Ransomware

Malware erpresst Reaktivierungsgebühr für Windows

Eine Abwandlung des so genannten BKA-Schädlings sperrt Anwender vom Zugriff auf ihrem PC aus und verlangt im Namen von Microsoft eine Reaktivierungsgebühr für Windows in Höhe von 100 Euro. Für den Fall der Weigerung wird mit Löschung aller Daten gedroht.

Wer eine raubkopierte Windows-Version einsetzt oder seine legitime Windows-Kopie noch nicht aktiviert hat, könnte einem Schädling auf den Leim gehen, der versucht seine Opfer zu erpressen. Ein Trojanisches Pferd sperrt den Zugriff auf den Rechner und fordert auf Deutsch ein Lösegeld von 100 Euro, vorgeblich zu zahlen an Microsoft.

Eine großflächige Meldung auf dem Bildschirm eines infizierten Rechners zeigt ein Windows-Logo und behauptet: "Die Echtheit Ihrer Windows-Kopie wurde automatisch überprüft und nicht bestätigt." Ferner wird eine fünfstellige "Identifikationsnummer" angezeigt und die Zahlung von 100 Euro per Paysafecard oder Ukash-Card binnen 48 Stunden verlangt. Den PIN-Code der Bezahlkarte soll das Opfer zusammen mit der Identifikationsnummer auf eine Web-Seite eingeben. Diese soll vortäuschen eine Microsoft-Seite zu sein.

gefälschte Aktivierungsseite
gefälschte Aktivierungsseite

Die Meldungen drohen dem potenziellen Opfer mit der Löschung aller Daten einschließlich seiner Windows-Kopie, falls er nicht zahlen sollte. Außerdem wird mit einer Anzeige bei der Staatsanwaltschaft gedroht. Der dabei heran gezogene Paragraf 126 Abs. 3 UrhG (Gesetz über Urheberrecht) bezieht sich jedoch nicht auf raubkopierte Software sondern auf Tonträger, wie der Bochumer Antivirusanbieter G Data in seinem englischen Blog süffisant anmerkt.

Um den blockierten Zugriff auf den Rechner wieder herzustellen, empfiehlt G Data das Starten des Rechners von einer Antivirus-Boot-CD. Dann sollten alle Dateien namens "msvcs.exe" gelöscht oder zumindest umbenannt werden. Die damit verwaist zurück bleibenden Registry-Einträge können nach dem Neustart, nun wieder unter Windows, entfernt werden.

Luis Corrons vom spanischen Antivirushersteller Panda Security bietet im Blog der PandaLabs als Alternative zum Bezahlen der vorgeblichen Reaktivierungsgebühr den Aktivierungsschlüssel gratis an, den man an sich nach der Zahlung per Mail oder SMS von den Erpressern bekommen soll. Nach seinen Angaben entfernt der Schädling dann die angelegten Registry-Einträge und auch sich selbst. G Data hat dies mittlerweile in einem neueren Blog-Eintrag bestätigt.

Eine anschließende gründliche Untersuchung mit aktueller Antivirus-Software wird damit jedoch keinesfalls überflüssig. Schließlich muss der als Ransomware zu klassifizierende Schädling ja irgendwie auf den PC gelangt sein, möglicherweise durch andere Malware. Der Fall erinnert stark an den so genannten "BKA-Trojaner" aus dem März. (PC Welt/mje)