Infoblatt Cybercrime

Hessisches Landeskriminalamt
Infoblatt Cybercrime
Neue SPAM-Welle verbreitet "Windows-Verschlüsselungs-Trojaner"
(Infoblatt-Nr.: 1/2012, Stand: 28.06.2012)
Das sollten Sie wissen!
Kriminelle versenden derzeit in großem Umfang Rechnungen und
Zahlungsaufforderungen in betrügerischer Absicht per E-Mail. Die Absender geben
sich fälschlicherweise als Telekommunikationsanbieter (z.B. Telekom, Arcor) oder
Online-Shops aus.
Gefälschte
Online-Rechnungen
Alle Varianten enthalten im Dateianhang ein bösartiges Programm (Schadsoftware –
auch Trojanisches Pferd genannt), das den betroffenen Computer manipuliert und
den Nutzer in der Regel hindert, auf seine Daten zuzugreifen. Das Schadprogramm
bezeichnet sich selbst als „Windows-Verschlüsselungs-Trojaner“.
Gefährlicher
Dateianhang
Unter dem Vorwand, den Rechner wieder frei zu schalten, wird der Nutzer
aufgefordert, ein „Lösegeld“ in Form eines Paysafecard- oder Ukash-Codes zu zahlen.
Lösegeld-Forderung
Typische Beispiele zu Mails und Bildschirmeinblendungen finden Sie im Anhang.
So verhalten Sie sich richtig!
Ignorieren und löschen Sie E-Mails, die Sie anhand des Absenders, des Betreffs
oder des Inhalts nicht zuordnen können!
Vorbeugung
Öffnen Sie keinesfalls Dateianhänge von dubiosen E-Mails. Dateianhänge
dubioser E-Mails, die mit .zip, .exe., .pdf. enden, beinhalten häufig bösartige
Funktionen, die den Computer manipulieren und Daten ausspähen.
Leiten Sie keine dubiosen E-Mails weiter.
Nehmen Sie keine Zahlung über Paysafecard- oder Ukash-Codes vor, um den
Zugriff auf Ihre Daten wieder zu erhalten!
Copyright © 2012 Hessisches Landeskriminalamt. All rights reserved
.
Seite 1 von 6
Hessisches Landeskriminalamt
Infoblatt
Weitere Hinweise zum sicheren Surfen im Internet finden Sie unter
•
http://www.polizei-beratung.de/themen-und-tipps/gefahren-iminternet.html
•
https://www.sicher-im-netz.de/downloads/1640.aspx
http://www.verbraucher.de/UNIQ133759109417866/Internet
•
Haben Sie weitere Fragen oder benötigen eine individuelle Beratung? Dann wenden
Sie sich an [email protected]
"Windows-Verschlüsselungs-Trojaner"
Nützliche Links
Beratung
Achtung: Mitteilungen und Anfragen ersetzten keine Strafanzeige! Sollten Sie durch
eine Straftat geschädigt worden sein, nutzen Sie die Online-Wache oder wenden Sie
sich an Ihre örtliche Polizeidienststelle.
In welchen Fällen sollten Sie Strafanzeige erstatten?
Egal, ob Sie lediglich Empfänger einer der beschriebenen E-Mails sind, versehentlich
einen Dateianhang geöffnet oder gar eine Zahlung per Paysafecard- oder Ukash-Code
durchgeführt haben - sie sind in jedem Falle Opfer einer strafbaren Handlung
geworden! Deshalb:
Erstatten Sie Strafanzeige! Nutzen Sie die Online-Wache der Polizei Hessen
https://onlinewache.polizei.hessen.de/
Online-Wache
Achten Sie auf die Vollständigkeit Ihrer Daten! Füllen Sie zunächst die Felder
Mitteiler, Tatort, Tatzeit aus.
Schildern Sie im Feld Sachverhalt kurz und knapp den Vorfall in eigenen Worten.
Ergänzen Sie Ihre Angaben um folgende Informationen:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Wie lautet die E-Mail-Adresse des Absenders?
Wie lautet der Name oder die Firma des mutmaßlichen Absenders?
Wie lautet der E-Mail-Inhalt (sinngemäß)?
Welche Bildschirm-Logos werden angezeigt
(BSI, BKA, Bundespolizei, Microsoft, GEMA, GVU, …)?
Wie lautet die Texteinblendung auf dem Bildschirm (sinngemäß)?
Welche Zahlungsart wird gefordert (Ukash oder Paysafecard)?
Sollte der Zahlungs-Code (Voucher-Code) per E-Mail eingegeben werden?
Ja/Nein
Sollte der Zahlungs-Code (Voucher-Code) per Formularfeld eingegeben
werden? Ja/Nein
Wie lautet die Höhe des geforderten Betrages?
Haben sie einen Zahlungs-Code eingegeben?
Wenn ja, wie lautet der eingegebene Code?
Wurden Daten auf Ihrem Computer tatsächlich verschlüsselt? Ja/Nein
Wie lauten die Dateiendungen der verschlüsselten Daten?
Konnte der Rechner wieder freigeschaltet werden?
Ergänzende Angaben:
Copyright © 2012 Hessisches Landeskriminalamt. All rights reserved
Fragenkatalog
Seite 2 von 6
Hessisches Landeskriminalamt
Infoblatt
TIPP: Markieren und kopieren Sie die Fragen 1 bis 15, fügen Sie den kopierten Text in
das Feld Sachverhalt der Online-Wache ein und beantworten die Fragen dort. So
können Sie sicher sein, dass Ihre Mitteilung vollständig ist.
"Windows-Verschlüsselungs-Trojaner"
Tipps zum Ausfüllen
Sollten Ihnen einzelne Fragen unklar sein oder die entsprechenden Informationen
nicht vorliegen, gehen Sie zur nächsten Frage über. Erforderlichenfalls wird die
zuständige Polizeidienststelle die notwendigen Informationen zu einem späteren
Zeitpunkt erheben.
Was müssen Sie mit der E-Mail tun?
Nachdem Sie Strafanzeige über die Online-Wache oder eine Polizeidienststelle
erstattet haben, leiten Sie die E-Mail an [email protected] weiter.
Weiterleitung
Achtung: Vergessen Sie nicht, das polizeiliche Aktenzeichen anzugeben, damit eine
Zuordnung zwischen Strafanzeige und E-Mail hergestellt werden kann. Das
Aktenzeichen erhalten Sie entweder bei der aufnehmenden Polizeidienststelle oder
durch die Bestätigungs-Mail der Online-Wache.
Aktenzeichen
So retten Sie Ihre Daten!
Keine Panik, der Zugriff auf die Daten kann in der Regel wieder hergestellt
werden.
Keine Panik!
Damit Sie wieder auf Ihre Daten zugreifen können, müssen Sie Ihren Rechner
„desinfizieren“.
Desinfektion/
Datenrettung
Die Wiederherstellung kann für einen "Computer-Laien" durchaus zu einer
Herausforderung werden. Ziehen Sie im Zweifel fachkundige Unterstützung
hinzu!
Hinweise für die Vorgehensweise zur Desinfektion und Datenrettung finden Sie
unter
•
•
•
•
Nützliche Links
http://www.botfrei.de
http://blog.botfrei.de/2012/05/betruger-bitten-in-spam-e-mails-zur-kasseverschlusselungstrojaner/
http://www.heise.de/ct/projekte/Desinfec-t-1213110.html
http://windows.microsoft.com/de-de/windows/what-is-windows-defenderoffline
Um eine Restgefahr nicht erkannter Schadprogramme (Viren, Würmer, Trojaner)
gänzlich auszuschließen, sollte das Betriebssystem im Zweifel nach Sicherung
wichtiger Daten neu installiert werden.
Copyright © 2012 Hessisches Landeskriminalamt. All rights reserved
Neuinstallation
Seite 3 von 6
Hessisches Landeskriminalamt
Infoblatt
"Windows-Verschlüsselungs-Trojaner"
E-Mail-Beispiel 1
Von: [email protected]
Betreff: Anmeldung <Name>, Nr65040517
Datum: 27. April 2012 20:49:21 MESZ
An: <E-Mail Adresse>
1 Anhang, 37,6 KB
Rechnung
„PremiumE-Mail-Dienst“
Sehr geehrter <Name>
Herzlichen Glückwunsch, Ihr Premiumemail Upgrade ist registriert worden.
421,89 Euro für 24Monate Anmeldebeitrag werden Ihnen in kürze von Ihrem Bankkonto abgetragen.
Entziehen Sie die Details bitte dem Anhang, dort finden Sie auch den Antrag über die
Lastschriftabbuchung.
mit freudlichen Grüssen
Ihr Kundenservice Rechnung_Pdf.zip (37,6 KB)
E-Mail-Beispiel 2
Von: [email protected]
Betreff: Lieferschein für <Name>
Datum: 2. Mai 2012 21:46:36 MESZ
An: "<Name>" <E-Mail-Adresse>
Anlagen: Bestellung2012.zip
Rechnung
„Online-Shop“
Guten Tag <Vorname> <Name>
vielen Dank für Ihre Bestellung bei primustronix.de, nachfolgend finden Sie Ihre Bestellbestätigung.
Ihre Bestellnummer 64945988676
Artikel: IBM 8998832530 712,32 Euro
Rechnungsname: <Vorname> <Name>
Zahlungsmethode: Lastschrift
Versandadresse und detaillierte Vertragseinzeilheiten finden Sie im Anhang.
Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.
Artikeleinzelheiten und Widerruf Erklärung finden Sie in Beilage.
Ihr Support-Team
Steinman GmbH
Billufer 56
51187 Köln
Telefon: (+49) 317 4859228
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Berlin
Umsatzsteuer-ID: DE615018148
Geschäftsfuehrer: Paul Schneider
Copyright © 2012 Hessisches Landeskriminalamt. All rights reserved
Seite 4 von 6
Hessisches Landeskriminalamt
Infoblatt
"Windows-Verschlüsselungs-Trojaner"
E-Mail-Beispiel 3
Von: [email protected]
Betreff: <Name> Ihre Rechnung Nr 147250213
Datum: 28. April 2012 04:26:35 MESZ
An: <E-Mail Adresse>
1 Anhang, 37,6 KB
Rechnung
„Telekom“
Telekom Deutschland GmbH
53171 Bonn
27.04.12
an
<Name>
Kundenummer 478944478
Rechnungsnummer 7787672169
Telefon 0800 33 01000
Ihre Rechnung für April 2012
Die Leistungen in Überblick
Monatliche Beträge 94,64
Nutzungsabhängige Beträge 1,49
Beträge anderer Anbieter (0900 Servisnummer) : 412,49 Euro
Der Rechnungsbetrag wird nicht vor dem 3. Tag nach Zugang der Rechnung von Ihrem Konto
XXXXXXXXXX entzogen (zum besseren Schutz wird die Kontonummer nicht angedruckt)
Ihre Rechnung in Detail und weitere wichtige Hinweise finden Sie im Anhang
Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn
Postanschrift 53171 Bonn
Konto Lautend auf Deutsche Telekom AG, Postbank Hamburg (BLZ 20010020), Kto.-Nr. 198418205
IBAN DE04200100200198418205. SWIFT-BIC PBNKDEFF
Aufsichtsrat Timotheus Höttges (Vorsitzender)
Geschäftsführung Niek Jan van Damme (Sprecher), Thomas Dannenfeldt, Thomas Freude, Christoph
Ganswindt,
Dr. Christian P.Illek, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Handelsregister Amtsgericht Bonn, HRB 5919, Sitz der Gesellschaft Bonn
Identnummern Steuernummern: 205/5777/0518, Ust-IdNr.: DE 122265872;
WEEE-Reg.-Nr.: DE60800328, Ges.-Nr.: 1001 Telekomrechnung27.4.zip
Copyright © 2012 Hessisches Landeskriminalamt. All rights reserved
Seite 5 von 6
Hessisches Landeskriminalamt
Infoblatt
"Windows-Verschlüsselungs-Trojaner"
Bildschirmeinblendung - Beispiel 1
Windows Update
Bildschirmeinblendung – Beispiel 2
Windows Lizenz
Hessisches Landeskriminalamt
Cybercrime - IuK-Forensik - Ermittlungsunterstützung (HSG 33)
Zentralstelle für Verkehrs- und Kriminalprävention (HSG 13)
Hölderlinstraße 1-5
65187 Wiesbaden
Copyright © Hessisches Landeskriminalamt 2012. All rights reserved.
[email protected]
www.polizei.hessen.de