Nerdzine Technik-Magazin rund um Smartphones, Gadgets und ComputerGefälschte E-Mails mit der Überschrift “Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert” und schadhaftem Code im Anhang werden versendet. Wie das BKA (Bundeskriminalamt) mitteilt, nennen die Versender der Nachricht ausgerechnet das Bundeskriminalamt im Betreff der Nachricht.
Wer aktuell eine E-Mail mit “Bundeskriminalamt” erhält, sollte misstrauisch sein. Aktuell sind solche gefälschten E-Mails im Umlauf. Die Urheber statten sie mit einem Anhang aus. Beim Öffnen wird Schadcode auf dem System installiert. Das BKA warnt aktuell in einer Pressemitteilung und gibt bekannt nicht die E-Mails versendet zu haben.
BKA Verschlüsselungs Trojaner - Bundeskriminalamt warnt (Bild: bka.de)
Im Betreff sind Dinge wie “BKA erdrückende Akte gegen [Empfänger der E-Mail]” geschrieben. Sollte der Nutzer den Anhang mit Bezeichnungen, wie “Akte.zip”, öffnen, wird ein Pop-Up-Fenster bei zukünftigen PC-Bootvorgängen geöffnet. Im Pop-Up-Fenster steht eine Warnnachricht laut der der PC mit einem Verschlüsselungstrojaner infiziert sei. Der Anwender soll sich diesen beim Besuch von pornographischen Seiten eingefangen haben. Ferner wird eine angebliche Lösungsmöglichkeit angeboten: Der Nutzer soll per uKash oder Paysafecard 50 bis 100 Euro zahlen, um ein Sicherheitsupdate zu erhalten. Dies soll den Trojaner entfernen und die Verschlüsselung entfernen.
Schutz vor BKA-Trojaner
Beim Erhalt einer solchen E-Mail sollte der Anhang auf keinen Fall geöffnet werden. Andernfalls wird tatsächlich ein Trojaner installiert. Teile der Testplatte werden wirklich verschlüsselt und sind ohne weiteres nicht zugänglich. Wichtig ist es den Betrag nicht zu überweisen. Trotz der Zahlung ist das System nach wie vor infiziert und verschlüsselt.
Um von vorne herein sich optimal gegen den BKA-Trojaner zu schützen, sollte das System aktuell gehalten werden. Dazu gehören regelmäßige Betriebssystem-Updates und ein aktuelles Antiviren-Programm.
Verschlüsselte Daten können gerettet werden
Im Falle einer Infizierung gibt es Möglichkeiten seine ursprünglichen Daten wieder zu bekommen. Hierfür ist eine ursprüngliche (unverschlüsselte) Datei notwendig. Wer keine hat, kann eine gewöhnliche Windows-Datei hierfür verwenden.
Mit Hilfe von “Avira Ransom File Unlocker“, “Kaspersky RannohDecryptor” oder mit Matsnuldecrypt von Dr. Web können die Dateien wieder entschlüsselt werden. Da es mittlerweile verschiede Ausführungen vom Verschlüsselungstrojaner gibt, sollten die verschlüsselten Daten vor dem Versuch gesichert werden. Der Verschlüsselungstrojaner trägt den Namen Trojan.Matsnu.1 bzw. Trojan-Ransom.Win32.Rannoh.
[Quelle: BKA]
