Thema: Scareware ...

[SiLæncer]

Die Programmierer betrügerischer Schutzprogramme haben eine täuschend echte AntiVir-Nachahmung inklusive Regenschirm-Logo erstellt und bieten sie auf speziell präparierten Web-Seiten an.

Die meisten PC-Anwender werden wohl, wenn sie ein Logo mit einem stilisierten roten Regenschirm sehen, an den deutschen Antivirushersteller Avira und dessen AntiVir-Produkte denken. Das wollen Online-Kriminelle für sich nutzen und haben eine Nachahmung erstellt, die nicht nur viel teurer sondern auch komplett nutzlos ist.

Die Fälschung trägt den Namen "Security Antivirus Suite" oder auch "Antivirus Security Suite" und wird dem Slogan "20 Years of Total Protection" beworben. Die Betrüger wollen damit den Eindruck eines renommierten Antivirusherstellers noch verstärken, den das bekannte Logo hervor rufen soll.Doch im Gegensatz zur echten Avira-Website, deren Domain-Registrierung bereits seit mehreren Jahren besteht und die korrekte Adresse des Unternehmenssitzes enthält, ist die Website der Fälscher noch kein Jahr alt und über einen anonymisierenden Proxy-Dienst registriert.

Die Vertreiber so genannter Scareware missbrauchen schon lange das Erscheinungsbild legitimer Programme, um ihren Machwerken einen seriösen Anstrich zu verleihen. Sie optimieren ihre eher kurzlebigen Websites, um bei der Web-Suche nach den Originalprodukten an prominenter Stelle in den Trefferlisten zu erscheinen. Auch Mac-Nutzer sind gefährdet und geraten mittlerweile ins Visier der betrügerischen Banden.
Sie verlangen Preise, die oft über denen der echten Antivirusprogramme liegen, bieten jedoch keinerlei Schutzfunktion. Vielmehr nerven die Fälschungen mit vorgetäuschten Warnmeldungen über vorgebliche Schädlingsfunde. Solche Programm sind im günstigsten Fall nutzlos. Zudem landen die beim Online-Kauf eingegebenen Kreditkartendaten in den Händen von Kriminellen, die damit einen schwunghaften Handel betreiben.

Quelle : www.tecchannel.de

[SiLæncer]

Online-Kriminelle missbrauchen den Namen des kostenlosen Microsoft-Tools als Tarnung für ein betrügerisches Antivirusprogramm namens Security Essentials 2010.

Nach der Beerdigung seiner Antivirus-Software Onecare hat Microsoft im letzten Jahr das Gratis-Tool Microsoft Security Essentials (MSE) heraus gebracht. Online-Kriminelle benutzen diesen Namen nun für ein betrügerisches Schutzprogramm, so genannte Scareware, wie erst kürzlich das Logo von Avira AntiVir.

 Im Blog der PandaLabs des spanischen Antivirusherstellers Panda Security berichtet ein Malware-Forscher namens Olaiz über das Scareware-Programm Security Essentials 2010. Im Gegensatz zu Microsofts Original ist es nicht nur unfähig irgendeinen echten Schädling zu entdecken, es nötigt den Benutzer auch zum Erwerb einer ebenso nutzlosen, aber knapp 50 US-Dollar teuren Vollversion.
Außerdem manipuliert Security Essentials 2010 die Windows-Registry. Es verhindert, dass Benutzer das Hintergrundbild für den Windows Desktop ändern können. Es deaktiviert den Zugriff auf den Taskmanager und somit auf die Liste der laufenden Programme und Prozesse.
Scareware täuscht einen Scan der Festplatte vor und meldet dann etliche vorgeblich gefundene Schädlinge. Zuweilen werden dazu harmlose Dummy-Dateien angelegt, die dann von dem betrügerischen Programm als angebliche Malware gemeldet werden. Scareware macht oft durch ständige Pop-ups auf sich aufmerksam, um den Benutzer zur Kauf der teuren Vollversion zu nötigen.
Um Verwechslungsgefahr zu vermeiden: das Sicherheitsunternehmen Webroot bietet eine legitime Software mit dem Namen "Webroot Internet Security Essentials" (WISE) an.

Quelle : www.tecchannel.de

[SiLæncer]

Der Nocebo-Effekt  beschreibt die gegenteilige Wirkung des Placebo-Effekts: Obwohl die Pille keinen Wirkstoff enthält, reagiert der Patient mit einer Gesundheitsverschlechterung. Ähnlich stuft Google in seiner kommenden Studie "The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution" die Wirkung sogenannter Scareware ein: Tut zwar nichts, führt aber trotzdem zu einer Verschlechterung des Zustands des PCs (oder des Anwenders). Google will die Studie erstmals auf der Usenix-Konferenz  "Workshop on Large-Scale Exploits and Emergent Threats" Ende April präsentieren.

Laut Google hat Scareware mittlerweile 15 Prozent Anteil am gesamten im Web registrierten Malware-Volumen – und der Anteil steige immer weiter. Scareware gaukelt dem Anwender eine Infektion mit Trojanern und Viren vor. Um die vermeintlichen Virenfunde zu beseitigen, versuchen die Programme dem Anwender den Kauf einer Vollversion aufzudrängen. Dabei nerven sie mit häufigen Warnmeldungen im laufenden Betrieb.

Für seine Analyse hat Google nach eigenen Angaben 240 Millionen, im Rahmen seiner "Malware Detection"-Infrastruktur als verdächtige eingestufte Webseiten genauer untersucht. Elf Millionen Domains sollen dabei in die Verbreitung von Scareware in den vergangenen 13 Monaten involviert gewesen sein. Bei der Hälfte aller über Werbebanner verteilten Malware soll es sich um die betrügerischen Software gehandelt haben. Nach Angaben von Google entspricht das einer Verfünffachung gegenüber dem Vorjahr.

Zuletzt hatte Scareware größere Medienpräsenz, als infizierte Werbebanner auf Handelsblatt.de und zeit.de über Browser-Lücken Scareware installierten. Dabei versteckten Kriminelle in Werbebannern ein spezielles JavaScript, die in einem Iframe weiteren Code nachluden, der seinerseits wieder auf eine andere Seite zeigte, wo dann letztlich das Exploit-Toolkit Neosploit verschiedene Lücken in den Plug-ins für QuickTime, Java und den Adobe Reader durchprobierte.

Allerdings muss Scareware nicht zwangsläufig in den Rechner eindringen, es genügt oftmals, einen Virenscan auf einer Webseite vorzutäuschen, um Anwender zum Download und Installation einer vermeintlichen Schutzsoftware zu bewegen. Weil Anwender oftmals in Panik geraten, ist die Abwehr von Scareware auch so schwierig. Google empfiehlt Anwendern, im Zweifel nur Software eines bekannten Antivirenherstellers zu installieren.

Quelle : www.heise.de

[SiLæncer]

Anbieter von Scareware bieten für ihre Nervprogramme inzwischen echten Live-Support, wie Nicolas Brulez von Kaspersky festgestellt hat. Wer etwa den vermeintlichen Virenscanner "Security Master AV" installiert und den "Online Support" anklickt, hat im Chat die Gelegenheit, seine Fragen direkt an den Scareware-Hersteller zu richten. Debora Brown, Kendra Grace oder David Lee nehmen sich alle Zeit der Welt, um das Opfer in flüssigem Englisch von der trügerischen Seriosität der Software zu überzeugen und das überflüssige Vollprodukt an den Mann zu bringen. Alternativ kann man auch anrufen oder eine Mail an das Team schreiben.

Als besonderes Schmankerl hält der "Support" eine auf einen Tag limitierte Testversion des Vollprodukts bereit, welche die nicht existierenden Schädlinge zuverlässig vom System verbannt. Die imaginären Viren werden zuvor von der Testversion diagnostiziert. Auch ein Uninstaller für den „Security Master“ wurde Brulez angeboten. Dieser löschte die Scareware jedoch nur teilweise.

Die Herkunft der hilfsbereiten Scareware-Verteiler schreibt Nicolas Brulez Russland oder der Ukraine zu. Wie man die Scareware erkennt und welche Gefahren von ihr ausgesehen, erklärt der Artikel Scharlatane und Hochstapler auf heise Security. Erst kürzlich hat das FBI drei Männer angeklagt, die Internet-Nutzern in mehr als 60 Ländern rund 100 Millionen US-Dollar mit Scareware abgeknöpft haben sollen.

Quelle : www.heise.de

[SiLæncer]

Sogenannte Scareware - gefälschte Sicherheitssoftware - ist seit Jahren auf dem Vormarsch. Nun haben sich Cyberkriminelle einen neuen Trick einfallen lassen, um derartige Software unter die User zu bringen: gefälschte Browser-Warnmeldungen, die den Benutzern suggerieren sollen, dass ihr System mit Malware verseucht ist.

Die zu diesem Zweck entwickelte Software - Spitzname Zeven - läuft als Script auf kompromittierten Websites. Sie generiert eine Warnmeldung, die den Benutzern anzeigen, dass ihr Rechner mit Malware infiziert ist. Das soll sie dazu bewegen, eine gefälschte Sicherheitssoftware namens Win7 AV zu installieren. Die Warnmeldung sieht dabei den vom jeweiligen Browser generierten täuschend ähnlich. Welchen Browser die Besucher verwenden, wird zuvor über eine Abfrage des User Agent ausgelesen.

Dadurch, dass die Warnmeldungen den von Chrome, Firefox oder dem Internet Explorer generierten täuschend ähnlich sehen, sollen sie in den Augen des Benutzers an Glaubwürdigkeit gewinnen. So sieht auch die Website, auf der Win 7 AV angepriesen wird, der des Microsoft-Malware-Schutzes Microsoft Security Essentials täuschend ähnlich. Cyberkriminelle verlassen sich oft darauf, legitime Websites und Produkte zu imitieren, um sich der Vertrauen der Nutzer zu erschleichen.

In einem Blogpost von Microsoft finden sich weitere Details sowie Screenshots zum Thema.

Quelle: www.gulli.com

[SiLæncer]

Eine neue Variante betrügerischer Antivirusprogramme bedient sich einmal mehr der kostenlosen Schutz-Software Microsoft Security Essentials als Vorlage. Sie installiert ein zweites Scareware-Programm, für das eine teure Lizenz erworben werden soll.

Die Programmierer betrügerischer Antivirusprogramme, auch als Scareware bekannt, missbrauchen gerne Namen und Erscheinungsbild bekannter legitimer Schutz-Software, um ihre Opfer zu täuschen. Der Antivirushersteller AVG hat kürzlich eine neue, als "Fake MSE" bezeichnete Variante entdeckt. Sie ahmt Microsoft Security Essentials (MSE) nach.

Wie Jason Zhou und Peter Gramantik im AVG Blog berichten, geht die neue Scareware-Version etwas raffinierter vor als ihre Vorläufer. Einmal auf den PC gelangt, täuscht sie zunächst einen Schädlingsbefund vor, den sie vorgeblich entfernt. Dann gibt sie vor eine kritische Sicherheitslücke im Dateisystem gefunden zu haben.

Um diese Lücke zu beseitigen, empfiehlt Fake MSE die Installation eines zweiten Programms namens "Windows Express Settings", das es auch gleich parat hat. Nach dessen Installation wird ein Neustart von Windows verlangt. Anschließend findet der Benutzer nicht mehr den gewohnten Windows-Desktop vor sondern die Oberfläche des neuen Scareware-Programms.

Scareware: Windows Express Settings

Dieses beginnt sogleich mit einer vorgetäuschten Überprüfung des Rechners. Nach Abschluss dieses Vorgangs präsentiert es eine Liste von Schädlingen verschiedener Art, die es vorgibt gefunden zu haben. Um diese fiktiven Befunde zu beseitigen, nötigt Windows Express Settings den Benutzer zum Kauf einer Lizenz für die Vollversion.
Diese ist ebenso nutzlos wie teuer - 79,90 US-Dollar werden verlangt, die mit der Kreditkarte zu bezahlen sind. Auf diesem Wege würden den Tätern auch noch die Kreditkartendaten des Opfers in die Hände fallen. Damit können die Täter das Konto plündern oder die Daten weiter verkaufen.

Quelle : www.tecchannel.de

[SiLæncer]

Die Masche ist offenbar lukrativ: Nach der Infektion eines Rechners sperren Lösegeld-Trojaner den Zugriff für den Anwender und fordern zur Zahlung einer Freischaltgebühr auf. Ein aktuelles Exemplar variiert das Thema und sperrt vorgeblich die Windows-Lizenz. Die ließe sich jedoch über einen angeblich kostenlosen Anruf bei einer Service-Nummer wieder freischalten.

Die Nachricht kommt nicht von Microsoft, die Sperre ist ein Trick, und die Anrufe sind natürlich nicht kostenlos – im Gegenteil: Sie gehen an teure, internationale Rufnummern etwa in Madagaskar. Wie der AV-Spezialist F-Secure dokumentiert hat, werden die Anrufer mehrere Minuten in einer Warteschleife hingehalten, damit auch wirklich hohe Gebühren auflaufen. Durch die Mithilfe eines Operators können die Betrüger das Gespräch nämlich in ein billigeres Land umleiten und dabei einen Teil der Gebühren für den Anruf zur ursprünglich gewählten Nummer selbst einstreichen.

Bei den Testanrufen von F-Secure erhielten die Opfer am Ende immer den gleichen Freischaltcode 1351236. Ob der dann das System wirklich wieder freigibt, ist zwar ungewiss; sie auszuprobieren, kann aber nicht schaden. Funktioniert das nicht, kommt man höchstwahrscheinlich wie auch bei den ähnlich gestrickten Vorgängern über eine Boot-CD zumindest an seine Daten und kann dann das System neu installieren.

Das gestaltet sich deutlich schwieriger, wenn man sich einen der GPcode-Schädlinge eingefangen hat, die – wie Anrufe bei der c't-Hotline zeigen – ebenfalls wieder vermehrt die Runde machen. Dieser Schädling verschlüsselt nämlich die Dateien der Anwender. Das dabei eingesetzte Verfahren entspricht dem Stand der Technik. So erzeugt GPcode auf jedem infizierten System einen zufällig erstellten AES-Schlüssel mit 256-Bit, mit dem er unter anderem alle Doc-, RTF-, Excel- und PDF-Dateien verschlüsselt.

Den AES-Schlüssel verschlüsselt er wiederum mit dem öffentlichen RSA-Schlüssel der Betrüger und hinterlegt nur die verschlüsselte Version auf dem befallenen System. Er lässt sich somit nur mit deren geheimen Schlüssel wiederherstellen. Die eingesetzten Verschlüsselungsverfahren lassen sich quasi nicht knacken, und auch Reverse Engeneering des Schädlings hilft nicht weiter. Wie Nicolas Brulez von Kaspersky in seiner GPCode-Analyse feststellt, bleibt damit nur die Hoffnung auf ein möglichst aktuelles Backup. Wer sich auf das Vabanque-Spiel der Erpresser einlässt und zahlt, riskiert damit, dass das Geld weg ist und die Daten trotzdem nicht freikommen.

Quelle : www.heise.de

[ritschibie]

In einem internationalen Schlag gegen Online-Kriminelle hat das Bundeskriminalamt (BKA) mehrere Objekte in Deutschland durchsucht. In zwei Wohnobjekten und einem Firmengebäude im Rhein-Main-Gebiet sowie in Rechenzentren unterschiedlicher Provider in Bayern, Hessen, Nordrhein-Westfalen und Sachsen seien Beweismittel wie Festplatten sichergestellt worden, teilte das BKA in Wiesbaden mit. Hintergrund ist ein Ermittlungsverfahren der US-Bundespolizei FBI wegen gewerbsmäßiger Verbreitung von Schadsoftware. Laut BKA waren elf Staaten in die Aktion eingebunden. Die Durchsuchungen fanden bereits am Dienstagmorgen statt.

Den international agierenden Online-Kriminellen wird vorgeworfen, mit Hilfe von Netzen aus gekaperten Computern ("Botnets") Schadsoftware verbreitet zu haben. Diese "Scareware" spielte Internetnutzern vor, dass ihr Computer mit einem oder mehreren Schadprogrammen infiziert sei. Zur vermeintlichen Bereinigung des Systems werde dem Nutzer der Kauf einer Lizenz für eine angebliche "Sicherheits-" oder "Antivirensoftware" mittels Kreditkarte angeboten. Die Preise für diese Software variierten zwischen etwa 40 und 80 US-Dollar. Das Programm ist aber bestenfalls nutzlos, oder sogar selbst ein Computerschädling. Zudem kommen die Kriminellen auf diese Weise an Kreditkarteninformationen.

"Conficker"-Bande ebenfalls das Handwerk gelegt?

Ebenfalls mit Unterstützung deutscher Ermittler hat der ukrainische Geheimdienst nach eigenen Angaben einer internationalen Bande das Handwerk gelegt, die mit Hilfe eines Computerwurms umgerechnet 50 Millionen Euro erbeutet haben soll. Die Angreifer hätten mit dem Wurm Conficker die Kontrolle über Computer übernommen und Konten bei Banken verschiedener Länder geplündert, teilte die Behörde nach Medienberichten in der Hauptstadt Kiew mit. Mit der Beute hätten sie sich unter anderem Luxusgüter und Immobilien gekauft. Conficker hatte sich vor allem 2009 stark verbreitet und Millionen Rechner erfasst.

Quelle: www.ard.de

[SiLæncer]

Eine Abwandlung des so genannten BKA-Schädlings sperrt Anwender vom Zugriff auf ihrem PC aus und verlangt im Namen von Microsoft eine Reaktivierungsgebühr für Windows in Höhe von 100 Euro. Für den Fall der Weigerung wird mit Löschung aller Daten gedroht.

Wer eine raubkopierte Windows-Version einsetzt oder seine legitime Windows-Kopie noch nicht aktiviert hat, könnte einem Schädling auf den Leim gehen, der versucht seine Opfer zu erpressen. Ein Trojanisches Pferd sperrt den Zugriff auf den Rechner und fordert auf Deutsch ein Lösegeld von 100 Euro, vorgeblich zu zahlen an Microsoft.

Eine großflächige Meldung auf dem Bildschirm eines infizierten Rechners zeigt ein Windows-Logo und behauptet: "Die Echtheit Ihrer Windows-Kopie wurde automatisch überprüft und nicht bestätigt." Ferner wird eine fünfstellige "Identifikationsnummer" angezeigt und die Zahlung von 100 Euro per Paysafecard oder Ukash-Card binnen 48 Stunden verlangt. Den PIN-Code der Bezahlkarte soll das Opfer zusammen mit der Identifikationsnummer auf eine Web-Seite eingeben. Diese soll vortäuschen eine Microsoft-Seite zu sein.

Die Meldungen drohen dem potenziellen Opfer mit der Löschung aller Daten einschließlich seiner Windows-Kopie, falls er nicht zahlen sollte. Außerdem wird mit einer Anzeige bei der Staatsanwaltschaft gedroht. Der dabei heran gezogene Paragraf 126 Abs. 3 UrhG (Gesetz über Urheberrecht) bezieht sich jedoch nicht auf raubkopierte Software sondern auf Tonträger, wie der Bochumer Antivirusanbieter G Data in seinem englischen Blog süffisant anmerkt.

Um den blockierten Zugriff auf den Rechner wieder herzustellen, empfiehlt G Data das Starten des Rechners von einer Antivirus-Boot-CD. Dann sollten alle Dateien namens "msvcs.exe" gelöscht oder zumindest umbenannt werden. Die damit verwaist zurück bleibenden Registry-Einträge können nach dem Neustart, nun wieder unter Windows, entfernt werden.

Luis Corrons vom spanischen Antivirushersteller Panda Security bietet im Blog der PandaLabs als Alternative zum Bezahlen der vorgeblichen Reaktivierungsgebühr den Aktivierungsschlüssel gratis an, den man an sich nach der Zahlung per Mail oder SMS von den Erpressern bekommen soll. Nach seinen Angaben entfernt der Schädling dann die angelegten Registry-Einträge und auch sich selbst. G Data hat dies mittlerweile in einem neueren Blog-Eintrag bestätigt.

Eine anschließende gründliche Untersuchung mit aktueller Antivirus-Software wird damit jedoch keinesfalls überflüssig. Schließlich muss der als Ransomware zu klassifizierende Schädling ja irgendwie auf den PC gelangt sein, möglicherweise durch andere Malware. Der Fall erinnert stark an den so genannten "BKA-Trojaner" aus dem März.

Quelle : www.tecchannel.de

[SiLæncer]

Mit zunehmendem Aufwand versuchen Kriminelle, sogenannte Ransomware ("ransom" heißt "Lösegeld") auf verschiedene Länder anzupassen und ihr damit einen glaubwürdigen Anstrich zu verleihen. Seit Anfang des Jahres kursiert etwa der sogenannte BKA-Trojaner. Er sperrt den Rechner des Opfers und behauptet, illegale Inhalte wie Raubkopien oder Kinderpornografie auf dem Rechner gefunden zu haben. Nur nach Zahlung einer bestimmten Summe werde die Sperre wieder aufgehoben – was allerdings in der Regel nicht passiert.

Derartig angepasste Trojaner gibt es auch in anderen Ländern, wie das Microsoft Malware Protection Center meldet. Dabei werden von Land zu Land unterschiedliche Behörden vorgeschoben: Während es bei deutschen Nutzern angeblich die Bundespolizei ist, die 50 bis 250 Euro fordert, will in Großbritannien die Metropolitan Police 75 Pfund sehen. In der Schweiz verlangt angeblich das "Federal Department of Justice and Police" 100 Schweizer Franken für die Entsperrung des Rechners.

Auch Varianten, die sorgfältig auf Spanien und die Niederlande zugeschnitten wurden, haben die Malware-Experten von Microsoft entdeckt. Die Schädlinge teilen sich eine gemeinsame Code-Basis. Laut dem Bericht haben sich die Virenschreiber Mühe gegeben, dass der Schädling leicht auf örtliche Gegebenheiten angepasst werden kann. Die jeweils passende Sprachversion des Schädlings wählen die Kriminellen anhand der per IP-Adresse ermittelten Standorts des Opfers aus.

Die Verteilung der Malware läuft laut Microsoft unter anderem über das Exploit-Kit Black Hole, das den Rechner beim Besuch einer verseuchten Webseite auf bekannte Sicherheitslücken in Adobe Reader, Flash, Java und Windows abklopft. Hat das Exploit-Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.

Im Zeitraum von Juli bis November dieses Jahres hat Microsoft allein eine Variante der Ransomware auf über 25.000 Rechnern deutscher Nutzer entdeckt. Wenn nur jeder zehnte auf den Schwindel hereinfallt und 100 Euro bezahlt, würden die Kriminellen immerhin 250.000 Euro erbeuten. Betroffene sollten auf keinen Fall zahlen und stattdessen eine aktuelle Antiviren-Boot-CD einsetzen.

Quelle : www.heise.de

[SiLæncer]

Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) warnt vor einer Schadsoftware. Diese sperrt Rechner und tut so, als wäre dies wegen einer Urheberrechtsverletzung und im Namen der GVU und des BSI geschehen.

Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU) distanziert sich von der missbräuchlichen Nutzung ihres Namens durch eine Schadsoftware. Diese sperrt offenbar einen Rechner mit der Begründung des Schwarzkopierens und verlangt für einen Entsperrcode eine Strafzahlung von 50 Euro.

Die GVU hat von dem Bildschirm eines offenbar verseuchten Rechners ein Foto gemacht. Dort wird vorgegeben, dass auf dem Rechner sogenannte Raubkopien gefunden wurden. Versehen mit den Logos der GVU und des Bundesamts für Sicherheit in der Informationstechnik und diversen mit Paragraphen unterlegten Erklärungen wird der Sachverhalt erklärt. Außerdem wird die eigene IP-Adresse angezeigt.

Das alles dürfte aufgrund der guten Aufmachung Anwender durchaus erschrecken und viele sich schuldig fühlende zu einer Zahlung der angeblichen Mahngebühr in Höhe von 50 Euro zu bewegen. Das sollte keinesfalls gemacht werden. Bezahlt werden soll mit einer Paysafe-Card und um die Betrügerei zu vereinfachen gibt es Hinweise, wo diese Karten gekauft werden können.

In der Warnung rät die GVU "allen Betroffenen dringend, Anzeige bei der nächsten Polizeidienststelle zu stellen. Nach Anzeigenerstellung empfiehlt die Organisation, die Festplatte auszubauen, an einen funktionsfähigen Rechner mit einem guten Virenschutzprogramm anzuschließen und einen Virenscan durchzuführen."

Quelle : www.golem.de

[Jürgen]

Der Fake ist kinderleicht zu erkennen, obschon recht überzeugend gestaltet.

Es sollte wohl dem Dümmsten klar sein, dass eine tatsächliche Verfolgung durch Behörden und / oder Urheberrechtsprofis NIEMALS für`n schlappen Fuffi abzuwenden wäre.
In der geringen Höhe kommen gerade mal Schwarzfahrer davon, als Ersttäter.

Schön wär's schon...  

Jürgen

[SiLæncer]

Die Antivirenexperten von Trend Micro haben einen Lösegeld-Trojaner entdeckt, der den Boot-Vorgang blockiert. Anders als der in Deutschland weit verbreitete BKA-Trojaner nistet er sich dazu im Master Boot Record (MBR) ein. Anschließend führt der Schädling einen Neustart durch und fordert den Nutzer auf, ein Lösegeld in Höhe von 920 Hrywnja (ukrainische Währung, umgerechnet rund 90 Euro) über den Zahlungsdienstleister QIWI an die Erpresser zu zahlen.

Kommt das Opfer der Forderung nach, schicken ihm die Erpresser einen Code, der den Rechner wieder freigibt. Das Geld kann man sich allerdings auch sparen, indem man die Desinfektionsanleitung der Experten befolgt. Im Wesentlichen läuft es darauf hinaus, die Wiederherstellungskonsole von der Windows-Installations-DVD zu starten und den ursprünglichen MBR mit dem Befehl fixmbr wiederherzustellen.

Laut Trend Micro wird der Schädling durch speziell präparierte Webseiten verbreitet oder durch andere Malware auf das System geschleust. Bereits Anfang 2010 wurde ein Schädling entdeckt, der den MBR überschrieben und das Booten des Betriebssystemens dadurch verhindert hat. Dieser hat allerdings kein Lösegeld eingefordert.

Hierzulande sind dutzende Versionen des BKA-Trojaners verbreitetet, die sich allerdings zumeist nicht am MBR zu schaffen machen, sondern sich über Autostart oder spezielle Registry-Einträge ins System einklinken.

Quelle : www.heise.de

[SiLæncer]

Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU) warnt: Noch immer locken Cyberkriminelle zahlreiche Anwender in die Irre. Die GVU-Trojaner geben vor, sie würden ihre durch die Schadsoftware blockierten PCs nach Zahlung einer bestimmten Geldsumme freigeben. Die Forderung ist mittlerweile von 50 auf 100 Euro angewachsen. In vielen Fällen blieb die Sperre trotz Zahlung aktiv.

Bereits seit März 2012 verbreitet sich eine Schadsoftware, die die betroffenen Computer komplett sperrt. Seit heute fordert der sogenannte "GVU-Trojaner" die Zahlung von 100 Euro. In der Regel dringt der Trojaner beim Surfen über manipulierte Webseiten unbemerkt in die Zielrechner ein. Nachdem die Ukash-Erpresser-Malware das System gesperrt hat, erscheint eine Meldung, nach der angeblich Raubkopien auf dem Rechner gefunden wurden. Als Absender werden die Logos der GVU, sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI) angezeigt. Die vermeintlichen Raubkopierer werden nach der Infektion der Computer zur Kasse gebeten. Gegen Zahlung einer Gebühr via PaysafeCard werde der Rechner entsperrt, wird in der Mitteilung des Trojaners versprochen. Allerdings blieb der PC trotz der Zahlung weiterhin nicht benutzbar. Mittlerweile hat sich die geforderte Summe offenbar verdoppelt.

Im Blog des Anti-Botnet Beratungszentrums wird Schritt für Schritt erklärt, wie man den GVU-Trojaner nachhaltig mit Hilfe der Kaspersky Rescue Disk vom System entfernen kann. Der Anbieter für elektronische Zahlungsmittel, PaysafeCard fordert diejenigen Nutzer, die das Lösegeld bereits bezahlt haben auf, so schnell wie möglich Kontakt mit ihrem Team aufzunehmen.

Quelle: www.gulli.com

[SiLæncer]

Die Polizei Hannover warnt per Facebook vor der neuesten Variante des Ukash/Paysafe-Trojaners. Mittlerweile ermittle man in rund 35 Verfahren wegen "versuchter Erpressung mittels Trojanern" gegen unbekannte Täter.

Derzeit kurisieren Mails mit der Betreff-Zeile "BKA erdrückende Akte gegen ...", die aber nicht von offizieller Stelle stammen. Das stellte das BKA stellte am Freitagabend in Wiesbaden klar. Die Kriminalpolizei rät zu pragmatischen Vorsichtsmaßnahmen, um kein Opfer zu werden: nie Anhänge zweifelhafter E-Mails öffnen, sondern sofort als Spam markieren oder löschen; einen aktuellen Virenscanner nutzen und Software-Updates einspielen. Befallene Anwender sollen sich auf keinen Fall auf den Erpressungsversuch einlassen, sondern die Polizei kontaktieren.

Offenbar ziehen die Erpressungs-Trojaner immer weitere Kreise. Dabei ist die Masche eigentlich alt: Ältere Varianten behaupteten unter anderem, im Auftrag der GVU oder gar des Bundeskriminalamts zu handeln. Stets wird auf ein schlechtes Gewissen des Anwender spekuliert: Auf dem Rechner sei illegale Software, geklaute Musik oder gar Kinderpornografie gefunden worden. Zugriff auf den PC werde erst nach der Zahlung einer "Strafe" wiederhergestellt, die über ein Payment-System wie Paysafe oder Ukash zu bezahlen sei.

In Wirklichkeit bewirkt eine Bezahlung natürlich nichts; der Rechner bleibt gesperrt. Echte Abhilfe bringen nur beherzte Eingriffe über den abgesicherten Modus oder spezialisierte Säuberungswerkzeuge, die man etwa über das Anti-Botnet Beratungszentrum oder direkt bei diversen AV-Herstellern findet.

Die jüngste Auflage des Ukash/Paysafe-Trojaners zieht die Daumenschrauben fester an als seine Vorgänger. Aktuelle Versionen der Malware geben sich als "Microsoft Windows Lizenzierung" aus: Die Windows-Lizenz sei illegal oder abgelaufen, deshalb seien alle Dateien verschlüsselt worden. Im Folgenden türmen sich die Lügen: Die Festplatte sei "mit PGP-RSA verschlüsselt" worden, Entschlüsselungsversuche auf eigene Faust seien strafbar, man müsse den Computer unbedingt eingeschaltet lassen und weiterer Unsinn.

Stimmen tut nur eines: Der Trojaner verschlüsselt die Dateien auf der Festplatte – allerdings nicht die komplette Platte, sondern dateiweise und nach einer relativ simplen Methode. Für diesen Vorgang braucht der Trojaner jedoch Zeit; damit erklärt sich auch die Aufforderung, den Computer nicht auszuschalten. Angesichts des Verhalten des Trojaners überrascht, dass die Polizei die Fälle nur als Erpressung und nicht zudem auch noch als Computersabotage einstuft.

Bei einigen Versionen des Trojaners lassen sich die Dateien mithilfe eines unverschlüsselten Gegenstücks entschlüsseln. Hier helfen unter anderem Werkzeuge von Avira, Dr. Web und Kaspersky sowie der DeCryptHelper von Trojaner-Board.de. Neuere Revisionen des Trojaners verschlüsseln die Dateien allerdings so, dass sie sich bisher nicht wiederherstellen lassen. Man sollte die betroffenen Dateien dennoch auf keinen Fall löschen, sondern sicher aufbewahren – neue Entschlüsselungswerkzeuge sind angeblich in Arbeit.

Aufmerksame Anwender werden bei der Lektüre des Drohbildschirms sofort über diverse Inkonsistenzen und Schreibfehler stolpern. Auch der Umstand, dass der zu zu zahlende Betrag je nach Zahlungs-Provider entweder 50 oder 100 Euro betragen soll, sollte stutzig machen. Hyperventilierende Trojaneropfer sollten besonnen handeln: Schnell den Rechner ausschalten, die Polizei kontaktieren, den derzeitigen Systemzustand zur Spurensicherung und Wiederherstellung über ein Boot-Medium sichern und dann mit viel Sorgfalt beginnen, den Schaden zu beseitigen. Hier können unter anderem die Foren der Initative botfrei.de sowie die Teilnehmer im Trojaner-Board helfen. Vor einer Neuinstallation des Betriebssystems oder einer vorschnellen Formatierung der Platte ist in jedem Fall abzuraten.

Quelle und Links : http://www.heise.de/newsticker/meldung/Polizei-warnt-per-Facebook-vor-Trojaner-1585054.html