[Update: Hier noch eine neuere Variante der GEMA-Scareware]
Wieder erreicht mich ein Hilferuf zu einer Geiselnahme. Diesmal gibt sich der Erpresser als GEMA aus und erklärt: „Auf Ihrem Computer wurden illegal heruntergeladene Musikstücke („Raubkopien“) gefunden.“ Man hat nun die Möglichkeit das Lösegeld in Höhe von 50 Euro via paysafecard zu entrichten. Gut. Als erstes den Rechner im Abgesicherten Modus starten (F8 drücken vor dem Start von Windows). Im Profilordner des Benutzers unter
C:\Benutzer\<Benutzername>\AppData\Roaming
fällt mir schnell eine Datei mit dem nichts sagenden Namen k8rdift659c.exe
auf, die sich mit dem GEMA-Logo als Icon schmückt. In der Windows-Registrierung unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
findet sich Eintrag mit dem kryptischen Namen 7Rxb5FismTZydeX
, der auf o. g. Datei im Profilordner verweist und für den Start der Scareware bei der Benutzeranmeldung sorgt. Nach dem Löschen der besagten Datei und dem Schlüssel aus der Registrierung konnte der Benutzer sich wieder wie gewohnt anmelden. Ein Check bei VirusTotal offenbart, dass diese Scareware recht neu ist; sie wird von lediglich 2 von 43 Scannern identifiziert:
- AntiVir
- TR/Crypt.XPACK.Gen2
- Kaspersky
- HEUR:Trojan.Win32.Generic
Update:
Ich habe den Rechner noch einmal unter die Lupe genommen und weitere Schlüssel in der Windows-Registrierung gefunden, die auf die Datei k8rdift659c.exe
verweisen:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Beide Einträge können bedenkenlos gelöscht werden.
Pingback: Update: Gema-Scareware | Hirnablage