Direkt nach dem Start von Windows Vista blockiert ein großes Fenster den gesamten Bildschirm: „Sie haben sich mit einem Windows-Verschlüsselungstrojaner infiziert“. Die Festplatte sei nun mit 256 Bit AES verschlüsselt, und zum Freischalten seiner Dateien könne man an der nächsten Tankstelle eine Paysafecard oder Ukash-Karte für 100 Euro erwerben und den aufgedruckten Zahlencode im Windows-Fenster eingeben: „Ihr System wird sofort entschlüsselt und von dem Trojaner befreit“. Diese Schadsoftware blockiert tatsächlich den älteren PC, man kann keine anderen Programme aufrufen, und so landet er bei uns im Büro.
Die Schadsoftware gibt es in mehreren Varianten, sie taucht wahlweise mit angeblichen Hinweisen vom BKA, von der Gema, der „Bundespolizei“ oder der GVU auf. Stets wird ein Betrag erpresst, der mit Ukash- oder Paysafecard-Karten zu begleichen ist. Das sind anonym zu erwerbende Zahlungsmittel mit zweifelhaftem Ruf, die dem Vernehmen nach auch für Geldwäsche und Drogenhandel eingesetzt werden. Noch sind Ukash und Paysafecard legal.
Die Schadsoftware kam über den Anhang einer Spam-Mail auf den Rechner. Der Spamschutz von AOL hatte versagt, und der Nutzer war so nachlässig, den PDF-Anhang dieser Nachricht zu öffnen. Mehr hatte er nicht getan, auch der installierte Virenscanner schlug keinen Alarm. Im Internet findet man schnell Hunderte von Hilfeseiten mit Tipps und Tricks. Wir probierten zunächst das „DE Cleaner Rettungssystem“ von BSI und Partnern, das auf eine Boot-CD gebrannt wird. Von der startet man den Rechner und den mehrstündigen Prüfvorgang.
Die Tiefenreinigung war bei uns nicht erfolgreich. Der Schädling wurde zwar erkannt, Windows jedoch nicht repariert. Im nächsten Anlauf starteten wir den PC im abgesicherten Modus. Manche Varianten des Ukash-Trojaners verhindern das. Hier gelang jedoch die Prozedur, und wir probierten nun den Start des Virenscanners über DOS-Parameter, leider erfolglos. Nächster Anlauf: Systemwiederherstellung im abgesicherten Windows. Dazu geht man unter Vista in den Ordner c:\windows\system32 und gibt in der Kommandozeile „rstrui“ ein. Anschließend kann man einen Systemwiederherstellungspunkt der Vergangenheit auswählen, alles andere erfolgt nahezu von allein.
Mit diesem Trick lief der Rechner. Zumindest so, dass wir alle wichtigen Daten auf einer externen Festplatte sichern konnten. Verschlüsselt war die Platte übrigens nicht, das hätte mehrere Stunden gedauert. Aber es gibt Schädlinge, die genau das tun. In diesem Fall ging die Sache also glimpflich aus. Wir haben dem PC-Besitzer empfohlen, die Festplatte neu zu formatieren - oder gleich eine fabrikfrische einzubauen und das System mit Windows 7 neu aufzusetzen. Der Erpressung sollte man in keinem Falle nachgeben. Niemand garantiert, dass der Spuk nach der Zahlung von 100 Euro ein Ende hat. Und vielleicht schlägt der Trojaner nach dem Motto „hat schon einmal gezahlt“ wenig später ein zweites Mal zu. Für die Virenschutz-Hersteller und AOL ist dieser Schädling ein Armutszeugnis. Die Google-Suche nach „Ukash- Trojaner“ liefert fast 200000 Treffer. Man ist mit seinem Problem also nicht allein, das ist der kleine Trost.
Lösung für Ukash-Trojaner
Michael Oppenheim (cmichaelo)
- 04.06.2012, 12:04 Uhr
