Scareware, die unter einem fingierten Vorwand den Computer blockiert und den Nutzer auffordert Geld über UKASH oder andere anonyme Dienstleister zu überweisen, ist seit langem eine echte Qual. Scheinbar gibt es immer noch Betroffene die alle Warnungen ignorieren und trotzdem bezahlen.

Über Scare- bzw.  Fraudware hatten wir bereits einen Artikel erstellt.

In Deutschland sehr verbreitet ist der BKA-Trojaner der in immer neuen Varianten erscheint. Leider wird der Trojaner immer hartnäckiger und der Schaden den er hinterlässt immer gravierender, eine aktuelle Variante geht sogar so weit alle Dateien im Nutzerverzeichnis zu verschlüsseln. Der BKA-Trojaner gibt vor, illegale Aktivitäten entdeckt zu haben, für die man sich freikaufen soll.

 bka-trojaner

Weitere Varianten geben vor das die Windows-Lizenz abgelaufen sei oder die GEMA Gebüren bezahlt werden sollen.

Aus einem befallen System lässt sich der Trojaner nicht mehr entfernen. Man benötigt einen aktuellen Virenkiller auf einem externen Startmedium auf CD oder USB-Stick. Leider zerstören die aktuellen Versionen des BKA-Trojaners auch wichtige Systemtools wie regedit und task-manager. An zahlreichen Stellen wird zudem die Registry verbogen damit z.B. Updates nicht mehr möglich sind. Daher ist es häufig ratsam die Systempartition zu formatieren und Windows neu zu installieren.

Wie kommt man an die eigenen Dokumente wenn sie verschlüsselt sind?
Man erkennt die alten Dateien an dem "locked"-Zusatz im Dateinamen.

  • locked-Familienfoto.JPG.lrgp
  • locked-WichtigesDokument.DOC.lrgp
  • ....

Mit etwas Glück handelt es sich bei Ihnen nicht um eine echte Verschlüsselung sondern um einen zufälligen Schlüssel der den Dateiinhalt maskiert (XOR). Um den Schlüssel ermitteln zu können, benötigt man eine unverschlüsselte Datei für den Vergleich. Notfalls reicht eines der Originalbilder aus den Windows Beispieldateien.

UPDATE 1. Jun 2012

Es gibt seit Mitte Mai neue Versionen des Verschlüsselungstrojaners. Sie verbreiten sich als Rechnung in ZIP-Dateien getarnt über Emails. Diese Trojaner zerstören die Dateien duch zufällige Dateinamen dem wahllosen Füllen des Dateiinhaltes. Die so zerstörten Dateien können vermutlich nicht entschlüsselt werden. Wenn unter Windows 7 oder Vista automatische Backups aktiviert waren, dann kann man versuchen die alten Inhalte über die Schattenkopie wiederherzustellen.

Das sollte man einen Fachman machen lassen.

 

Wie entschlüsseln?

Kopieren Sie sich den "Eigene Dateien"-Ordner in ein virenfreies System und laden eines der Tools am Endes dieses Artikels herunter. Wir benutzen das Tool von Kaspersky, das bislang schnell und zuverlässig funktioniert hat. Wählen Sie erst die Originaldatei und danach die verschlüsselte Version. Das Kaspersky-Tool beginnt daraufhin den Scan und erzeugt entschlüsselte Dateien.

Verbreitung des BKA Trojaners

Scareware verbreitet sich übrigens nicht immer über Schwachstellen im System sondern über Downloads und Emails. Durch Täuschung oder pure Ignoranz hat das Opfer manchmal der Installation sogar zugestimmt. Andere Verbreitungswege sind DriveBy-Downloads auf pornografischen Seiten durch ungepatchte Browser oder Betriebssysteme.

Der aktuelle BKA-Trojaner ist übrigens genau genommen Ransomware (Ransom=Erpressung). Angesichts der kriminellen Energie mit der der Schädling ans Werk geht ist und der hohen Verbreitung ist uns unverständlich, warum nicht mehr gegen die internationalen Banden hinter der Masche getan wird.

Decrypttools für verschlüsselte Dateien

Weitere Informationsquellen

 

Kommentare  

#21 Bilder rettenDirk - Feenders 2015-09-04 09:12
zitiere BP Trojaner:
Kann mir jemand Hilfe anbieten wie entschlüsseln. Verschlüsselte Datei: aaVjeQqtvfxeXXrvJA.


Erstmal sollten Sie wissen welcher Trojaner zugeschlagen hat. Dabei sollten Sie das System mit einem Antiviren USB Stick scannen.

Je nach Verschlüsselung kann auch wieder entschlüsselt werden. Kaspersky bietet einen decrypter für diverse Schlüssel an.
https://noransom.kaspersky.com/

Wenn Sie nicht wissen wie man von einem USB Stick bootet oder ein Antiviren-Stick erstellt, dann sollten Sie sich professionelle Hilfe holen.
Zitieren | Dem Administrator melden
#20 BKA-Virus (10 GB an Fotos zerstört) 2014-02-15 19:54
Bei mir sieht das ähnlich aus mit den Fotos. Der Name der datei ist so AJleOogfpJVdvr . Fast alle bilder zersört. 1 % konnt ich wiederherstelle n. Aber zum Teil alles nur ganz kleine bilder. Hab die befürchtung das alles Bilder für immer zerstört sind. Scheiss Virus. und keine Kopien von den Bildern.
Zitieren | Dem Administrator melden
#19 RE: BKA-Virus 2013-12-13 07:47

Schau mal in Deinen "Eigene Bilder" (oder Bibliothek Bilder - je nach Betriebssystem) - Ordner. Windows liefert ja einige Beispielbilder mit - wenn Du die nicht gelöscht hast ist das ein guter Ansatz. Die Anzahlt der Beispielbilder ist überschaubar - ggf. alle durchprobieren.

Zitieren | Dem Administrator melden
#18 BKA-Virus 2013-12-12 21:33
Auch ich bin leider betroffen. Virus wurde vom PC entfernt, aber sämtliche Dateien sind verschlüsselt. Die Musikdateien lassen sich wieder herstellen (umbenennen und .mp3) - sämtlicher Schriftkram jedoch nicht. Nun habe ich gelesen, dass man evtl. eine Chance hat, indem man eine Originaldateida tei (sofern vorhanden) und eine dazu passende verschlüsselte Datei durch den z. B. Kasperski-Scan schicken kann .... --- Nun meine Frage: Wie und woran erkenne ich denn bei den vielen verseuchten Dateien, welches die Richtige ist, die dann zur Originaldatei passt ???? Hoffe, ich konnte mich einigermaßen verständlich ausdrücken und freue mich über jede Hilfe und bedanke mich schon mal im voraus.
Zitieren | Dem Administrator melden
#17 Entschlüsseln von Datein 2013-08-19 02:36
Hab die Lösung gefunden, die Daten sind da beim überfliegen gleicht sich das, wie beim Orginal!!!! Me hr als 20 Zeilen jetzt schon, so mache morgen nach dem schlafen weiter, die Chancen stehen mehr als gut für die Wiederherstellu ng!
Zitieren | Dem Administrator melden
#16 Entschlüsseln von Datein 2013-08-19 02:15
Ja es sieht schlecht aus, hab mir auch den DirtyDecrytion mist geholt. Viele Datein sind verschlüsselt und kein Programm kann die Entschlüsseln, da die größer sind als das Orginal. Es gibt Aber Hoffnung. Ich hab ein Orginal und ein Verschlüsseltes und mit beide über den Editor angeschaut, nach einiger Zeit viel mir auf, dass in der Verschlüsselten Datei, genau die gleiche Zeile gab wie im Orginal! Also könnte man davon ausgehen, dass die Dateien garnicht Verschlüsselt wurden, sondern entweder in anderer Reihenfolge oder nur Zeilen dazugefügt wurden. Also könnte man so eine Algorythmus entwickeln, der diese wieder in den Ursprung bringt! Ich druck mir morgen das mal aus und schau mal rauf, was ich noch finde und zieh mir mal ein Editorprogramm, wo man vergleiche ziehen kann.
Zitieren | Dem Administrator melden
#15 Probleme mit dem Trojaner BKA 2013-06-18 11:40
Kann der BKA Trojaner die Festplatte zerstören? Mein Rechner lässt gar nichts mehr zu und Ubundu geladen com CD Laufwerk sagt das die Festplatte kurz vor dem Totalversagen steht.
Zitieren | Dem Administrator melden
#14 selbes Problem aber 2013-04-16 17:49
Den Rechner meiner Freundin verhunzt und das selbe Problem. muss den Rechner jetzt machen lassen und ich bin das übel der den trojaner einlass gegeben hat & macht mich richtig Fuchsig. meine frage auch wenn es vielleicht lächerlich klingt aber gibt es die möglichkeit diese schweinehunde dingfest zu machen.und bitte erspart Mir bitte jegliches negative Feedback bin So schon gestraft genug .
Zitieren | Dem Administrator melden
#13 Dateien wieder herstellen 2013-02-24 02:08
Hallo, ich habe mir heute einen BKA Trojaner eingefangen und ihn mit Hitmanpro wieder entfernen können. Nur das mit den Wiederherstelle n der Dateien klappt nicht bei rannohdecryptor kommt die Fehlermeldung "Verschlüsselte Datei nicht gleich der ursprünglichen" und bei Derypthelper kommt die Meldung "Schlüssel kann nicht bestimmt werden. Was kann ich noch tun um meine Dateien zu reparieren?
Zitieren | Dem Administrator melden
#12 Re: BP Trojaner 2012-12-18 07:46

Hallo franegg,
oben aufgeführte Tools schon ausprobiert? Kein Erfolg? Bitte noch Namen (genau) von dem Troljaner posten.

Zitieren | Dem Administrator melden

Kommentar schreiben


Sicherheitscode
Aktualisieren