Erpresserschädling gibt sich als Windows Update aus

[Christoph]

Zitat:

Derzeit werden Spam-Mails verbreitet, die vorgeblich Neukunden eines nicht näher bezeichneten Premium-Mail Dienstes begrüßen. Die Mail Anhänge enthalten ein Trojanisches Pferd, das als Windows Update getarnt den Rechner blockiert. Der Schädling verlangt 50 Euro für ein Update, das verschlüsselte Dateien wieder herstellen soll.

Erpresserische Schädlinge, so genannte Ransomware, die Dateien verschlüsseln, den Rechner blockieren und Lösegeld fordern, sind zurzeit auf dem Vormarsch. Die jüngste Variante dieser Schädlingsgattung wird in diesen Tagen Spam-artig per Mail verteilt. Die wahllos angeschriebenen Empfänger werden in fehlerhaftem Deutsch mit ihrem Namen angesprochen und als Neukunden für einen Premium-Mail Dienst begrüßt - nebst beigefügter vorgeblicher Rechnung.

Die Mails kommen mit einem Betreff wie "Zahlungsaufforderung", "Buchung vom Ihrem Konto" oder auch "Bestellung Nr.", in dem zum Teil der Name des Empfängers und meist auch eine mehrstellige Nummer enthalten ist. Der Anhang besteht aus einem ZIP-Archiv, das einen Namen wie "Rechnung" oder "Abrechnung" trägt und eine gleichnamige EXE-Datei enthält.

Der Antivirushersteller TotalDefense, 2011 aus der CA Internet Security Division hervor gegangen, berichtet in seinem Blog über die in Deutschland verbreiteten Mails und ihre schädlichen Anhänge. Wird ein solcher Anhang entpackt und aufgerufen, installiert sich ein Trojanisches Pferd, das die Windows-Registry manipuliert. Es blockiert alle Eingabemöglichkeiten und zeigt eine Meldung an, die mit "Willkommen bei Windows Update" überschrieben ist. Weiter heißt es: "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert". Ursache sei der Besuch pornografischer Web-Seiten. Der Virus verschlüssele die Festplatte mit einem "2048 Bit PGP-RSA Schlüssel", der eine Entschlüsselung unmöglich mache.

Für ein "zusätzliches Sicherheitsupdate", das ein "kostenpflichtiges Upgrade für infizierte Windowssysteme" sei, soll das Erpressungsopfer 50 Euro per Ukash-Karte zahlen. Nach Übermittlung der Gutscheinnummer an die Erpresser soll das Opfer einen Freischalt-Code erhalten. Wird der in das den Rechner blockierende Fenster eingegeben, soll das System entschlüsselt und desinfiziert werden.

TotalDefense will heraus gefunden haben, dass der Schädling mit einer Website kommuniziert, die auf eine Firma namens HICHINA ZHICHENG TECHNOLOGY LTD registriert ist. Dabei soll es sich um eine Scheinfirma krimineller Betrüger handeln, die unter falschen Namen und Adressen operiert.

Quelle: http://www.pc-magazin.de/news/erpres...s-1277642.html