Erpresser mit neuen Tricks

Neue Varianten von Blocker-Programmen scannen den Verlauf des Browsers auf einem infizierten Rechner und zeigen einen Porno mit Beteiligung von Minderjährigen an, um ihrer falschen Anschuldigung Überzeugung zu verleihen und das Opfer dazu zu bringen, Lösegeld zu zahlen.

Die Rede ist hier von jener Spielart von Erpresser-Programmen, die den Zugriff auf das System blockieren und über allen Fenstern ein Fenster mit einer Mitteilung über die Sperrung anzeigen. Die Internetkriminellen beschuldigen das Opfer im Namen von Strafverfolgungsbehörden, illegalen Content angesehen oder heruntergeladen zu haben, und fordern die umgehende Bezahlung einer „Strafe“ im Tausch gegen die Entsperrung. Einige dieser Schadprogramme nutzen auch die auf dem infizierten Computer installierte Webcam, und fügen in die Mitteilung Bilder des Opfers ein, um die Beschuldigung glaubhafter aussehen zu lassen. Zu demselben Zweck werden dem Opfer manchmal auch seine IP-Adresse und der Name des Internet-Providers genannt; moderne Blocker nutzen zudem die Ländereinstellungen, um die gefälschte Nachricht in der Sprache des Opfers darzustellen und den Namen der jeweiligen Behörde richtig wiederzugeben.

Der unabhängige Ermittler Kafeine entdeckte eine Variante des Blockers, dessen Funktionalität es ermöglicht, die Chronik der besuchten Websites einzusehen, die im Browser gespeichert ist, und passende Namen als Quellenangaben für den illegalen Content in den beschuldigenden Text einzubauen. Eine solche „Quelle“ kann eine Porno-Website sein, deren Inhalt nicht zwangsläufig illegal sein muss – wichtig ist allein die Tatsache, dass das Opfer diese Ressource angeblich besucht hat. Der Schädling mit der Bezeichnung Kovter vergleicht die Einträge im Verlauf des Browsers mit einer Liste, die auf einem entfernten Server gespeichert ist, und findet er keine Übereinstimmungen, so fügt er in die Mitteilung den Namen einer willkürlich gewählten Pornosite ein.

Eine andere Blocker-Variante, die Sophos auf den Radar geriet, zeigt dem Anwender schockierende Szenen von Gewalt an Kindern, die der Nutzer angeblich auf seinem PC angeschaut hat. Damit die Mitteilung möglichst glaubhaft wirkt, werden Name, Geburtsdatum sowie das Land, in dem das Gewaltopfer lebt, genannt. Bemerkenswert ist, dass dieser Schädling nicht beim Systemstart aktiviert wird, sondern erst, nachdem der Nutzer sich mit dem Internet verbunden hat. Alle Fälle von Infektionen mit dieser Variante wurden in Deutschland registriert, allerdings hat eine Analyse des Schadcodes ergeben, dass beim Start von einer britischen IP-Adresse aus der neu entdeckte Blocker die Schablone ändert: Der Anschuldigungstext wird nun in englischer Sprache ausgegeben, und anstelle von „Bundeskriminalamt“ erscheint nun der Name der Londoner Polizei.

Gemäß der Statistik von Kaspersky Lab hat sich die Zahl der Erpresser-Programme innerhalb der ersten Monate des laufenden Jahres verdoppelt. Mit dieser Zahl zitieren ausländische Medien den KL-Experten Sergey Golovanov, der betont, dass man den Forderungen der Erpresser in keinem Fall Folge leisten sollte. Im Internet steht eine Vielzahl kostenloser Tools und Anleitungen zur Entsperrung von Computern zur Verfügung, die mit dem einen oder anderen Erpresser-Programm infiziert sind. Eine Lösung für besonders hartnäckige Schädlinge findet man in spezialisierten Foren von Antiviren-Unternehmen oder man wendet sich an deren Technischen Support. Es ist besser, ein wenig Zeit auf die Suche nach einem Ausweg aus der unangenehmen Situation zu verwenden, als Erpressern Geld in den Rachen zu werfen, ohne jegliche Garantie dafür, dass die Sache auch wirklich gut ausgeht.

Quellen:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.