Windows-Malware - Gefälschter Bluescreen erpresst Nutzer

Eine neue Malware macht Windows-Rechner aktuell mit gefälschten Bluescreens unsicher und erpresst die Nutzer mit gesperrten Bildschirmen.

von Sara Petzold,
01.12.2017 18:53 Uhr

Windows RT 8.1 Bluescreen (Bildquelle: Lance Ulanoff)Windows RT 8.1 Bluescreen (Bildquelle: Lance Ulanoff)

Für Windows-Nutzer ist der Bluescreen seit jeher ein unbeliebter Weggenosse. Mit einer neuen Malware mit der Bezeichnung »Troubleshooter« nimmt die blaue Absturzmeldung aber besonders perfide Züge an: Die Schadsoftware sperrt nämlich mit einem gefälschten Bluescreen den Bildschirm des Opfers und gibt ihn erst wieder frei, wenn der Nutzer für 25 Dollar eine angebliche Sicherheitssoftware erwirbt.

Erpressung per Bluescreen, Zahlung per Paypal

Das Online-Magazin Heise meldet unter Berufung auf einen Blogeintrag von Malwarebytes, dass sich die Malware als Installationsprogramm für eine vermeintlich gecrackte Software tarnt, die nicht genau benannt wird. Nach der Installation lädt sie zusätzliche Dateien für die Darstellung verschiedener Bluescreens und Warnhinweise herunter. Außerdem wird ein Screenshot des aktiven Fensters erstellt und an eine feste IP-Adresse verschickt.

Die Malware sperrt eine Reihe von Hotkeys für Windows sowie die Aufhebung der Bildschirmsperre durch den Nutzer. Dann sorgt sie für den erwähnten Bluescreen und öffnet anschließend einen Warnhinweis, den der Nutzer aufgrund der Sperrungen nicht mehr schließen kann.

Der Warnhinweis beinhaltet dann eine Auflistung diverser Systemprobleme sowie die Aufforderung, 25 US-Dollar für die angebliche Sicherheitssoftware »Windows Defender Essentials« zu zahlen – erstaunlicherweise per Paypal. Bezahlt das Opfer, leitet die Malware ihn auf eine Webseite weiter, mit der sie sich abgleicht und sich dann anschließend beendet.

Workaround zum Entsperren

Allerdings lässt sich die Sperrung des eigenen Rechners durch den gefälschten Bluescreen laut Malewarebytes recht einfach umgehen: Durch die Eingabe von »Strg + O« im Warnhinweis-Fenster öffnet sich ein weiteres Fenster, in das man die von der Malware zur Freischaltung angesteuerte URL selbst eingeben kann.

Öffnet man die Adresse mit dem Textstring »thankuhitechnovation« auf diese Weise, glaubt die Malware an eine erfolgte Zahlung und beendet sich automatisch. Eine ausführliche Beschreibung dieser Umgehung sowie Details zum Entfernen der Malware lassen sich im Malwarebytes-Blog nachlesen.


Kommentare(23)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen