Sperrt den PC

Trojaner erpresst Nutzer illegaler Windows-Kopien

(Bild: thinkstockphotos.de)

Wer eine illegale Windows-Kopie einsetzt oder eine legale erworben, aber noch nicht aktiviert hat, könnte Opfer eines Betrugsversuchs werden. Ein neuer Trojaner installiert sich auf solchen Systemen, sperrt den PC und droht mit der Löschung aller Daten. Um das zu verhindern, seien 100 Euro an Microsoft zu zahlen, heißt es. Eine Lösung, um den Trojaner auszutricksen, ist allerdings bereits gefunden.

Der Trojaner der Kategorie Ransomware ("Ransom" bedeutet Lösegeld) wird über Spam-Mails und illegale Downloads verbreitet. Hat er ein System mit nicht aktivierter oder illegaler Windows-Kopie gefunden, sperrt er den PC und zeigt folgende Meldung auf schwarzem Hintergrund an:

"Die Echtheit Ihrer Windows-Kopie wurde automatisch überprüft und nicht bestätigt. Ihnen wurde die folgende Identifikationsnummer 54367 verliehen. Es ist erforderlich, eine Windows-Lizenz aktivieren zu lassen. Dafür haben Sie 100 Euro an Microsoft zu zahlen."

Überweisung mit Online-Bezahldiensten
In der darauffolgenden Anleitung wird erklärt, der Nutzer müsse eine Karte für einen Online-Bezahldienst kaufen und deren Nummer auf einer Website eingeben. Diese wirkt auf den ersten Blick wie eine Aktivierungsseite von Microsoft. Mit dem Online-Bezahldienst wollen die Betrüger den Nutzern vermutlich Seriosität vorgaukeln, da Zahlungen per Kreditkarte möglicherweise mehr Widerspruch bei den Opfern hervorrufen würden. Zudem ist der Geldfluss bei Online-Bezahldiensten oft schlecht bis gar nicht nachvollziehbar. Im April war es bei einer ähnlichen Malware-Erpressung nötig gewesen, teure Anrufe zu tätigen (siehe Infobox).

Wer nicht innerhalb von 48 Stunden zahle, dessen Daten würden komplett gelöscht, ebenso wie die Windows-Kopie, so die abschließende Drohung.

Dieser Code trickst den Trojaner aus
Mehrere Sicherheitsanbieter warnen vor dieser neuen Masche der Online-Betrüger, als erster hat Panda Security einen Weg gefunden, den Trojaner auszutricksen: Im dafür vorgesehenen Feld sollen Nutzer den Code QRT5T5FJQE53BGXT9HHJW53YT eingeben, schon wird dem Schadprogramm vorgegaukelt, der User habe bezahlt. Diesen Code erhält per SMS oder E-Mail, wer bezahlt hat. Der PC wird daraufhin neu gestartet und der vom Trojaner erstellte Registry Key sowie die schädliche Datei gelöscht.

Wer sichergehen möchte, keine Spuren der Malware mehr auf seinem PC zu haben, sollte dennoch eine gründliche Überprüfung mit einem aktuellen Antivirenprogramm durchführen - und natürlich die Windows-Kopie aktivieren bzw. auf ein legal erworbenes Programm umsteigen.