Die Sicherheitsexperten von G Data haben eine neue Art von Betrug mit technischem Microsoft Support durch Erpressertrojaner aufgedeckt, so genannte Screenlocker Ransomware. Das Schadprogramm versteckt sich in einem vermeintlichen Installer für ein Produkt. Betroffene bekommen einen Lockscreen im Design von Windows 10 angezeigt und können das Fenster nicht schließen. Die Nutzung der Ransomware stellt in diesem Zusammenhang eine gefährliche Weiterentwicklung dar. Die Betrüger nutzen aber weiterhin auch die bekannten Formen: Falsche Support-Angebote per Telefonanruf, per E-Mail, per Pop-Up oder auch Umleitung beim Surfen im Web.

 

Die Schaddatei kommt immer als angeblicher Installer für ein Produkt, zum Beispiel als VMC Media Player oder ähnlich. Das beworbene Programm ist aber in diesem Installer gar nicht enthalten! Die untersuchte Malware-Familie nutzt Smart Install Maker, um den Installer zu generieren. Dieser Installer legt nach dem Ausführen eine .bat und eine .exe-Datei ab. Die .exe-Datei wird als Autostart eingetragen.

 

Die .bat enthält Batch-Code, der den Rechner nach einiger Zeitverzögerung neu startet. Die .exe-Datei ist der eigentliche Schadcode, der Screenlocker. Ein Einloggen oder Starten des Windows Explorers ist aber nicht möglich. Betroffene bekommen einen Lockscreen im Design von Windows 10 angezeigt. Wenn man kein Windows 10 benutzt, könnte an dieser Stelle schon auffallen, dass etwas nicht stimmt.

 

Die .exe-Datei verhindert das Schließen des Fensters (Strg+F4), lässt andere Keyboard-Shortcuts aber zu. Das Öffnen des Taskmanagers wird jedoch ebenfalls unterbunden, indem die Datei nach Prozessen mit dem Fenstertitel „Windows Taskmanager“ sucht und diese beendet. Es gibt jedoch etwas, das die Schadsoftware erlaubt: Man darf mit dem Internet Explorer eine Remote-Desktop-Software herunterladen und danach installieren! Die Auswahl ist allerdings beschränkt auf Teamviewer, Supremo und LogMeIn.

 

So tricksen Sie die Betrüger aus:

* Die einfachste Variante ist die Eingabe des Passwortes. Für das von den Experten untersuchte Sample ist der richtige Code:  8716098676542789

 

* Folgender Workaround erfordert etwas Handarbeit: Bei der Auswahl der zu installierenden Remote-Desktop-Software wählen Sie zum Beispiel Teamviewer aus. Nun „missbrauchen“ Sie den Browser dazu explorer.exe zu starten! Dazu tippen Sie einfach C:\Windows\explorer.exe in das Adressfeld ein und wählen bei der nachfolgenden Abfrage aus, dass die Datei ausgeführt werden soll. So erhalten Sie ihren bekannten Desktop und können mit der Reparatur des Rechners beginnen (Registry von den Autostart-Einträgen befreien und Winlogon Shell wiederherstellen).

 

* Komfortabler und universeller geht die Entsperrung und gleichzeitige Bereinigung des Systems mit dem G DATA EU Ransomware Cleaner.

 

Siehe auch:

https://blog.gdata.de/2016/11/29285-spuken-nicht-nur-zu-halloween-rum-microsoft-support-betruger

https://www.gdata.at/tipps-tricks/g-data-eu-ransomware-cleaner