BKA-Trojaner: Was gegen Geiselgangster-Malware zu tun ist

Seit einiger Zeit kursieren vermehrt Trojaner, die das Windows-System sperren und für die Freigabe Lösegeld erpressen. Meist geben sich die Schädlinge als Scanner des Bundeskriminalamts oder anderer Polizeibehörden aus. Hier erfahren Sie, was zu tun ist und wie Sie die BKA-Trojaner wieder loswerden.

Erpresser nehmen Windows als Geisel

Von Markus Selinger

Trojaner setzen sich schnell in schlecht geschützten Computern fest und die neuesten Exemplare sind hartnäckiger als eine Laus im Pelz. Besonders die Geiselnahme von Dateien nimmt in der Computerszene gerade überhand: als BKA-, GEMA- oder Bundespolizei-Trojaner übernehmen die Schädlinge PCs, sperren den Zugriff und bieten an, ihn gegen Zahlung wieder freizugeben. Für Privatanwender ist das übel, für Selbstständige und kleine Büros eine Katastrophe. Im Folgenden erfahren Sie, wie Trojaner ins System gelangen, was die Erpresser vorhaben und wie Sie die Schädlinge wieder loswerden.

Alle Trojaner gehen so vor, dass sie ein System infiltrieren, indem sie sich getarnt einschleichen. Dies geschieht in den meisten Fällen durch einen verseuchten Mail-Anhang. Danach stehlen die Eindringlinge Daten, kontrollieren den PC, lenken Onlinebanking-Aufträge um oder erpressen die Anwender, indem sie seine persönlichen Daten als Geisel nehmen und für die (vermeintliche) Freigabe Geld verlangen.

So arbeitet der BKA-Trojaner

Dabei geben sich Trojaner natürlich nicht als Eindringlinge aus. Im Gegenteil: Auf einem recht offiziell wirkenden Sperrbildschirm gibt sich die Bande als BKA, Bundespolizei oder GEMA aus: Man habe in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und bekannten Security-Software-Anbietern wie etwa Symantec oder Kaspersky den Anwender bei einer illegalen Aktion ertappt. Um die offizielle Wirkung zu untermauern, finden sich auf dem Sperrbildschirm viele Originallogos des BSI, der Polizei, des BKA und von Anbietern von Sicherheitssoftware. Manche Trojaner zeigen sogar ein Bild von Kanzlerin Merkel samt Hand-„Raute“.

An dieser Stelle sei noch einmal ausdrücklich gesagt: Hinter allen Sperrbildschirmen stecken Cybergangster und keine staatlichen Stellen!

Bka trojaner screen.png
Der Sperrbildschirm des BKA-Trojaners: Der Auf­tritt soll dem Nutzer weis­machen, dass es sich um eine offizielle Auf­forderung handelt. In Wahr­heit sind es Cyber­gangster, die nur Geld wollen und sich nicht um die Daten des Nutzers scheren. (Screenshot)

Schutz vor Zero-Day-Malware
Wer eine gute Security-Software einsetzt, bleibt vor Trojanern ge­schützt – voraus­gesetzt der Schutz ist aktuell und kann auch brand­neue Schäd­linge sicher aus­sperren. Achten Sie bei den Tests bei AV-TEST im Bewertungs­bereich unter „Schutz­wirkung“ auf die er­reichte Prozent­zahl bei „Schutz gegen 0-Day-Malware-Angriffe aus dem Inter­net, in­klusive bös­artiger Web­seiten und E-Mails (Real-World Testing)“. Suiten, die hier 100 % haben, wehren neueste Schäd­linge wie BKA-Trojaner und Kon­sorten besonders gut ab.

Avtest web 0day.jpg
Erkennung von 0-Day-Mal­ware: Schäd­linge wie der BKA-Trojaner tauchen ständig in neuen Varianten auf. Be­sonders guten Schutz bieten ge­testete Sicherheits­pakete, die beste Werte im „Real-World-Testing“ haben, im Beispiel F-Secure. (Bild: AV-TEST)

Zahlen Sie niemals Lösegeld!

Die als Strafverfolger getarnten Erpresser bieten dem Nutzer dann an, dass sie bei der vermeintlichen Straftat ein Auge zudrücken und seine Daten wieder freigeben – wenn er einsichtig ist und sofort mindestens 100 Euro als Strafe zahlt. Damit das reibungslos funktioniert, bietet die Sperrseite sogleich einen Online-Zahlungsdienst an.

Hier gilt: Zahlen Sie niemals! Denn selbst wenn Sie zehnmal zahlen würden: Der Trojaner gibt Ihren PC bzw. Ihr System nicht mehr frei. Das können Sie nur selbst mit einer Reinigungs-CD, -DVD oder einem Reinigungsstick manuell lösen.

So entfernen Sie den Trojaner

Hat ein Trojaner den PC erst einmal infiziert und gesperrt, so ist ohne weitere Hilfsmittel zunächst nichts zu machen. Daher benötigen Sie einen zweiten PC, an dem Sie mithilfe von kostenloser Software einen Reinigungsstick anfertigen. Mit diesem können Sie das Ungeziefer auf Ihrem PC entfernen. Danach haben Sie alle Ihre Daten wieder, wie zuvor.

Am besten geht das mithilfe der Software HitmanPro, die Sie 30 Tage lang kostenlos nutzen dürfen. Für die Rettung Ihres PCs reicht das aus. So gehen Sie vor:

  1. Besorgen Sie sich auf http://www.surfright.nl/en/downloads/ die passende 32- oder 64-Bit-Windows-Version. Denken Sie daran, dass damit die Version für den Gast-PC gemeint ist, an dem Sie den Reinigungsstick oder die CD herstellen!
  2. Starten Sie die heruntergeladene Datei. Sie müssen die Software nicht installieren, sie funktioniert sofort. Nach dem Start sehen Sie links unten das Symbol eines kleinen Männchens. Nachdem Sie es angeklickt haben, startet der Dialog, mit dem Sie den Reinigungs-USB-Stick erstellen. Stecken Sie einen Stick an. Das Tool formatiert ihn nun (alle alten Daten darauf gehen verloren!), macht ihn bootbar und spielt die Cleaner-Software auf.
  3. Stecken Sie den Stick am verseuchten Windows-PC an und starten Sie ihn. (Falls sich der PC noch mit dem Boot-Bildschirm meldet, müssen Sie dafür sorgen, dass anstelle von Windows der Stick gebootet wird. Je nach Computer müssen Sie dafür eine Taste drücken, meistens [F12], bei manchen PCs eventuell eine dieser Tasten: [ESC], [F8] oder [F10]. Haben Sie die richtige Taste erwischt, können Sie per Auswahlmenü den PC vom Stick booten lassen.)
  4. Ist der Stick gestartet, wählen Sie „1“, damit der MBR (Master Boot Record) übersprungen wird. Danach startet zwar Windows, aber nur bis zu dem Punkt, an dem sich ein Benutzer am System anmelden würde. Jetzt meldet sich automatisch HitmanPro und bietet Ihnen an, den PC zu scannen und zu säubern. Wählen Sie dazu einfach „Weiter“.
  5. Sobald HitmanPro den Trojaner aufgespürt hat, färbt sich der Fensterhintergrund in die Signalfarbe Rot und listet alle Fundstellen auf. Achten Sie darauf, dass bei jedem Eintrag „Löschen“ (oder „Delete“) gewählt ist. Wählen Sie dann „Weiter“ (oder „Next“). Nun säubert das Tool Ihren PC und verlangt für die letzte Reinigung sogar einen Neustart.
  6. Danach startet Windows wieder normal. Zur Sicherheit führen Sie die Software unter Windows gleich noch einmal aus. Am Ende sollte ein blau gefärbter Bildschirm ein sauberes System anzeigen.

Und noch etwas: Einige Trojaner fertigen einen Systemwiederherstellungspunkt an, in dem sie sich verstecken. Spielt Windows wegen eines Problems so einen Punkt wieder ein, ist der Trojaner wieder da. Löschen Sie daher alle vorhandenen Systemwiederherstellungspunkte: Drücken Sie die Tasten [Windows + Pause], dann links „Computerschutz“, markieren Sie Laufwerk „C“ in der Liste und klicken Sie auf „Konfigurieren“. Klicken Sie dann bei „Löscht alle Wiederherstellungspunkte (einschließlich …)“ auf „Löschen“ und dann „Fortsetzen“.

Fazit: Besser gleich sicher

Falls Sie sich den BKA-Trojaner deshalb eingefangen haben, weil sie keine (ausreichende) Sicherheitssoftware installiert hatten, ist es höchste Zeit. Am besten sehen Sie im Testbereich bei AV-TEST nach, welches aktuell die beste Schutzsoftware ist. Falls Sie eine Schutzsuite installiert hatten und der Trojaner ist einfach durchgeschlüpft, sollten Sie über einen Wechsel zu einer sichereren Software nachdenken. Kostenlose Infos zu den jüngsten Testergebnissen für Einzel-PCs finden Sie auf www.av-test.org.

Nützliche Links

Eine ganz ausführliche Anleitung zum Reinigen mit HitmanPro in allen Einzelschritten mit Screenshots gibt es online auf http://blog.botfrei.de/2012/12/hitmanpro-kickstart-kampf-der-ransomware/. Dort wird die Erstellung von Stick und CD noch genauer erklärt.