• Zur Hauptnavigation springen
  • Skip to main content
  • Zur Hauptsidebar springen

Was ist Malware?

Schützen Sie Ihren PC vor Schadsoftware!

  • Home
  • Malware
    • Computervirus
    • Computerwurm
    • Trojaner
    • Spyware
    • Adware
    • Backdoor
  • Schutz
    • Virenschutz
    • Antivirenprogramme
    • Schutz durch Firewall
    • Verschlüsselung von Informationen
  • Entfernen
    • Malware entfernen
    • Virus entfernen
    • Computerwurm entfernen
    • Trojaner entfernen
    • Spyware entfernen
    • Adware entfernen
  • Antivirus Blog
Startseite / Trojanisches Pferd / Was ist der BKA Trojaner und wie lässt er sich entfernen?

Was ist der BKA Trojaner und wie lässt er sich entfernen?

von Enrico Lauterschlag Hinterlasse einen Kommentar

Der BKA Trojaner
von Fornax [CC BY-SA 3.0], via Wikimedia Commons

Der BKA Trojaner, auch bekannt als Bundespolizei-, Ukash- oder Reveton-Trojaner gehört zur Kategorie der Ransomware. Der Erpressungstrojaner ersetzt die Benutzeroberfläche von Windows durch die bildschirmfüllende Warnung, der Computer sei wegen illegaler Aktivitäten gesperrt worden. Die Meldung stammt angeblich vom Bundeskriminalamt, der Bundespolizei oder einer anderen Organisation mit Autorität. Ein Originallogo der jeweiligen Institution soll die Echtheit der Nachricht unterstreichen. Zur „Entsperrung“ des Computers verlangt die Malware eine Lösegeldzahlung von typischerweise 50 bis 250 Euro.

Erfahren Sie in diesem Artikel welche Varianten des BKA Trojaners vorkommen, wie die Infektion erfolgt und wie Sie den Trojaner wieder entfernen können.

Zahlreiche Varianten des BKA Trojaners

Die erste Version dieser Schadsoftware tauchte anfangs 2011 auf. In der Warnmeldung behaupteten die Erpresser in holprigem Deutsch, das BKA habe auf dem Rechner kinderpornografische und terroristische Inhalte entdeckt. Sie verlangten eine „Strafe“ von 100 Euro, zahlbar innerhalb von 24 Stunden. Ansonsten werde die Festplatte formatiert.

Schon früh tauchten lokalisierte Versionen auf, die sich im Vereinigten Königreich als „Metropolitan Police“, in Spanien „Policia Española“ oder in den Niederlanden als „Politie“ meldeten. Der BKA-Trojaner gibt sich überdies als Microsoft, GEMA oder GVU (Gesellschaft zur Verfolgung von Urheberrechtsverletzungen) aus und behauptet, auf dem Rechner befänden sich Raubkopien. Andere Versionen blenden neben kinderpornografischen Fotos ein Webcam-Bild des Nutzers ein. Dadurch soll sich dieser bei einer strafbaren Handlung ertappt fühlen. Immerhin wird die Aufnahme der Webcam nach bisherigen Erkenntnissen nicht ins Netz übertragen.

Die Mehrheit der BKA Trojaner richtet keinen bleibenden Schaden an. Es sind allerdings Abkömmlinge bekannt, die Dateien im Benutzerverzeichnis verschlüsseln oder mit zufälligem Inhalt überschreiben. Verschlüsselte Dateien sind durch das Präfix „locked-.“ im Dateinamen zu erkennen.

Für die Lösegeldzahlung nutzen die meisten Varianten Prepaid-Zahlungssysteme wie Paysafecard und MoneyPak oder kostenpflichtige SMS-Dienste. Wer auf die Erpressung eingeht und zahlt, hat oft keinen Erfolg: Der Computer bleibt gesperrt.

Wie erfolgt die Infektion?

Hauptsächlich verbreitet sich der BKA Trojaner per Drive-by-Download. Das heißt, der User lädt beim Surfen auf kompromittierten Webseiten oder beim Klicken auf Spam-Links unbemerkt einen Exploit herunter. Dieser nutzt Schwachstellen in Java, Flash, dem Browser, Adobes Acrobat Reader oder in Windows, um den eigentlichen Schadcode zu installieren. Gefährlich sind insbesondere Webseiten, die Gratis-Pornografie oder illegale Software-Downloads anbieten.

Eine weitere wichtige Infektionsquelle sind E-Mail-Anhänge. Häufig handelt es sich um komprimierte Dateien, die vorgeben ein Dokument, etwa eine Rechnung, zu enthalten. In Wahrheit beinhalten sie eine Programmdatei, was der Nutzer jedoch nicht erkennt, zumal Windows Dateiendungen standardmäßig ausblendet.

10 Maßnahmen zur Vorbeugung einer Infektion

Wie lässt sich der BKA Trojaner entfernen?

Erscheint der Sperrbildschirm der Ransomware, gilt es, den Rechner durch langes Drücken des Netzschalters sofort auszuschalten. Zur Beseitigung des Erpressungstrojaners gibt es verschiedene Optionen.

Rettungs-CD

Am einfachsten funktioniert die automatische Schädlingsbekämpfung mit einem bootfähigen Rettungssystem. Besonders anwenderfreundlich ist das kostenlose Tool Antibot von botfrei.de, einem Service des Branchenverbandes der Internetwirtschaft eco. Auch Hersteller von Antiviren-Programmen bieten gratis Rettungs-CDs an, beispielsweise Avira oder Kaspersky.

Manuelle Entfernungsmethode

Mit etwas Computer-Erfahrung ist es auch möglich, den BKA Trojaner manuell zu entfernen. Starten Sie das System zu diesem Zweck im abgesicherten Modus ohne grafische Benutzeroberfläche. Da Windows im abgesicherten Modus keine Autostart-Objekte lädt, stehen die Voraussetzungen gut, dass der BKA-Trojaner nicht ausgeführt wird. Unter Windows 7 drücken Sie beim Booten mehrfach [F8] und wählen im Bildschirm „Windows-Fehlerbehebung“ den Menüpunkt „Abgesicherter Modus mit Eingabeaufforderung“.

Windows 8 und 10 verlangen die Tastenkombination [Umschalt] + [F8]. Die neuen Windows-Versionen booten allerdings derart schnell, dass diese Methode oft versagt. In dem Fall schalten Sie den PC sofort wieder aus und versuchen es erneut. Beim vierten Startversuch erscheint ein blauer Bildschirm mit verschiedenen Optionen. Wählen Sie „Problembehandlung“, danach „Erweiterte Optionen“ und „Starteinstellungen“. Nun klicken Sie auf den Button „Neu starten“. Im Fenster „Starteinstellungen“ drücken Sie [F6] für den abgesicherten Modus mit Eingabeaufforderung.

Ist das Betriebssystem im abgesicherten Modus bereit, entfernen Sie sämtliche Autostart-Einträge des BKA Trojaners aus der Windows-Registrierung. Öffnen Sie dazu den Registrierungs-Editor: In der Eingabeaufforderung tippen Sie „regedit“ ein und bestätigen mit [Enter]. Navigieren Sie im Registrierungs-Editor zum Schlüssel „HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon“. Ändern Sie – falls vorhanden – den Eintrag des Wertes „Shell“ auf „Explorer.exe“. Dieser Wert bestimmt, welche Benutzeroberfläche geladen wird. Dasselbe wiederholen Sie für den Schlüssel „HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon“.

Anschließend durchsuchen Sie die Schlüssel „Run“, „RunOnce“, „RunOnceEx“, „RunServices“ und „RunServicesOnce“ in den Pfaden „HKCU\SOFTWARE\Microsoft\Windows“ und „HKLM\SOFTWARE\Microsoft\Windows“ nach verdächtigen Einträgen und entfernen diese. Der Name des BKA Trojaners besteht typischerweise aus einer kryptischen Zeichenfolge. Auffällige Verknüpfungen der Malware im Verzeichnis „Programme\Autostart“ des Startmenüs sind ebenfalls zu löschen.

Ist die Benutzeroberfläche von Windows nach dem Neustart wieder normal zugänglich, sollten Sie zur Sicherheit unbedingt einen Virenscanner durchlaufen lassen.

Systemwiederherstellung

Falls der BKA Trojaner immer noch aktiv ist, gibt es die Möglichkeit, über die Systemwiederherstellung einen früheren Zustand der Windows-Installation wiederherzustellen. Booten Sie Windows erneut im abgesicherten Modus mit Eingabeaufforderung. Geben Sie in der Kommandozeile „rstrui“ ein und drücken Sie [Enter], um das Systemwiederherstellungs-Fenster zu öffnen. Dort wählen Sie einen Wiederherstellungspunkt, der vor der Infektion erstellt wurde, und starten die Wiederherstellung.

Verschlüsselte Dateien

Hat der BKA Trojaner Dateien verschlüsselt, besteht dennoch Hoffnung. Tools wie der RannohDecryptor von Kaspersky und der Decrypthelper des Informatikstudenten Matthias Kunig bieten eine Chance, die verloren geglaubten Daten wiederherzustellen.

Fazit zum BKA-Trojaner

Auch wenn Ihr Rechner mit dem BKA Trojaner infiziert ist und Sie nur noch die Sperrmeldung sehen, bezahlen Sie auf keinen Fall die Lösegeldforderung. Schalten Sie lieber Ihren Rechner sofort aus und versuchen Sie über eine der drei vorgestellten Methoden den BKA Trojaner zu entfernen.

Sollte der Erpressungstrojaner Dateien auf Ihrer Festplatte verschlüsselt haben, versuchen Sie diese mit den beiden vorgestellten Tools zu entschlüsseln.

Lesen Sie auch:


  • Was ist der GVU Trojaner und wie kann er entfernt werden?
  • Mit dem Trojan Remover einfach und effektiv Trojaner entfernen
  • Allgemeine Vorgehensweise um einen Trojaner entfernen zu können

Kategorie: Trojanisches Pferd

Leser-Interaktionen

4-Punkte-Plan für einen guten Virenschutz

1Halten Sie Ihre Software und Betriebssystem auf den aktuellsten Stand. Installieren Sie zeitnah neue Service Packs und Sicherheitsupdates.

2Seien Sie aufmerksam beim Umgang mit E-Mails. Öffnen Sie keine unbekannten Dateiänhange und nehmen Sie sich in Acht vor Phishing-Mails.

3Verwenden Sie ein aktuelles Antivirenprogramm und halten die Virendefinition stets aktuell.

4Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht. Mehr Informationen zur Firewall

Ich will mehr Sicherheit

Hinterlasse einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Haupt-Sidebar

Virenschutz

Geben Sie Schadprogrammen keine Chance! Lernen Sie die 10 effektivsten Maßnahmen für einen optimalen Virenschutz kennen.

Virenschutz

Aus dem Antivirus Blog

  • So erstellen Sie sichere Passwörter
  • Wie ein bewusster Umgang mit dem Smartphone die Umwelt schont
  • Wie Sie Ihren Computer vor Viren und Malware schützen können
  • Was ist SEO-Spam und wie kann man seine Website davor schützen?
  • Warum sind Office 365 Backups notwendig?

Beliebteste Artikel

  • Der optimale Virenschutz für Ihren Rechner
  • Was ist ein Antivirenprogramm und welche sind empfehlenswert?
  • Der Computervirus
  • Der Computerwurm – Gefährlicher Bruder des Computervirus
  • Spyware – Die Spähsoftware auf Ihrem Computer

Werbung

Copyright © 2023 · Impressum · Datenschutz · * = Affiliate-Links