ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Startseite
  Neuigkeiten
  Historie
  Pressestimmen
  Redaktion
  Kontakt
  Sitemap
  Haftungsausschluss
  Impressum


SCHLAGZEILEN

08.11.2016
Betrüger von angeblichem Microsoft Support (Heinz Schmitz)

Die Sicherheitsexperten von G Data decken eine neue Methode der Microsoft Support Betrüger auf. Anrufe, E-Mails, Erpressertrojaner verunsichern weltweit Computernutzer.

Die Sicherheitsexperten von G Data haben eine neue Art von Betrug mit technischem Microsoft Support durch Erpressertrojaner aufgedeckt, so genannte Screenlocker Ransomware. Das Schadprogramm versteckt sich in einem vermeintlichen Installer für ein Produkt. Betroffene bekommen einen Lockscreen im Design von Windows 10 angezeigt und können das Fenster nicht schließen. Die Nutzung der Ransomware stellt in diesem Zusammenhang eine gefährliche Weiterentwicklung dar. Die Betrüger nutzen aber weiterhin auch die bekannten Formen: Falsche Support-Angebote per Telefonanruf, per E-Mail, per Pop-Up oder auch Umleitung beim Surfen im Web.

Die Schaddatei kommt immer als angeblicher Installer für ein Produkt, zum Beispiel als VMC Media Player oder ähnlich. Das beworbene Programm ist aber in diesem Installer gar nicht enthalten! Die untersuchte Malware-Familie nutzt Smart Install Maker, um den Installer zu generieren. Dieser Installer legt nach dem Ausführen eine .bat und eine .exe-Datei ab. Die .exe-Datei wird als Autostart eingetragen.

Die .bat enthält Batch-Code, der den Rechner nach einiger Zeitverzögerung neu startet. Die .exe-Datei ist der eigentliche Schadcode, der Screenlocker. Ein Einloggen oder Starten des Windows Explorers ist aber nicht möglich. Betroffene bekommen einen Lockscreen im Design von Windows 10 angezeigt. Wenn man kein Windows 10 benutzt, könnte an dieser Stelle schon auffallen, dass etwas nicht stimmt.

Die .exe-Datei verhindert das Schließen des Fensters (Strg+F4), lässt andere Keyboard-Shortcuts aber zu. Das Öffnen des Taskmanagers wird jedoch ebenfalls unterbunden, indem die Datei nach Prozessen mit dem Fenstertitel „Windows Taskmanager“ sucht und diese beendet. Es gibt jedoch etwas, das die Schadsoftware erlaubt: Man darf mit dem Internet Explorer eine Remote-Desktop-Software herunterladen und danach installieren! Die Auswahl ist allerdings beschränkt auf Teamviewer, Supremo und LogMeIn.

So tricksen Sie die Betrüger aus:
* Die einfachste Variante ist die Eingabe des Passwortes. Für das von den Experten untersuchte Sample ist der richtige Code:  8716098676542789

* Folgender Workaround erfordert etwas Handarbeit: Bei der Auswahl der zu installierenden Remote-Desktop-Software wählen Sie zum Beispiel Teamviewer aus. Nun „missbrauchen“ Sie den Browser dazu explorer.exe zu starten! Dazu tippen Sie einfach C:\Windows\explorer.exe in das Adressfeld ein und wählen bei der nachfolgenden Abfrage aus, dass die Datei ausgeführt werden soll. So erhalten Sie ihren bekannten Desktop und können mit der Reparatur des Rechners beginnen (Registry von den Autostart-Einträgen befreien und Winlogon Shell wiederherstellen).

* Komfortabler und universeller geht die Entsperrung und gleichzeitige Bereinigung des Systems mit dem G DATA EU Ransomware Cleaner.

Siehe auch:
https://blog.gdata.de/2016/11/29285-spuken-nicht-nur-zu-halloween-rum-microsoft-support-betruger
https://www.gdata.at/tipps-tricks/g-data-eu-ransomware-cleaner
http://www.heinz-schmitz.org



zurück zum Archiv

Druckversion Impressum Haftungsausschluss