Der BKA Trojaner, auch bekannt als Bundespolizei-, Ukash- oder Reveton-Trojaner gehört zur Kategorie der Ransomware. Der Erpressungstrojaner ersetzt die Benutzeroberfläche von Windows durch die bildschirmfüllende Warnung, der Computer sei wegen illegaler Aktivitäten gesperrt worden. Die Meldung stammt angeblich vom Bundeskriminalamt, der Bundespolizei oder einer anderen Organisation mit Autorität. Ein Originallogo der jeweiligen Institution soll die Echtheit der Nachricht unterstreichen. Zur „Entsperrung“ des Computers verlangt die Malware eine Lösegeldzahlung von typischerweise 50 bis 250 Euro.
Erfahren Sie in diesem Artikel welche Varianten des BKA Trojaners vorkommen, wie die Infektion erfolgt und wie Sie den Trojaner wieder entfernen können.
Zahlreiche Varianten des BKA Trojaners
Die erste Version dieser Schadsoftware tauchte anfangs 2011 auf. In der Warnmeldung behaupteten die Erpresser in holprigem Deutsch, das BKA habe auf dem Rechner kinderpornografische und terroristische Inhalte entdeckt. Sie verlangten eine „Strafe“ von 100 Euro, zahlbar innerhalb von 24 Stunden. Ansonsten werde die Festplatte formatiert.
Schon früh tauchten lokalisierte Versionen auf, die sich im Vereinigten Königreich als „Metropolitan Police“, in Spanien „Policia Española“ oder in den Niederlanden als „Politie“ meldeten. Der BKA-Trojaner gibt sich überdies als Microsoft, GEMA oder GVU (Gesellschaft zur Verfolgung von Urheberrechtsverletzungen) aus und behauptet, auf dem Rechner befänden sich Raubkopien. Andere Versionen blenden neben kinderpornografischen Fotos ein Webcam-Bild des Nutzers ein. Dadurch soll sich dieser bei einer strafbaren Handlung ertappt fühlen. Immerhin wird die Aufnahme der Webcam nach bisherigen Erkenntnissen nicht ins Netz übertragen.
Die Mehrheit der BKA Trojaner richtet keinen bleibenden Schaden an. Es sind allerdings Abkömmlinge bekannt, die Dateien im Benutzerverzeichnis verschlüsseln oder mit zufälligem Inhalt überschreiben. Verschlüsselte Dateien sind durch das Präfix „locked-.“ im Dateinamen zu erkennen.
Für die Lösegeldzahlung nutzen die meisten Varianten Prepaid-Zahlungssysteme wie Paysafecard und MoneyPak oder kostenpflichtige SMS-Dienste. Wer auf die Erpressung eingeht und zahlt, hat oft keinen Erfolg: Der Computer bleibt gesperrt.
Wie erfolgt die Infektion?
Hauptsächlich verbreitet sich der BKA Trojaner per Drive-by-Download. Das heißt, der User lädt beim Surfen auf kompromittierten Webseiten oder beim Klicken auf Spam-Links unbemerkt einen Exploit herunter. Dieser nutzt Schwachstellen in Java, Flash, dem Browser, Adobes Acrobat Reader oder in Windows, um den eigentlichen Schadcode zu installieren. Gefährlich sind insbesondere Webseiten, die Gratis-Pornografie oder illegale Software-Downloads anbieten.
Eine weitere wichtige Infektionsquelle sind E-Mail-Anhänge. Häufig handelt es sich um komprimierte Dateien, die vorgeben ein Dokument, etwa eine Rechnung, zu enthalten. In Wahrheit beinhalten sie eine Programmdatei, was der Nutzer jedoch nicht erkennt, zumal Windows Dateiendungen standardmäßig ausblendet.
10 Maßnahmen zur Vorbeugung einer Infektion
Wie lässt sich der BKA Trojaner entfernen?
Erscheint der Sperrbildschirm der Ransomware, gilt es, den Rechner durch langes Drücken des Netzschalters sofort auszuschalten. Zur Beseitigung des Erpressungstrojaners gibt es verschiedene Optionen.
Rettungs-CD
Am einfachsten funktioniert die automatische Schädlingsbekämpfung mit einem bootfähigen Rettungssystem. Besonders anwenderfreundlich ist das kostenlose Tool Antibot von botfrei.de, einem Service des Branchenverbandes der Internetwirtschaft eco. Auch Hersteller von Antiviren-Programmen bieten gratis Rettungs-CDs an, beispielsweise Avira oder Kaspersky.
Manuelle Entfernungsmethode
Mit etwas Computer-Erfahrung ist es auch möglich, den BKA Trojaner manuell zu entfernen. Starten Sie das System zu diesem Zweck im abgesicherten Modus ohne grafische Benutzeroberfläche. Da Windows im abgesicherten Modus keine Autostart-Objekte lädt, stehen die Voraussetzungen gut, dass der BKA-Trojaner nicht ausgeführt wird. Unter Windows 7 drücken Sie beim Booten mehrfach [F8] und wählen im Bildschirm „Windows-Fehlerbehebung“ den Menüpunkt „Abgesicherter Modus mit Eingabeaufforderung“.
Windows 8 und 10 verlangen die Tastenkombination [Umschalt] + [F8]. Die neuen Windows-Versionen booten allerdings derart schnell, dass diese Methode oft versagt. In dem Fall schalten Sie den PC sofort wieder aus und versuchen es erneut. Beim vierten Startversuch erscheint ein blauer Bildschirm mit verschiedenen Optionen. Wählen Sie „Problembehandlung“, danach „Erweiterte Optionen“ und „Starteinstellungen“. Nun klicken Sie auf den Button „Neu starten“. Im Fenster „Starteinstellungen“ drücken Sie [F6] für den abgesicherten Modus mit Eingabeaufforderung.
Ist das Betriebssystem im abgesicherten Modus bereit, entfernen Sie sämtliche Autostart-Einträge des BKA Trojaners aus der Windows-Registrierung. Öffnen Sie dazu den Registrierungs-Editor: In der Eingabeaufforderung tippen Sie „regedit“ ein und bestätigen mit [Enter]. Navigieren Sie im Registrierungs-Editor zum Schlüssel „HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon“. Ändern Sie – falls vorhanden – den Eintrag des Wertes „Shell“ auf „Explorer.exe“. Dieser Wert bestimmt, welche Benutzeroberfläche geladen wird. Dasselbe wiederholen Sie für den Schlüssel „HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon“.
Anschließend durchsuchen Sie die Schlüssel „Run“, „RunOnce“, „RunOnceEx“, „RunServices“ und „RunServicesOnce“ in den Pfaden „HKCU\SOFTWARE\Microsoft\Windows“ und „HKLM\SOFTWARE\Microsoft\Windows“ nach verdächtigen Einträgen und entfernen diese. Der Name des BKA Trojaners besteht typischerweise aus einer kryptischen Zeichenfolge. Auffällige Verknüpfungen der Malware im Verzeichnis „Programme\Autostart“ des Startmenüs sind ebenfalls zu löschen.
Ist die Benutzeroberfläche von Windows nach dem Neustart wieder normal zugänglich, sollten Sie zur Sicherheit unbedingt einen Virenscanner durchlaufen lassen.
Systemwiederherstellung
Falls der BKA Trojaner immer noch aktiv ist, gibt es die Möglichkeit, über die Systemwiederherstellung einen früheren Zustand der Windows-Installation wiederherzustellen. Booten Sie Windows erneut im abgesicherten Modus mit Eingabeaufforderung. Geben Sie in der Kommandozeile „rstrui“ ein und drücken Sie [Enter], um das Systemwiederherstellungs-Fenster zu öffnen. Dort wählen Sie einen Wiederherstellungspunkt, der vor der Infektion erstellt wurde, und starten die Wiederherstellung.
Verschlüsselte Dateien
Hat der BKA Trojaner Dateien verschlüsselt, besteht dennoch Hoffnung. Tools wie der RannohDecryptor von Kaspersky und der Decrypthelper des Informatikstudenten Matthias Kunig bieten eine Chance, die verloren geglaubten Daten wiederherzustellen.
Fazit zum BKA-Trojaner
Auch wenn Ihr Rechner mit dem BKA Trojaner infiziert ist und Sie nur noch die Sperrmeldung sehen, bezahlen Sie auf keinen Fall die Lösegeldforderung. Schalten Sie lieber Ihren Rechner sofort aus und versuchen Sie über eine der drei vorgestellten Methoden den BKA Trojaner zu entfernen.
Sollte der Erpressungstrojaner Dateien auf Ihrer Festplatte verschlüsselt haben, versuchen Sie diese mit den beiden vorgestellten Tools zu entschlüsseln.
Halten Sie Ihre Software und Betriebssystem auf den aktuellsten Stand. Installieren Sie zeitnah neue Service Packs und Sicherheitsupdates.
Seien Sie aufmerksam beim Umgang mit E-Mails. Öffnen Sie keine unbekannten Dateiänhange und nehmen Sie sich in Acht vor 
Verwenden Sie ein 
Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht. 
Hinterlasse einen Kommentar