BKA-Trojaner

verschiedene Trojaner, die aber alle nach dem selben Muster arbeiten

Die BKA-Trojaner sind zahlreiche verschiedene Trojaner, die aber alle nach demselben Muster arbeiten. Die Ransomware sperrt den Rechner und blendet ein Bild mit einer angeblich von der Bundespolizei (ehemals Bundesgrenzschutz) oder dem Bundeskriminalamt (BKA) stammenden Nachricht ein. Zur Entsperrung soll der Computerbesitzer einen bestimmten Geldbetrag bezahlen.[1][2]

BKA-Trojaner
Aliase Bundespolizei-Trojaner
Bekannt seit ca. 2011
Erster Fundort Deutschland
Dateigröße unterschiedlich, je nach Variante
System Windows XP, Vista, 7, 8, 10, iOS

BKA-Trojaner grassieren etwa seit dem Beginn des Jahres 2011 im Internet, etwa seit 2015 sind sie seltener geworden. Die Zielgruppe der Erpressungs-Software sind natürlich vor allem Rechner aus Deutschland.[1]

Aliasse Bearbeiten

Neben den Namen BKA-Trojaner bezeichnet man die Malware auch als GVU-Trojaner, Bundespolizei-Trojaner oder missverständlich als Bundestrojaner. Die in Deutschland zur Durchführung einer Online-Durchsuchung verwendeten Programme werden umgangssprachlich meist gleich- oder ähnlich lautend Staats- oder Bundestrojaner genannt. Dabei handelt es sich aber genaugenommen nicht um Malware, sondern um sogenannte Govware.

Fälschlich wird der Trojaner auch als Virus bezeichnet, etwa als Bundespolizeivirus oder BKA-Virus.[1]

Versionen und Derivate Bearbeiten

Screenshots verschiedener BKA-Trojaner
 
Screenshot 1 (mit DDR-Karte)
 
Screenshot 2
 
Screenshot 3
 
Screenshot 4

Da unter der Bezeichnung BKA-Trojaner alle Varianten zusammengefasst werden, die nach demselben Muster arbeiten, gibt es zahlreiche Varianten. Die verschiedenen Trojaner stammen dabei nicht unbedingt alle aus derselben Quelle. Sie verwenden teils auch unterschiedliche Methoden um den PC zu manipulieren und zu sperren.[2]

Es gibt auch mehrere Versionen für Smartphones.[1]

Angegebene E-Mail-Adressen sind meist Falschschreibungen des Bundeskriminalamtes, wie z. B.: info@landes-kriminalt.net, einzahlung@inter-bundeskriminalamt.eu oder info@cyber-police.com.[2]

Fast immer wurde die Zahlung per Prepaid-Zahlungsmittel paysafecard oder über dessen ehemaligen, 2016 absorbierten Konkurrenten Ukash gefordert. Nahezu alle Varianten zeichnen sich durch fehlerhafte deutsche Sprache aus. Das legt nahe, dass viele der Trojaner dieselben Urheber haben könnten.[1][2] Bei einer Version waren die Autoren sogar so fahrlässig, eine Karte der DDR zu verwenden.

Typische Formulierungen und Stilblüten sind beispielsweise:[2]

  • Achtung! Ihr Computer ist wegen der Straftat des Gesetzes von Deutschland blockiert. [sic]
  • Durch den Download wurden die Musikstücke verfielfältigt, so dass ebenfalls eine Strafbarkeit gemäß §106 Urhebergesetz gegeben ist. [sic]
  • Um den Computer zu entsperren, müssen Sie die Geldbuße nach Recht bezahlen, um das Ausmaß von 100 euro für 3 Tage zu kommen. [sic]
  • Die Sperre des Compyters dient dazu, Ihre illegalen Aktivitäten zu unterbinden. [sic]
  • Ihr Computer ist wegen Verstöße gegen die Gesetzgebung der Bundesrepublik Deutschland gesperrt. [sic]
  • Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten ist das Computersystem an eine kritische Grenze angekommen, nach der das System zusammenbrechen und die ganzen Daten verloren gehen können. [sic]
  • Achtung! Ein Vorgang illegaler Aktivität wurde erkannt. Das Betriebssystem wurde erkannt. [sic]
  • Ihre IP lautet mit dieser IP wurden Seiten mit pornographischen Inhalten, Kinderpornographie, Sodomie und Gewalt gegen Kinder aufgerufen. [sic]
  • Es wurden auch Email in Form von Spam, mit terroristischen Hintergrunden, verschickt. [sic]
  • Achtung!!! Das Betriebssystem wurde in Zusammenhang mit Verstoßen gegen die Gesetze der Bundesrepublik Deutschland gesperrt! [sic]
  • Es ist die ungesetzliche Tätigkeit enthüllt! [sic]
  • Sie haben iwei Moglichkeiten die Zahlung von 100 € zu leisten. [sic]
  • Sie sind wegen der Ausbreitung von pornografischen Inhalten blockiert, die Materialien enthalten, die in Deutschland gesetzlich verboten sind. [sic]

Auf unerfahrene Internetanwender konnten diese Meldungen teils trotz ihrer schlechten Aufmachung einigen Eindruck machen. Die Behauptung, dass es sich um eine polizeiliche Maßnahme handle, ist in unserer Gesellschaft erfahrungsgemäß ein sehr effektiver soziologischer Schachzug, siehe auch Trickdiebstahl.

Schutz und Entfernung Bearbeiten

Von einer Bezahlung wird allgemein abgeraten, da auch dann erfahrungsgemäß keine Entsperrung des Computers erfolgt und das Geld unwiderruflich verloren ist.[1]

Zur Entfernung reicht es oft schon, mit einem anderen Account oder im Abgesicherten Modus zu starten und den Browsercache zu leeren. Aufgrund der zahlreichen verschiedenen BKA-Trojaner gilt das aber nicht pauschal.[2][1] Einen eingefrorenen Safari-Browser kann man wieder funktionsfähig machen, indem man mit Hilfe von Siri einfach eine andere Webseite aufruft.

Um sich vor dem BKA-Trojaner zu schützen, sollte man die üblichen Grundregeln der IT-Sicherheit beachten:

Datenträger-Redundanz ist kein Schutz gegen schädliche Auswirkungen von Malware.

Weitere allgemeine Ratschläge für Betroffene und mögliche Schutz- und Gegenmaßnahmen findet man im Artikel Ransomware.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. a b c d e f g bundespolizei-virus.de Bundespolizei-Virus
  2. a b c d e f chip.de (Memento vom 10. August 2020 im Internet Archive)Vorlage:Webarchiv/Wartung/Linktext_fehlt GVA, BKA, GEMA - So entfernen Sie den Trojaner von Ihrem System