BKA-, Bundespolizei-, GVU-Trojaner entfernen

BKA-, Bundespolizei-, GVU-Trojaner
Trojaner entfernen
Leider stellt die Verbindung mit dem Internet – ohne richtige Sicherheitsvorkehrungen - ein großes Risiko dar. Aktuell sehr verbreitet sind sogenannte Lösegeld-, Erpressungs-Trojaner (Ransomware). Diese gibt es inzwischen in zahlreichen Varianten und Größen. Trojaner die den Computer im Namen der Bundespolizei, des BKAs, der GVU oder sonstigen öffentlichen Institutionen sperren und teilweise sogar verschlüsseln. Sie alle aufzulisten ist nahezu unmöglich. Gegen Zahlung per Bitcoin, Ukash oder Paysafecard kann man den Computer „angeblich“ wieder frei geben. Doch selbst wenn man den geforderten Betrag bezahlt, bleibt der Computer meist gesperrt. Hinter allen Sperrbildschirmen stecken Betrüger und nicht, wie angegeben, BKA, Bundespolizei oder GVU . In diesem Artikel erfährst du, wie du dich vor Ransomware-Trojanern schützen kannst und wie du den Trojaner - im Falle einer Infektion - entfernst.

So entfernst du den Erpresser-Trojaner

Sollte sich der Erpresser-Trojaner in dein Computer-System eingeschlichen haben, verfalle nicht in Panik. Du bist nicht der erste und auch nicht der letzte, dem das passiert. Ein Computervirus ist ein Ärgernis - aber solange der Computer nicht in Flammen steht, gibt es erst einmal keinen Grund zur Panik. Auf keinen Fall solltest du bezahlen. Die Chancen, den Verursacher des Schadens dingfest zu machen, stehen zwar nicht gerade gut, trotzdem solltest du bei der Polizei Anzeige gegen Unbekannt erstatten. Es handelt sich schließlich um einen strafbaren Erpressungsversuch. Sichere den Virenbefall dazu einfach fotografisch.

Leider kann nicht jeder befallene Rechner nach einem Ransomwarebefall wieder bereinigt werden.
Wir raten dazu, ein System, das durch ein Schadprogramm kompromittiert wurde, sicherheitshalber komplett neu aufzusetzen. Bei den neuen, immer raffinierteren Schädlingen wird es selbst für versierte Fachleute immer schwerer, festzustellen was im System tatsächlich verändert wurde. Gehe davon aus, dass das Schadprogramm deine Passwörter, Zugangscodes etc. an Unbefugte übermittelt haben könnte und ändere diese Daten sofort. Nach einer Neu-Installation kannst du dir sicher sein, dass keine Reste des Trojaners mehr zurückbleiben. Ist keine aktuelle Datensicherung vorhanden, kannst du deinen Computer mit Hilfe einer Live-CD (beispielsweise Knoppix) starten und alle Daten sichern.
Das wird benötigt: HitmanPro (kostenlos), USB-Stick
  1. Lade dir das kostenlose USB-Reinigungsprogramm HitmanPro herunter. Das Programm ist 30 Tage kostenlos und steht als 32-, und 64-Bit-Version zur Verfügung: www.surfright.nl/en/downloads/
  2. Starte die heruntergeladene exe-Datei. Es erscheint die HitmanPro-Benutzeroberfläche.
  3. Unten links befindet sich das Symbol eines kleinen Karate-Männchens. Klicke dieses Symbol an.
    Hitman Pro Software
  4. Schritt für Schritt kannst du nun einen Reinigungs-USB-Stick erstellen.
  5. Sobald du den Reinigungs-USB-Stick erstellt hast, starte den infizierten Computer über diesen. Meist muss dazu die sogenannte Bootreihenfolge geändert werden. Je nach Computer-Hersteller gelangst du über die Taste F12, F8 oder F10 (beim Start) ins Auswahlmenü der Bootreihenfolge.
  6. Hast du den Stick gestartet, klicke die Taste 1, um den Master Boot Record zu überspringen.
    Hitmanpro Master Boot Record überspringen
  7. Nun kannst du deinen Computer auf Schadsoftware untersuchen. Klicke dazu auf Weiter.
    Trojaner mit Hitmanpro suchen
  8. Sobald das Programm einen Schädling gefunden hat, färbt sich das Programmfenster rot und die identifizierten Bedrohungen werden aufgelistet. Nach Abschluss des Scan-Vorganges, kannst du den Computer per Klick auf Weiter säubern. Achte jedoch darauf, dass hinter jedem Schädlings-Eintrag die Auswahloption Löschen gewählt ist.
Rettungs-CD eines Antivirenherstellers
  1. Alternativ kannst du die Rettungs-CD eines Antivirenherstellers verwenden. Sehr Gute Erfahrungen haben wir mit der kostenlosen Kaspersky Rescue CD gemacht, die du unter rescuedisk.kaspersky-labs.com herunterladen kannst. Rettungs-CDs anderer Antivirenhersteller findest du hier.
  2. Brenne das CD-Image einfach auf eine CD-ROM und boote den befallenen Computer damit.
  3. Folge den Anweisungen Schritt-für-Schritt. In den meisten Fällen führt diese Methode zum Erfolg.
Das wird benötigt: Systemwiederherstellungspunkt
  1. Um den BKA-, Bundespolizei-, GVU-Trojaner per Systemwiederherstellung zu entfernen musst du Windows im abgesicherten Modus starten. Im Windows Abgesicherten Modus lädt das Betriebssystem nur die nötigsten Dienste, die erforderlich sind, um Windows auszuführen. Autostartprogramme werden keine ausgeführt, nur Basisgerätetreiber.
  2. Durch Drücken der F8-Taste beim Computerstart (bevor das Windows-Logo angezeigt wird) gelangst du in das Menü für Erweiterte Startoptionen. Wenn es nicht auf Anhieb funktioniert, starte den Computer neu und versuche es erneut. Über die Pfeiltasten kannst du den abgesicherten Modus wählen. Wähle Abgesicherter Modus mit Eingabeaufforderung und starte diesen per Klick auf die Enter-Taste.
  3. Gebe den Befehl rstrui.exe ein und drücke Enter.
  4. Nun kannst du einen älteren Systemwiederherstellungspunkt auswählen. Der Computer wird zurückversetzt.

So schützt du dich vor Lösegeld-Trojanern

Keine Zeitschrift kommt noch ohne Internetseite aus, keine Firma traut sich noch, Anzeigen ohne Angabe einer Internet-Adresse zu veröffentlichen. Anders als das Fernsehen ist das Internet ein aktives Medium, bei dem jeder Konsument gleichzeigt auch Produzent sein kann. Wer möchte, kann die Millionenzahl der großen und kleinen Angebote durch eigene Werke ergänzen. Doch leider lauern im Internet zahlreiche Sicherheitsrisiken. Denn auch Virenprogrammierer stellen Ihre meist schadhaften Werke online. Die Internet-Verbindung sollte mit ein paar grundlegenden Schutzmaßnahmen und einem vernünftigen Denkansatz niemals ein Sicherheitsrisiko darstellen.
  • Der Hauptverbreitungsweg von Lösegeld-Trojanern ist die E-Mail. Meist kommt der Schädling als E-Mail-Anhang, der, wenn er geöffnet wird, den Computer infiziert. Selbstverständlich würde niemand einen E-Mail-Anhang öffnen, wenn dieser offensichtlich einen Virus enthält. Deswegen sind Nachricht und E-Mail in den meisten Fällen so gestaltet, dass diese auf den ersten Blick sicher wirken. Hier ein Beispiel solch einer E-Mail:

    E-Mail mit Virus im Anhang

    Die meisten E-Mail-Dienste und Programme erlauben es dir, den E-Mail-Anhang zu öffnen oder zu speichern. Öffnen solltest du den Anhang nie gleich. Speichere die Datei und mache einen Virus-Scan, am besten auf Virustotal.com. Wichtig:E-Mail und Web-Adressen können ganz leicht gefälscht werden. Verlasse dich also nicht allein auf die Absender-Adresse!

  • Aktive Inhalte wie Flash, Java werden sehr oft dazu verwendet, Sicherheitslücken im Browser auszunutzen, Wer auf Nummer Sicher gehen will, ändert die Standardeinstellungen des Browsers und verbietet das Ausführen aktiver Inhalte wie Active-X-Steuerelemente, Java und Flash. Mehr Informationen in unserem Virenschutz-Leitfaden unter „Sicherheit des Internet-Browsers erhöhen“.

  • Nur wer einen guten Virenscanner einsetzt, ist wirklich geschützt! Zwar hat das Windows-Betriebssystem ein Sicherheits-Tool an Board - die Tatsache, dass Windows das beliebteste Betriebssystem auf dem Markt ist, bedeutet aber auch, dass umso mehr Kriminelle versuchen, Sicherheitslücken auszunutzen. Der hauseigene Virenscanner bietet leider nur einen geringen Virenschutz. Installiere ein gutes Antivirenprogramm, sobald du den Computer das erste Mal mit dem Internet verbindest! Es gibt zahlreiche Gründe, warum Windows-Nutzer sich eine gute Virenschutz-Software suchen sollten (z.B. Bitdefender).

  • Weitere Virenschutzmaßnahmen findest du in unserer Virenschutz-Anleitung.

Die verschiedenen Erpressungs-Trojaner

Bundespolizei Virus, BKA Trojaner, GVU Trojaner...

Bundespolizei Virus, BKA Trojaner und Co geben sich als Ermittlungsbehörde aus und sperren den Computer, weil der Computernutzer sich angeblich illegal verhalten hat. Um den Rechner zu befreien, sollen die Opfer ein Bußgeld zahlen. Inzwischen gibt es mehrere 100.000 Varianten! Alle Varianten haben eines gemeinsam: Sie sperren den Computer im Namen einer Behörde oder Firma (Bundespolizei, BKA, BSI GVU, GEMA, IPA, Microsoft, Polizei).

Bundespolizei / BKA

GEMA / GVU

Besonders aktiv war diese Art von Erpressungs-Trojanern in den Jahren 2011, 2012 und 2013:

Entwicklung von Ransomware der Bundespolizei

CryptoLocker, Locky und Co (Verschlüsselungs-Trojaner)

Der Verschlüsselungs-Trojaner ist ein Ransomware-Programm das alle Windows-Versionen, einschließlich Windows XP, Windows Vista, Windows 7, Windows 8 und Windows 10, infizieren kann. Sobald der Trojaner auf dem Zielcomputer gestartet wurde, überprüft dieser die komplette Festplatte auf bestimmte Dateierweiterungen und verschlüsselt diese mit einer 2048-Bit-RSA-Verschlüsselung. Ist der Verschlüsselungs-Vorgang beendet wird ein Sperrbildschirm angezeigt. Gegen eine Zahlung von 50 bis 500 Euro kann die Verschlüsselung „angeblich“ wieder aufgehoben werden. Die Daten sind jedoch unwiederbringlich verloren, auch bei Zahlung der geforderten Geldsumme! Für einige Ransomware-Varianten gibt es sogenannte Ransomware Decryptor. Aktuelle Verschlüsselungs-Trojaner verschlüsseln Dateien mit den nachfolgenden Dateierweiterungen:
3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx