Neue Variante des Ransomware-Trojaners aufgetaucht

Wir haben bereits über den Ransomware-Trojaner (auch als BKA-Trojaner bekannt) und seine neuen Methoden berichtet: Er erpresst von betroffenen Nutzern Geld. Getarnt mit dem Namen einer offiziellen Institution (Bundeskriminalamt) wird dem Nutzer eine illegale Handlung vorgeworfen, in diesem Fall die Speicherung von kinderpornografischen Bildern auf seinem Rechner.

Die neue Variante des BKA-Trojaners versucht, die Besitzer von infizierten Rechnern mit vier kinderpornografischen Bildern zu erpressen (der Vorgänger verwendete nur ein Bild). Der Trojaner gibt vor, von der Pressestelle des BKA zu stammen.

Revoyem_DE_2013-05                            Revoyem_DE_2013-04

Im Gegensatz zur Vorgängerversion, die dem Nutzer den Besitz von kinderpornografischen Materialien nur vorwirft, kopiert diese Variante des Trojaners tatsächlich solche Bilder auf den infizierten Computer. Um noch glaubwürdiger zu wirken, versieht er die auf den Fotos abgebildeten Kinder mit Namen und Geburtsdaten (um deren Minderjährigkeit zu belegen).

Wie die bisher bekannten Varianten blockiert auch diese den Computer des Nutzers und verlangt, dass 100 € (135 US-Dollar) über Ukash oder Paysafe bezahlt werden. Beim Ausbleiben der Zahlung würden alle Daten auf dem Rechner vernichtet und der Nutzer (der über die IP-Adresse und den sogenannten User Agent String des Browsers identifiziert wird) verurteilt und bestraft. Die Cyberkriminellen lassen sich ständig neue Texte einfallen, damit die Meldung möglichst überzeugend wirkt.

Die Malware wird über Drive-By-Downloads verbreitet und besteht aus einer ausführbaren Datei mit temporärem Namen. Zahlreiche Medien berichteten, dass die neue Version über einen besseren Webcam-Support verfügt. Wenn der Zugriff auf die Webcam des Computers gelingt, sieht sich der Nutzer selbst in einem kleinen Fenster auf dem Monitor. Unser Virenlabor konnte dieses Szenario leider noch nicht testen. Diese sogenannte Social-Engineering-Methode erzeugt das Gefühl einer akuten Notfallsituation, da das BKA den Nutzer zu „beobachten“ scheint.

Ab der Engine-Version 8.2.10.246 erkennen alle Avira-Produkte die bösartigen Dateien über die generische Erkennung als TR/Crypt.ULPM.Gen. Darüber hinaus werden die Bilder, die auf den Rechner des Nutzers kopiert wurden, gelöscht. Bitte beachten Sie, dass die vollständige Reparatur nur bei den Windows-Produkten und nicht im Rescue System oder dem Command Line Scanner möglich ist.

Wir empfehlen den Nutzern mit Nachdruck, niemals das Lösegeld zu bezahlen. Verwenden Sie die Rescue CD, um die Malware von Ihrem Computer zu entfernen oder fragen Sie einen Experten um Hilfe.

 

Sorin Mustaca

IT Security Expert