BKA Trojaner erpresst Besitzer von Android Smartphones und Tablets

 

Nun ist es soweit, der BKA Trojaner findet vermehrt seinen Weg auf Android Smartphones oder Tablets und erpresst seine Besitzer. Windows Benutzer kennen den Erpressungs-Trojaner bereits als unzählbare Varianten des BKA Trojaners, GVU Trojaners oder BSI Trojaners.

Android BKA Trojaner (Bild Quelle: Chip)

Android BKA Trojaner (Bild Quelle: Chip)

Von Virenscannern wird die Malware unter den Namen wie Android/Deng.BLO, Android:Koler-X [Trj], Android.Trojan.Koler.A, Android.Locker.1.origin, Android/Koler.A, Android.Trojan.Koler.A (B), Android.Lockdroid.G, HEUR:Trojan.AndroidOS.Koler.a usw. erkannt. Mittlerweile melden Sicherheitsexperten, dass auch schon bösartigere Varianten im Umlauf sind, die schwieriger zu entfernen sind.

Welchen Schaden richtet der BKA Trojaner an?

Der Erpressungs-Trojaner sperrt den Bildschirm des Smartphones oder Tablet mit der Meldung

WARNUNG! Zugang von Ihrem Telefon wurde vorläufig aus den unten aufgelisteten Gründen gesperrt. Alle Tätigkeiten, die auf diesem Telefon durchgeführt werden, werden fixiert.
Alle Ihre Dateien sind verschlüsselt.

und macht das Gerät unbenutzbar. Nur über die Home-Taste gelangt man wieder zum Startbildschirm zurück. Allerdings schaltet sich der Sperrbildschirm nach ca. 5 Sekunden wieder ein. Weiterlesen

Rombertik Trojaner: Eine neue gefährliche Malware

 

Die neue Malware Rombertik Trojaner spioniert Daten wie Passwörter über den Browser aus und wenn er glaubt enttarnt zu werden löscht dieser die Festplatte oder verschlüsselt die Daten darauf.
Das TALOS-Team von Cisco entdeckte diesen Schädling und konnte diesen erfolgreich untersuchen. Am Anfang war es schwierig diese Schadsoftware zu analysieren da der Trojaner sich geschickt tarnt.

Diagramm zur Funktion vom Rombertik Trojaner (Quelle Bild: TALOS-Cisco)

Das Bild zeigt ein Diagramm zur Funktion des Trojaners Rombertik. (Quelle Bild: TALOS-Cisco)

Im Blogeintrag von den TALOS IT Sicherheitsforschern bei Cisco wird beschrieben das der Trojaner über 97 Prozent aus unnützen Code besteht. Einerseits sind es Bilder und über 8000 überflüssigen Funktionen, mit der versucht wird die Malware zu tarnen und eine Analyse zu erschweren. So wird vom Trojaner Rombertik zum Beispiel 960 Millionen an zufälligen Daten in den Arbeitsspeicher geschrieben, die von Analyse Werkzeugen protokolliert werden und mehrere hunderte Gigabyte an Daten auflaufen lassen.

Was macht der Rombertik Trojaner genau?

Nachdem Rombertik sich im System eingenistet hat überprüft dieser die Umgebung ob Gefahr droht. Ist alles ok wird die eigentliche Schadsoftware aktiv. Weiterlesen

AdwCleaner entfernt Toolbars Adware Browser-Hijacker und andere unerwünschte Programme

 

AdwCleaner entfernt Toolbars Adware Browser-Hijacker und andere unerwünschte Programme

Mit dem Tool AdwCleaner kann man unerwünschte Toolbars, Adware, Browser-Hijacker und andere unerwünschte Software (PUP – Potentially Unwanted Programs) vom System entfernen.

 

Bild vom AdwCleaner

AdwCleaner nach dem Programm Start.

 

Wer kennt das nicht. Man lädt hier und da ein Programm herunter und installiert es. Bei der Installation wird standardmäßig gleich eine Toolbar mit installiert, die Startseite vom Browser geändert und die Standard Suchmaschine der Browsersuchleiste auf eine neue Suchmaschine eingestellt. Weiterlesen…

Verschlüsselungstrojaner: Daten-Rettung-Wiederherstellung nach Verschlüsselung

 

Windows Verschlüsselungstrojaner und der Schaden danach.

Dieser Leitfaden ist ein kleine Hilfestellung zur Daten-Rettung-Wiederherstellung nach der Infizierung und Verschlüsselung durch den Windows Verschlüsselungstrojaner.

Da nach aktuellen Erkenntnissen eine Entschlüsselung der Daten derzeit nicht möglich ist, bleibt nur der Weg die Daten zu Retten in dem man diese ggf. mit zusätzlicher Software wieder Repariert oder Wiederherstellt.
Eine vollständige Entschlüsselung der Daten, Dateien und Dokumente wäre zur Zeit nur möglich, wenn der sogenannte C&C-Server gefunden, sichergestellt und analysiert wird. Die Wahrscheinlichkeit das dies passiert ist niedrig.

Leitfaden und Hilfestellung zur Rettung und Wiederherstellung der Daten, Dateien und Dokumente:

1. Erstellen Sie ein Backup (Datensicherung) der Dateien oder Ein Image von der Festplatte auf einen externen Datenträger.
Weiterlesen…

ShadowExplorer: Ordner und Dateien aus Volumeschattenkopie-Daten wiederherstellen

 

Mit dem Programm ShadowExplorer kann man einzelne Ordner und Dateien aus den Schattenkopien, die von Windows erstellt wurden sind, wiederherstellen. Seit Windows Vista/7 erstellt Windows mit dem Dienst Volumeschattenkopie (Volume Shadow Copy Service), wenn aktiviert, automatische Kopien von Dateien.
Der Systemschutz Volumeschattenkopie ist standardmäßig für das Systemlaufwerk aktiviert. In aller Regel ist das Laufwerk C: das Systemlaufwerk. Windows selbst erstellt Kopien von Benutzer-Dateien beim bearbeiten und von Systemdateien beim installieren von Windows-Updates bzw. wenn Windows einen Wiederherstellungspunkt setzt. Ob jetzt manuell durch den Benutzer ausgeführt oder automatisch beim installieren von Treibern und Winds-Updates.
Eins sollte man unbedingt dabei beachten. Windows Volumeschattenkopie ersetzt keine Datensicherung auf externe Medien. Es ist sehr wichtig regelmäßig seine Daten zu sichern. Zum Beispiel mit dem eignen Sicherungsprogramm von Windows oder die Daten einfach auf ein externes Medium wie eine externe Festplatte zu kopieren.

Man erhält mit der Software ShadowExporer ein Werkzeug um auf einzelne Dateien und Ordner zuzugreifen und wiederherzustellen. ShadowExplorer ist ähnlich aufgebaut wie der Windows Explorer und von daher ist die Bedienung einfach, auch wenn das Programm nur in englischer Sprache ist. Der ShadowExplorer ist für Windows Vista und Windows 7 entwickelt. Eingesetzt werden kann der ShadowExplorer auch unter den Windows Server Betriebssystemen 2003/2008/2008 R2.
Downloaden kann man den ShadowExplorer am Ende dieses Beitrags.
Weiterlesen…

Windows Verschlüsselungs-Trojaner in neuer Version

 

Der Windows Verschlüsselungs-Trojaner ist weiterhin aktiv und mittlerweile taucht dieser in neuer Version auf. Seine Macher aktualisieren und verbessern leider den Windows Verschlüsselungs-Trojaner weiter um das entschlüsseln der Daten zu erschweren bis unmöglich zu machen.

Die Verschlüsselung hat sich zu der Vorgängerversion deutlich geändert und auch das Format der Dateien nach der Verschlüsselung. Die ersten Versionen haben die Daten und Dateien im Format „locked-Original Dateiname.Typ.1234“ geändert. Die neueren Version hingegen benennen die Dateien im Format „RxoYdJptaAoQVvpjnED“ um. Hierbei wird der Original Dateiname und Dateityp komplett entfernt, was es auch schwieriger macht zu wissen um welche Datei (Bilder, Musik, Dokumente, usw.) es sich handelt.

Wenn man sich damit infiziert hat bekommt man diese Meldung angezeigt:

Verschlüsselungs-Trojaner (Screenshot)

Verschluesselungs-Trojaner

Die Abbildung ist ähnlich. Als Zahlungsmöglichkeit bietet die neue Version Ukash und Paysafe an und verlängt für das entschlüsseln der Daten 100 Euro statt wie vorher 50 Euro. Der Text im Fenster ist wie folgt:

Willkomen bei Windows Update

Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt. das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 256 Bit AES Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar. Um das System wiederherstellen zu können. müssen Sie ein zusätzliches Sicherheitsupdzue herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es. weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen Ihre Daten nicht zu verlieren. Bitte schalten Sie Ihren Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie Ihre Daten komplett verlieren. Dieses Update beschützt Ihr System vollständig von Virus und Schadmwrzunmen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Damit Ihr Computer schnellstens entsperrt wird. nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit Paysakcard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle öder einen Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da. wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergelzulen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit. Bitte zahlen Sie das Sicherheit-Update mit einem einzigen Ukash oder Paysafecard Code in passender Höhe sonst kann Ihre Zahlung nicht korrekt bearbeitet werden.

Bitte bevorzugen Sie die Ukash Bezahlm-ethode. Die Prüfung der Paysafecard kann bis zu 6 Stunden in Anspruch nehmen.
Notieren Sie sich sofort folgende Email: securitycenter@inbox.lt. falls Ihr System zusammenbricht und eine automatische Virensuche nicht mehr möglich ist. können Sie das Update auch per Email erwerben und Ihre Daten retten. Senden Sie dafür den gekauften 100 Euro Ukash Code an die genannte E-Mail Adresse. Sie erhalten umgehend das Update Programm zugeschickt.

Weiterlesen…

Kaspersky RannohDecryptor zum entschlüsseln von locked Dateien (Trojan-Ransom.Win32.Rannoh)

 

Der Hersteller Kaspersky stellt mit dem Tool RannohDecryptor ein weiteres Werkzeug zur Verfügung, gegen die verschlüsselten Dateien im Format „locked-original Dateiname.Typ.1234“, die vom Verschlüsselungstrojaner verschlüsselt wurden sind.

Nachdem der Hersteller Avira seine Entschlüsselungssoftware „Avira Ransom File Unlocker“ bereitgestellt hat, zog auch nur wenige Tage später der Anti-Viren Hersteller Kasperksy mit dem „Kaspersky RannohDecryptor“ nach.
Ein Tool gegen den Verschlüsselungstrojaner, bekannt auch unter die Namen Trojan:W32/Ransomcrypt, trojan-ransom.win32.rannoh, trojan:win32/ransom.opv, Trojan-Ransom.Win32.Rannoh, Trojan.Crypt.EBJ, TR/Crypt.XPACK.Gen (Ransom.A), Trojan.Encoder usw., um die Dateien die im Format „locked-original Dateiname.Typ.1234“ vorliegen wieder zu entschlüsseln.

Ich persönlich hatte das Programm schon erfolgreich im Einsatz gehabt und könnte damit auf mehren Kunden PCs die Dateien wieder herstellen. In der Bedeinbarkeit gestaltet es sich recht einfach. Den „Kaspersky RannohDecryptor“ starten, Einstellungen vornehmen und starten. Während des suchen nach den Dateien werden die gefunden gleich entschlüsselt. Finde es in der Bedienbarkeit sogar etwas besser als den „Avira Ransom File Unlocker„.

Der Kaspersky RannohDecryptor nach dem staren.

Kaspersky RannohDecryptor

Nach dem starten des „Kaspersky RannohDecryptor“ öffnet sich die Benutzeroberfläche. Mit einem Klick auf „Change Parameters“ kommt man in das Einstellungsmenü. Dies sieht dann so aus:
Weiterlesen…

Mit dem Avira Ransom File Unlocker verschlüsselte Dateien im Format „locked-Original Dateiname.Typ.????“ wieder entschlüsseln

 

Der Avira Ransom File Unlocker zum entschlüsseln der Dateien im Format „locked-Original Dateiname.Typ.????“ die vom Verschlüsselungstrojaner, bekannt auch unter den Namen Trojan:W32/Ransomcrypt, trojan-ransom.win32.rannoh, trojan:win32/ransom.opv, Trojan-Ransom.Win32.Rannoh, Trojan.Crypt.EBJ, TR/Crypt.XPACK.Gen (Ransom.A), Trojan.Encoder usw., verschlüsselt wurden sind. Der Download das Programms befindet sich am Ende des Artikels.

Wer den Verschlüsselungstrojaner auf dem PC hat bzw. hatte steht meistens vor dem Problem, wie komm ich wieder an meine Dateien ran. Da bietet der Hersteller Avira mit dem Tool „Avira Ransom File Unlocker“ ein Lösung an.
Aktuell befindet sich die Software in Version 1.0.1 und ist für Dateien im Format „locked-Original Dateiname.Typ.????“ geeignet.

Bisher hab ich selbst auf mehren Rechnern das Tool im Einsatz gehabt und konnte damit erfolgreich die verschlüsselten Dateien wieder entschlüsseln. Dennoch ist auch hier vorsichtig geboten und man sollte das vorher an ein paar Dateien ausprobieren ob das entschlüsseln erfolgreich ist. Und dann kann man das auf alle Dateien anwenden. Die Software lässt dabei auch die verschlüsselten Dateien zurück, das man später immer noch mal ein Versuch hat. Für den Fall der Fälle.
Weiterlesen…

CD oder DVD Laufwerk verschwunden oder mit gelben Ausrufezeichen im Gerätemanager

 

Es werden keine CD oder DVD Laufwerke mehr auf dem Arbeitsplatz angezeigt oder sind im Gerätemanager mit gelben Ausrufezeichen versehen.

Nach Installation oder Deinstallation von Programmen werden keine CD/DVD Laufwerke mehr angezeigt. Es ist auch möglich das die Laufwerke angezeigt werden, aber ein zugreifen darauf nicht möglich ist und dabei eine Fehlermeldung angezeigt wird. Im Gerätemanager werden die Laufwerke mit ein Ausrufezeichen angezeigt und im Gerätestatus wird Fehlercode 19, 31, 32, 39 oder 41 angezeigt.
Dieser Artikel beschreibt Methoden zur Behebung dieses Problems. Eine dieser Methoden erfordert das manuelle Entfernen der Registrierungseinträge „UpperFilters“ und „LowerFilters“ aus der Windows-Registrierung. Sie müssen den Computer neu starten, nachdem Sie die in diesem Artikel beschriebenen Schritte ausgeführt haben.

Fehlerbeschreibung:

– Sie können nicht mehr auf das CD- oder DVD-Laufwerk zugreifen.
– Folgender Gerätestatus wird im Gerätemanager angezeigt.

  • Das Gerät funktioniert nicht ordnungsgemäß, da Windows die für das Gerät erforderlichen Treiber nicht laden kann (Code 31).
  • Für das Gerät ist kein Treiber erforderlich. Der Treiber wurde deaktiviert (Code 32 oder Code 31).
  • Die Registrierung ist eventuell beschädigt. (Code 19)

– Fehlermeldung des Typs „Fehlercode 39“ angezeigt.
– Eine Meldung wie die folgende angezeigt:

  • Der Gerätetreiber wurde für die Hardware geladen, aber das Gerät wurde nicht gefunden. (Code 41)

Methoden zur Behebung des Fehlers:

Man entfernt in der Windows-Registry die Einträge zu „LowerFilters“ und „UpperFilters“ Weiterlesen…

Alle Verknüpfungen haben das WORD Icon Symbol und werden mit WORD geöffnet

 

Wie der Titel schon sagt, alle Verknüpfungen, sei es auf dem Desktop, in der Taskleiste oder im Startmenü haben das Word Icon Symbol.

Wie passiert so was? Das kann passieren wenn man Software installiert oder deinstalliert. In diesem Fall ist es nach der Deinstallation von Office 2010 passiert. Installiert war Office 2007 und Office 2010 im 30/60 Tage Testmodus. Nach Ablauf der Testphase wurde das Office 2010 wieder deinstalliert und dann ist es passiert. Alle Verknüpfungen hatten auf einmal das WORD Icon Symbol.
Der erste Lösungsansatz war hier erst mal das Office 2007 zu deinstallieren und dann wieder neu zu installieren. Das half aber nicht, der Fehler bestand weiter hin.

Wo liegt also das Problem? In der Windows-Registry ist der Fehler zu finden. Man muss die lnk Einträge in der Windows- Registry wieder zurücksetzen. Der Registry-Fix ist in diesem Artikel zum download bereitgestellt.
Weiterlesen…

banner