Neuer Lösegeld-Trojaner blockiert Bootvorgang

+Anti-MalwareBlog+%28Trend+Micro+Malware+Blog%29:Entdeckt wurde der Trojaner von Experten des Antivirenherstellers Trend Micro. Nach der Infektion über entsprechend präparierte Webseiten verankert sich der auf den Namen TROJ_RANSOM.AQB getaufte Trojaner im Master Boot Record (MBR). Nach Informationen von Trend Micro sind nur die Systeme Windows 2000, Windows XP und Windows Server 2003 betroffen. Nach der Infektion erzwingt die Schadsoftware einen Neustart und verhindert den Windows-Start. Damit die Nutzer wieder Zugriff auf ihre infizierte Rechner erhalten, fordern die Erpresser ein Lösegeld von 920 ukrainischen Hrywnja. Das sind umgerechnet 90 Euro. Die Transaktion läuft über den ukrainischen Zahlungsdienstleister QIWI. Ist die Zahlung erfolgt, schicken die Kriminellen offenbar tatsächlich einen Code, der den Computer wieder freischaltet.

Die Experten von Trend Micro haben eine Anleitung veröffentlicht, über die Betroffene den Trojaner auch ohne Spezialsoftware entfernen können. Dazu muss der Nutzer den PC von der Windows-Installations-CD booten. Über die Wiederherstellungskonsole lässt sich dann der ursprüngliche MBR mit dem Befehl fixmbr reaktivieren. Weitere Infos zu fixmbr finden Sie im Tipp Master Boot Record reparieren.

In Deutschland gibt es inzwischen zahlreiche Varianten von Lösegeld-Trojanern, beispielsweise den GVU oder BKA-Trojaner. Diese nisten sich im Windows-Autostart ein, blockieren den Desktop oder verschlüsseln Dateien und fordern ebenfalls Lösegeld. Laut einer Pressemitteilung von Trend Micro ist der Ursprung des BKA-Trojaners auf russisch sprechende Urheber zurückzuführen. Die IP-Adressen der Onlinekriminellen stammen offenbar auch aus der Ukraine. Weiter behaupten die Experten der Antivirenhersteller, dass es unter anderem auch Verbindungen zu ZeuS, CARBERP, TDSS, Gamarue und den FakeAV-Kampagnen gibt.