchte Browser oder Betriebssysteme.

Der aktuelle BKA-Trojaner ist übrigens genau genommen Ransomware (Ransom=Erpressung). Angesichts der kriminellen Energie mit der der Schädling ans Werk geht ist und der hohen Verbreitung ist uns unverständlich, warum nicht mehr gegen die internationalen Banden hinter der Masche getan wird.

Decrypttools für verschlüsselte Dateien

• http://support.kaspersky.com/de/downloads/utils/rannohdecryptor.exe
• http://matthi.org/DecryptHelper-0.5.3.exe

Weitere Informationsquellen

• http://www.trojaner-board.de
• http://www.evild3ad.com/?p=405
• http://bka-trojaner.de/