[Update: Hier noch eine neuere Variante der GEMA-Scareware]

Wieder erreicht mich ein Hilferuf zu einer Geiselnahme. Diesmal gibt sich der Erpresser als GEMA aus und erklärt: “Auf Ihrem Computer wurden illegal heruntergeladene Musikstücke (“Raubkopien”) gefunden.” Man hat nun die Möglichkeit das Lösegeld in Höhe von 50 Euro via paysafecard zu entrichten. Gut. Als erstes den Rechner im Abgesicherten Modus starten (F8 drücken vor dem Start von Windows). Im Profilordner des Benutzers unter

C:\Benutzer\<Benutzername>\AppData\Roaming

fällt mir schnell eine Datei mit dem nichts sagenden Namen k8rdift659c.exe auf, die sich mit dem GEMA-Logo als Icon schmückt. In der Windows-Registrierung unter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

findet sich Eintrag mit dem kryptischen Namen 7Rxb5FismTZydeX, der auf o. g. Datei im Profilordner verweist und für den Start der Scareware bei der Benutzeranmeldung sorgt. Nach dem Löschen der besagten Datei und dem Schlüssel aus der Registrierung konnte der Benutzer sich wieder wie gewohnt anmelden. Ein Check bei VirusTotal offenbart, dass diese Scareware recht neu ist; sie wird von lediglich 2 von 43 Scannern identifiziert:

AntiVir

TR/Crypt.XPACK.Gen2

Kaspersky

HEUR:Trojan.Win32.Generic

Update:

Ich habe den Rechner noch einmal unter die Lupe genommen und weitere Schlüssel in der Windows-Registrierung gefunden, die auf die Datei k8rdift659c.exe  verweisen:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Beide Einträge können bedenkenlos gelöscht werden.

[Update: Hier noch eine neuere Variante der GEMA-Scareware] Wieder erreicht mich ein Hilferuf zu einer Geiselnahme. Diesmal gibt sich der Erpresser als GEMA aus und erklärt: “Auf Ihrem Computer wurden...