Home  Kontakt  Impressum und Datenschutz 
Diese Seite drucken

PC oder Smartphone gesperrt? Ransomware

Ransomware - Hilfe, mein PC ist von der Polizei gesperrt!

Was ist Ransomware?

Ransomware wird die Schadsoftware genannt, die einen Computer befällt, diesen für die weitere Benutzung zum Systemstart sperrt und auf dem Sperrbildschirm vorgibt, von der Polizei oder einer vergleichbaren Behörde zu sein.

Weiterhin wird angegeben, dass der Nutzer angeblich illegale Aktivitäten vorgenommen hätte, die mit einer Strafe von 50 bis 100 Euro abgegolten seien. Ebenso wird versprochen, den Computer nach Zahlung wieder zu entsperren. Dieses erfolgt in der Regel nicht. Aus diesem Grund sollten Sie keine Zahlungen tätigen. Mit jeder Zahlung unterstützen Sie die Täter bei deren Vorhaben.

Ransom ist das englische Wort für Lösegeld.

Hier wird tatsächlich ein Lösegeld durch die Täter vom Computernutzer erpresst.

Wie kommt es zu einem Befall dieser Schadsoftware?

Hier gibt es mehrere Ansteckungsmöglichkeiten. Der Computernutzer surft im Internet und gelangt auf eine Internetseite, die durch Schadsoftware infiziert ist. Der implementierte Schadcode wird ausgeführt, was zu einem Download und der Installation der Schadsoftware  auf dem Computer führt.

Eine zweite Alternative ist der Empfang einer E-Mail mit Schadsoftware. Hier wird z.B. eine Rechnung an den Empfänger versandt. Der Nutzer wird durch den hohen Betrag oder die angebliche Bestellung neugierig und nervös, so dass er den Aufforderungen aus der Mail folgt und die angebliche Rechnung, eine Datei im Anhang, öffnet. Tatsächlich ist hier aber die Schadsoftware enthalten, die durch das Öffnen der Datei ausgeführt wird. Der Rechner ist infiziert.

Ebenfalls denkbar sind verseuchte Downloads, z.B. in Peer-to-Peer-Netzwerken, Links in Chatrooms oder Sozialen Netzwerken, in Downloadportalen für illegale Software, Musik und Filme und so weiter. Auch dann kann das Ausführen einer vermeintlich harmlosen Datei (z.B. ein Musikstück) dazu führen, dass Schadsoftware auf dem Computer installiert wird.

Oft bemerkt der Nutzer dieses erst beim Neustart des Rechners. Statt der Windows-Anmeldemaske erscheint der Sperrbildschirm.

Dieser Sperrbildschirm weist in der Regel immer die gleichen Inhalte auf:

  • Behörde/Institution/Firma (z.B. Polizei, Bundespolizei, BKA, GVU, GEMA, IPA, Microsoft, BSI usw.).
  • Zahlungsaufforderung über 50 oder 100 Euro mittels Ukash oder Paysafecard oder Zahlung mittels Bitcoins.
  • Nutzer hat angeblich illegale Tätigkeiten im Internet vollzogen.
  • Zahlung soll über Eingabemaske am Monitor oder alternative Mailadresse erfolgen.
  • Ggf. wird mit einer Verschlüsselung des Computers gedroht/der Computer wird tatsächlich verschlüsselt.
  • Die Strafe wird durch die Bezahlung angeblich beglichen.
  • Computer wird angeblich nach Bezahlung wieder freigeschaltet/entschlüsselt.
  • Es wird die aktuelle IP-Adresse, der Provider, das Betriebssystem und der genutzte Browser des Nutzers angezeigt.
  • Es wird z.T. ein Videobild des Nutzers (durch eine vorhandene Webcam) angezeigt.

Inzwischen sind in den USA Fälle aufgetaucht, bei denen auch der Safari-Browser im Betriebssystem Mac OS X durch solch eine Ransomware befallen ist. Weitere Informationen finden Sie dazu hier. Eine Ransomwarewarnung vom 14.12.2013 für den Opens external link in new window"Polizei-Trojaner unter Mac OS" finden sie hier.

 

Die angegebenen Organisationen haben nichts mit der Sperrung des Computers zu tun. Die Gesetzgebung in Deutschland lässt nicht zu, dass eine Strafverfolgung in dieser Art durchgeführt wird!

 

Ihr Computer ist gesperrt?

Sollte Ihr Computer bereits gesperrt sein, so raten wir zu folgenden Schritten:

  • Nicht bezahlen!
  • Anzeige erstatten, da Straftaten vorliegen!
  • Hilfe auf:

Allgemeine Informationen zum Thema Botnetze finden Sie beim BSI.

Beachten Sie auch, dass die Sperrbildschirme sich oft nur in kleinen Details unterscheiden. Diese Information kann für eine spätere Entfernung, aber auch für die Strafverfolgung von Bedeutung sein.

Die Polizei kann keine Gewährleistung für die Richtigkeit und Funktionalität der auf den zuvor angegebenen Internetseiten und der dort vorgeschlagenen Software und Handlungsanweisungen geben. Die Nutzung der dortigen Dienste erfolgt auf eigene Gefahr.

 

Ihre Anzeige bei der Polizei

Für den Fall, dass Sie eine Anzeige bei der Polizei erstatten wollen:

  • Fertigen Sie, wenn möglich ein erkannbares Bild des Sperrbildschirmes (ggf. mit einer Digitalcamera). Machen Sie für Details verschiedene Bilder.
  • Klären Sie und im Umfeld der Computernutzer die Benutzung des Computers vor dem Vorfall. Welche Internetseiten wurden zuvor tatsächlich aufgerufen? Wurden Mailanhänge geöffnet?
  • Halten Sie Rücksprache mit der für Sie zuständigen Polizeidienststelle. Ggf. ist eine Untersuchung des befallenen Computers notwendig.
  • Halten Sie mögliche Protokolle von Antivirensoftware bereit.
  • Teilen Sie uns folgende Daten Ihres Computers mit: Betriebssystem Version und ServicePack, Version von Antivirusprogramm und Firewall, Version des genutzten Browsers, weitere Sicherheitssoftware.
  • Klären Sie weitere Details mit Ihrer Polizeidienststelle vor Ort.
  • Sollten Sie bereits den geforderten Betrag gezahlt haben, so teilen Sie uns auch die Daten des Zahlcoupons (Paysafecard oder Ukash) mit.

 

Haben Sie bereits bezahlt?

  • Setzen Sie sich unverzüglich mit dem genutzten Bezahldienst in Verbindung und versuchen Sie die Zahlung/Einlösung des Coupon-Codes zu stoppen.
  • Hinweise zu Paysafecard und Ukash finden Sie auch hier.

 

Sie können das Risiko einer Infektion vermindern.

Nutzen Sie

  • Aktuelle Antivirensoftware und eine aktuelle Firewall.
  • Aktuelle Software (Betriebssystem, Programme wie Browser, Addons, Plugins, Medienplayer, PDF-Viewer usw.).
  • Regelmäßige vorherige Backups zur Datensicherung (ideal auf externen Datenträgern z.B. USB-Festplatte).
  • Verschiedene Benutzerkonten (z.B. Gastrechte für das Surfen im Internet).

Alle Tipps und Hinweise, wie Sie Ihre Computer sicherer machen können finden Sie auch hier!

Ebenso minimieren Sie die Gefahr einer Infektion, wenn Sie keine Internetseiten oder Tauschportale aufsuchen, die illegale Downloads/Inhalte anbieten. Seien Sie auch vorsichtig, wenn Sie von Unbekannten Emails mit Zahlungsaufforderungen, Bestellbestätigungen und Dateianhängen bekommen.

 

Cryptolocker

Die Cryptolocker gehören ebenfalls zur Familie der Ransomware. Hier ist jedoch der Unterschied darin, dass die Schadsoftware nicht nur vorgibt, den befallenen Computer zu verschlüsseln, sondern dieses auch sofort durchführt. Weiterhin wird hier auf die Maskerade mit "Polizeisperrung" verzichtet. Dem Geschädigten wird sofort klar gemacht, dass der Computer nun verschlüsselt ist. Zusätzlich wird ein Countdown angezeigt. Ist dieser Zeitraum, meisst 3 Tage, abgelaufen, so wird der Verschlüsselungscode auf den Servern der Täter angeblich gelöscht. Den Entschlüsselungscode zu knacken ist aussichtslos. Der Geschädigte wird hier also gezwungen, den Entsperrungscode zu kaufen. Das die Täter diesen jedoch nach Bezahlung liefern, ist ungewiss. 

Auch hier kommt die Schadsoftware durch sogenannte Drive-By-Infektionen (also das ledigliche Besuchen einer infizierten Webseite) oder durch das Öffnen eines verseuchten Mailanhanges. Auch soll diese Software laut Opens external link in new windowUS-CERT über Botnetze verteilt oder durch andere Schadsoftware nachgeladen werden.

Es gibt bereits Erkenntnisse darüber, dass Versionen von Cryptolockern nicht nur den Computer infizieren und verschlüsseln, sondern auch angeschlossene Festplatten und Netzwerkcomputer/-festplatten befallen.

 

Wie kann ich mich schützen?

  • Als Gegenmaßnahme empfielt es sich, regelmäßige Backups der Daten zu machen. Hier sind externe Speichermedien geeignet, die nach dem Backup, z.B. durch Ziehen des USB-Steckers, vom Computer getrennt werden können.
  • Weiterhin sollte Vorsicht beim Email-Empfang geboten sein. Öffnen Sie keine Anhänge von Unbekannten. Lesen dazu auch die Informationen Opens external link in new windowhier.
  • Halten Sie Ihr Betriebssystem und Ihre Programme aktuell, damit Schadsoftware keine Sicherheitslücken ausnutzen kann.
  • Nutzen Sie ein aktuelles Antivirenprogramm und eine aktuelle Firewall. Scannen Sie Ihr System regelmäßig auf Schadsoftware. Nutzen Sie auch zusätzliche Opens external link in new windowScanner-Software.
  • Waren Sie längere Zeit nicht online, so nutzen Sie vor dem Surfen im Web zunächst die Updatefunktionen für Betriebssystem, Programme und Antivirensoftware und führen Sie einen Virusscan durch.
  • Direkte Hilfe gegen durch Cryptolocker verschlüsselte Computer finden Sie Opens external link in new windowhier (siehe auch unseren Opens external link in new windowNews-Beitrag)
  • Sollten Sie bereits geschädigt sein, so löschen Sie die verschlüsselten Daten nicht, ggf. wird in Kürze ein Entschlüsselungstool durch Ransomware-Gegner zur Verfügung gestellt.

 Weiterhin gelten hier auch die Informationen, die Sie im oberen Bereich zu Ransomware finden.

 Zusätzliche Informationen finden Sie auch bei Opens external link in new windowbotfrei.de im Blog und beiOpens external link in new window PC Welt.

Hier finden Sie bei Heise einen Bericht zu TeslaCrypt 2.0 und der möglichen Decodierung: Opens external link in new windowhttp://heise.de/-3094987

Hier finden Sie bei botfrei einen Bericht zur Ransomware Locky Opens external link in new windowhttps://blog.botfrei.de/2016/02/massnahmen-gegen-die-ransomware-locky/

Nachfolgende Webseite kann möglicherweise Ihre Ransomware identifizieren und eine Gegenmaßnahme anbieten: Opens external link in new windowhttps://id-ransomware.malwarehunterteam.com/

Smartphone oder Tablet gesperrt?

Ransomware ist auch auf Smartphones und Tablet-Computern möglich. Seit Ende 2015 ist eine verstärkte Anzeigeaufnahme innerhalb der niedersächsischen Polizei zu erkennen. Immer wieder berichten die Nutzer dieser Endgeräte, dass diese im Internet gesurft hätten und plötzlich der Sperrbildschirm erschienen sei. Hier wird auch behauptet, dass das Gerät nun aufgrund illegaler Tätigkeiten durch die Polizei gesperrt worden sei. Durch die Zahlung einer Strafe mittels Paysafe- oder Ukash-Karte würde das Gerät entsperrt werden. Zudem werden ein Foto des "Täters" (Nutzers) im Display, sowie Favoriten-Rufnummern und weitere Gerätedetails angezeigt. Häufig ist die Ursache für die Schadsoftware auch ein Videoplayer, der z.B. für das Betrachten von Pornos angeblich installiert werden müsste.

Diese Ransomware ist überwiegend auf Android-Geräten aufgetreten. Vereinzelt gibt es auch betroffene iOS-Geräte, die gesperrt sind.

Auch hier gilt, dass Sie den geforderten Lösegeldbetrag nicht zahlen sollten! Sie können bei einer Polizeidienststelle Anzeige erstatten.

Je nach Schadsoftware kann hier die Beseitigung unterschiedlich ausfallen:

  • Sollten Sie über ein relativ aktuelles Backup Ihres Gerätes verfügen, so spielen Sie dieses ein. Hier sollte dann das Problem in der Regel erledigt sein.
  • Stellen Sie alternativ den Werkszustand wieder her. In der Beschreibung zu Ihrem Gerät sollte diese Prozedur beschrieben sein.
  • Versuchen Sie eine der folgenden Lösungen (auf eigene Gefahr!):

Android:

Starten Sie Ihr Gerät im abgesicherten Modus. Dies ist bei Android ab Version 4.1 möglich. Dies bewirkt, dass nur die Apps gestartet werden, die als Grund-Apps installiert wurden. Die Schadsoftware ist zwar noch vorhanden, wird hier jedoch nicht ausgeführt. Über die Einstellungen sollten Sie nun in der App-Verwaltung die gefährliche App finden und deinstallieren können. In der Regel ist dies die App, die zuletzt/kürzlich installiert wurde. Den Abgesicherten Modus erreicht man je nach Hersteller unterschiedlich. Die Hersteller sollten auf ihrer Homepage eine entsprechende Anleitung liefern können. Alternativ können Sie Opens external link in new windowhier bei sternTV eine Anleitung für gängige System finden. Das Forum von botfrei bietet ggf. ebenfalls passende Lösungen: Opens external link in new windowhttps://blog.botfrei.de/forums/forum/hilfe-und-schaedlingsbekaempfung/android-ios-symbian/

iOS:

Sollte lediglich Ihr Browser Safari gesperrt sein, versuchen Sie den Browser zu beenden und gehen Sie in die Einstellungen. Suchen Sie dort Ihren Browser (Safari) auf. Dort haben Sie dann die Möglichkeit, den Verlauf und die Webseitendaten zu löschen. Hiernach sollte dieser in der Regel ohne Probleme neu starten. Bei anderen Browsern kann dies ggf. auch helfen.
Das Forum von botfrei bietet ggf. ebenfalls passende Lösungen: Opens external link in new windowhttps://blog.botfrei.de/forums/forum/hilfe-und-schaedlingsbekaempfung/android-ios-symbian/

eBook-Reader:

Versuchen Sie hier, das Gerät gemäß Herstellerangaben zu resetten/auf Werkzustand zurückzusetzen.

Das Forum von botfrei bietet ggf. ebenfalls passende Lösungen: Opens external link in new windowhttps://blog.botfrei.de/forums/forum/hilfe-und-schaedlingsbekaempfung/android-ios-symbian/

Gerät nicht dabei? Versuchen Sie im Opens external link in new windowBotfrei-Blog Ihr Problem darzustellen. Ggf. kann hier ein anderer Erfahrener Nutzer einen hilfreichen Tipp geben. Ebenso gibt es bei botfrei auch diese Übersicht: Opens external link in new windowhttps://blog.botfrei.de/2016/02/bka-trojaner-ransomware-fuer-android-entfernen/ (Stand Feb. 2016)

 

Anzeigenerstattung:

Bringen Sie, soweit möglich, das betroffene Gerät mit zur Anzeigenerstattung. Falls dies nicht möglich ist, versuchen Sie ein Foto (z.B: mit einer anderen Digitalkamera) vom Bildschirm zu machen.
Legen Sie offen, welche Seiten sie zuvor genau besucht haben und welche Apps oder Links (z.B. über WhatsApp oder SMS zugeschickt) Sie installiert oder geöffnet haben.

Prävention:

  • Öffnen Sie keine Links oder Dateianhänge von Unbekannten/die Sie nicht erwartet haben!(Mail, Webseite, SMS, Messengerdienst)
  • Seien Sie vorsichtig, wenn z.B. für das Abspielen von Medien (z.B. Pornos) plötzlich eine gesonderte App geladen werden muss.
  • Unterbinden Sie das Installieren von Apps aus unbekannten Quellen.
  • Installieren, soweit vorhanden, eine Antivirensoftware. Auch hier bieten kostenpflichtige Programme deutlich mehr Leistung (z.B. aktives Überwachen beim Surfen) als kostenfreie Apps an.
  • Machen Sie regelmäßig Backups über einen sauberen Computer.
  • Nutzen Sie ein aktuelles Betriebssystem.

 

 

Weitere Meldungen

07.12.2016 05:35

Neuer Verschlüsselungstrojaner als Bewerbung getarnt

Goldeneye verbreitet sich massenhaft


05.12.2016 05:56

Gefälschte Mail der Polizei Cyberabteilung Köln

Vorsicht vor ZIP-Datei im Anhang


24.11.2016 14:52

Betrugsmasche zum Nachteil von Firmen

Täter geben sich als Mitarbeiter, Vorgesetzte usw. aus.


16.11.2016 10:12

Gefälschte Amazon-Mail mit neuer EU Verordnung

Täter wollen Zugangsdaten von Amazonkunden


10.11.2016 08:22

10 Gebote der digitalen Ethik

juuuport veröffentlicht Leitlinien


Regionale Termine

Momentan keine Einträge