Bundespolizei – Ihr Browser hat gesperrt!

Und wieder erreicht uns ein neuer Trittbrettfahrers des Bundespolizei-Ukash-Trojaner. Dieser recht einfach gehaltene Drive-By-Infektion fallen in der Regel die Anwender zum Opfer, die ihren Browser, bzw. deren Plugins nicht auf dem aktuellsten Stand halten.

Bildschirmfoto 2014-01-20 um 12.42.34

Bundespolizei – Ihr Browser hat gesperrt!

Bei Aufruf dieser Seite im Browser, erscheint direkt die Meldung der Bundespolizei mit dem bekannten Sperrbildschirm (siehe Bild). Möchte man diese Internetseite schließen wird über JavaScript ein Browserfenster mit dem Text “Ihr Browser hat gesperrt” geöffnet und das Schließen des Tabs, bzw. des Browsers wird unterbunden. Diese Infektion zielt auf unbedarfte User ab, die nicht in der Lage sind, z.B. über den Taskmanager den Browser zu beenden, bzw. den Rechner neu zu starten.

Die Adresszeile im Browser könnten so aussehen:
hxxp://polizei.dx.id346363659-9347378233.b3289.com hxxp://polizei.dx.id912311752-3590827352.s6907.com
hxxp://polizei.dx.id940864313-8972711659.p250632.com

Wenn man sich diese Adressen anschaut, fällt einem direkt “polizei.de” ins Auge. Allerdings bei weiterer Durchsicht sieht man, dass die Hauptdomains hier z.B. auf s6907.com enden. Recherchen ergaben, dass diese Domains in Peking/China auf den Namen Zhong Si registriert wurden.

Wie beseitige ich diesen Sperrbildschirm:

  1. Bewahren Sie Ruhe und zahlen Sie in keinem Falle den geforderten Betrag!
  2. Öffnen Sie den Taskmanager (Strg-Alt-Entf.), innerhalb des Taskmanagers wechseln Sie zum Reiter “Anwendungen” und beenden Sie durch “Rechtsklick” – Task beenden den Browser.
  3. Wenn das nicht funktioniert, starten Sie den Rechner neu.
  4. Öffnen Sie den Browser und stellen Sie nicht die alte Sitzung wieder her.
  5. Löschen Sie den Browser Cache und evtl. den Verlauf.(Chrome/Firefox/IE)
  6. Überprüfen Sie den Rechner mit HitmanPro oder mit Malwarebytes

 

Und so schützen Sie sich vor einer Infektion:

Der beste Schutz würde durch generelles deaktivieren von JavaScript (nicht Java) erreicht werden, aber da viele andere Webseiten dies auch benötigen empfiehlt sich der Einsatz eines Addons wie NoScript, um JavaScripte selektiv zu erlauben. Auch könnte man über den Einsatz eines Addons wie Adblock Edge nachdenken.

Diese “Infektion” ist Betriebssystem unabhängig und kann wird im Browser ausgelöst!

Benachteiligt sind die Besitzer von mobilen Endgeräten, hier hat man keine Möglichkeiten Addons zu installieren bzw. JavaScript kann man nur komplett (de)aktivieren, ohne feinere Einstellungsmöglichkeit für einzelne Webseiten zu erstellen.

  • Surfen Sie mit Mozilla’s FireFox? Dann greifen Sie auf Erweiterungen wie Noscript, Adblock und WOT zurück.
  • Installieren Sie eine professionelle AV-Software (Amazon) und achten Sie darauf, dass diese immer aktuell und im Hintergrund (als Guard) mitläuft.
  • Überprüfen Sie Ihren Rechner regelmäßig auf Schadcode-Befall, und holen Sie sich hierbei IMMER eine zweite Meinung durch HitmanPro oder unsere DE-Cleaner ein!
  • Machen Sie bei unserem JAVA-Experiment mit und deinstallieren Sie JAVA.
  • Surfen Sie nicht mit einem administrativem Konto. Denn wenn Sie ohne Authentifizierung Programme installieren können, dann kann dies auch ein Schadprogramm.
  • Halten Sie Ihre Software aktuell: Hierbei hilft Ihnen z.B. CSIS Heimdal Security Agent.
  • Nutzen Sie die “Windows Systemherstellung” und greifen Sie auf eine Imaging-Software zurück, beispielsweise Acronis True Image. Beachten Sie hierbei, dass die Imageabbilder Ihre Passwörter und persönlichen Daten enthalten. Hier empfehlen wir den Einsatz von verschlüsselten Festplatten. Testen Sie das Einspielen der von Ihnen erstellten Systemabbilder (“images”) nach einem festen Zeitplan.
  • Öffnen Sie Dateien nur von vertrauenswürdigen Quellen und wenn Sie diese erwarten. Dies gilt für Datei-Anhänge aus E-Mails genauso, wie für Downloads aus dem World Wide Web. Meiden Sie Streaming-Platformen!

ABBZ:
Bei diesem Trittbrettfahrer kann man eigentlich “noch” nicht von Infektion, bzw. Malware sprechen. Dennoch ist das “Original” des Bundespolizei-UKASH Trojaner auch im Umlauf. Sollte also spätestes nach Neustart des Rechners, weiterhin diese oder andere Probleme auftauchen, ist Ihr Rechner evtl. mit einem originalem UKASH-Trojaner infiziert, der eine explizite Überprüfung und Bereinigung des Rechners erfordert. Dazu melden Sie sich kostenfrei in unserem Forum an und erstellen dort einen Beitrag. Die Experten helfen “Schritt für Schritt” bei der Lösung des Problems. 

28 thoughts on “Bundespolizei – Ihr Browser hat gesperrt!”

  1. Ich würde hier gerne noch anmerken, dass ein Antivirenprogramm bei dieser Bedrohung oft nicht hilft, da die meisten das “schädliche” JavaScript nicht blockieren. Es gibt ein paar Fälle, wo die schadhaften Domains über den Netzwerkfilter einer Sicherheitssuite blockiert werden, aber das sind längst nicht alle.

    Der beste Schutz würde hier durch generelles deaktivieren von JavaScript (nicht Java) zustande kommen, aber da viele andere Webseiten dies auch benötigen empfiehlt sich eher der Einsatz eines Addons wie NoScript, um JavaScripte selektiv zu erlauben. Auch könnte man über den Einsatz eines Addons wie Adblock Edge nachdenken.

    Benachteiligt sind hier natürlich ganz klar die Besitzer von mobilen Endgeräten, wo man oft keine Addons installieren kann und bei JavaScript dieses nur komplett (de)aktivieren kann ohne feinere Einstellungsmöglichkeit für einzelne Webseiten zu haben.

    Schönen Gruß,
    Eric

  2. Hallo,
    das ist ein schöner und informativer Bericht. Vielen Dank dafür. Aber einen Punkt vermisse ich bei den “Tips und Tricks”: “Führen Sie regelmäßig eine Datensicherung durch”. (Man kann es leider nicht oft genug sagen) Das schützt zwar nicht direkt vor Infektionen, beruhigt aber ungemein für den Fall, das der Rechner neu aufgesetzt werden muss… 🙂

    Gruss Ozzman

    1. Hallo Ozzman,

      vollkommen richtig, wobei wir aber das True Image von Acronis drin haben.

      Grüße,
      TB, ABBZ

  3. Hallo,
    das Thema ‘Datensicherung” ist wichtig. Wer eine Samsung SSD benutzt wird feststellen, der Mechaniker knippst die Windows-Sicherung aus. 🙁

    Das nur am Rande.

    Acronis TI ist ja auch kein Allheilmittel, ein Sektorfehler im Backup (*.tib) und es ist futsch.

    Wenn ich schon lästere, eine professionelle AV-Software nützt in diesem Fall nix.

    Es ist ja keine Malware im Sinne von Schadsoftware. Nix mit Viren, Würmern und Trojanern.

    Der Krempel mit JAVA, Benutzerkonten und aktuelle Software greift da auch nicht.

    Das Übel ist Javascript. !!

    Tschau

  4. Leider ist der Artikel entweder nicht aktuell oder stellt die Sache falsch dar:
    Ich hatte diese Fake-Sperrseiten schon des öfteren.
    Ich hatte nun alles geprüft: Browser komplett aktuell inkl. Plugin-Check.
    System komplett(!) inkl. USB-Sticks mit Malwarebytes (auch aktualisiert!) gescannt, nichts gefunden, mehrmals gescannt übrigens.
    Ich bemerke auch sonst keine Auffälligkeiten, da ich Process Hacker laufen lasse, alle Prozesse, Dienste sehe und mir keine verdächtigen Sachen aufgefallen sind. Weder läuft mein System lahm, noch lahmen Programme oder sonstwas. Mein System läuft wunderbar! Außerdem habe ich die Ansicht so eingestellt, dass mir alle versteckten Dateien inkl. Dateiendung angezeigt werden, und auch so sehe ich keine verdächtigen Dateien, weder im Rootverzeichnis auf C: noch auf den USB-Sticks. Ich hatte schon verseuchte USB-Sticks auf anderen Systemen gesehen, hatte sogar zweitweise PCs repariert und Viren befreit. Von daher alles proper:
    Meine Patentlösung bei Nutzung mit Firefox:
    Addon “Toolbar Buttons” installieren.
    Dann auf irgendeine Leiste folgende Buttons ziehen:
    Javascript
    eingebettete Elemente
    iFrames
    Java (ist ja seit neuestem eh deaktiviert)
    Popups (funktioniert nicht mehr)
    Flash (funktioniert nicht mehr), ich nutze Addon FlashBlock, blockt auch webm und HTML5-Videos
    Auch sinnvoll, um Memory-Leaks, RAM-Speicher zu sparen:
    Filme
    Animationen
    Bilder
    Ich bestätige dann “Auf der Seite bleiben” und mach ein Klick auf “Javascript”. Danach kann ich ganz einfach das Fenster schließen und gut ist:-)

    1. Hallo coriandreas,

      es gibt mittlerweile viele Varianten dieser Sperrseite und diese basiert auf reinem Javascript. Diese Variante ist keine große Herausforderung und es gibt sicherlich einige Wege, die Sperre zu beseitigen.

      Grüße,
      TB, ABBZ

    2. Der normale User wird aber gar nicht wissen, wie man JS deaktiviert, und beim neuen FF hat man das Menü dafür komplett entfernt!
      Für die “Gauner” wäre es somit ganz einfach, Geld zu kassieren, wenn jemand keine Ahnung hat.
      Ja leider gibt es bestimmt Leute mit virenverseuchtem Rechner, ob die Verseuchung jedoch von diesen Seiten stammen?
      Mich würde es nicht wundern, wenn es sich bei diesen Seiten nur um “klassische” Fallen handelt, die es auch ohne Internet gibt:
      http://de.wikipedia.org/wiki/Scareware

  5. Noch ‘n Hinweis:
    Der Hinweis “Ihr Browser ist veraltet” muss ein Update bekommen, denn:
    Die Version 24 ESR ist sehr wohl up to date!
    Leider muss ich den ESR 24 nutzen, weil Mozilla in letzter Zeit soviel Mist macht. Der Australis-Quark kann mir gestohlen bleiben, eine Chrome-Kopie will ich auch nicht und der ganze Minimalismus-Kram, Flat-Design nervt mich dermaßen. Die GUI sollte jeder User nach seinem Geschmack bauen können. Ende der Durchsage.

  6. Hallo zusammen,

    könnt Ihr mir eine Möglichkeit nennen, wie ich die Bundespolizei vom Opera-Browser herunter bekomme? Wenn möglich, für einen Laien wie mich verständlich.

    Danke Euch.

    Michael

    1. Morgen Michael,

      wenn bei Dir der UKASH-Trojaner auch nur Javascript basiert ist, dann schau mal in diese Anleitung, wie du Javascript deaktivieren kannst.

      Grüße,
      TB, ABBZ

    2. Guten Morgen TB, ABBZ (?),

      nach einigem Suchen habe ich die Einstellungen gefunden und konnte tatsächlich zwei Ausnahmen, in denen Java Script nicht angewendet werden soll, eingeben. Und siehe da, nach einem Neustart waren die lästigen Blockierer auch verschwunden. Vielen Dank für Deine schnelle Hilfe!

      Beste Grüße, Michael

  7. Hi there,

    I’ve also got this message and followed your guide. But how can I be sure that i don’t have any virus on my computer now?

    I have a MacBook Pro, and I think all others who has experienced this problem got Windows.

    I hope you can help me.

    1. I will also inform that I used an Inkognito window – does this has something to say?

    2. Hallo Sebastian,

      This UKASH Trojans based on Javascript and is operating system independent.

      Greetings,
      TB, ABBZ

  8. Pingback: Ihr Browser hat gesperrt - Neue Version vom BKA Trojaner - soldato.de - Blog von Kevin Soldato für Web, Software, Hardware und Server
  9. Hallo,

    habe den Virus auf meinem Tablet. Kann garnichts mehr machen. Zeigt nur noch die gesperrte Seite sonst kann ich keine Funktion mehr aktivieren bzw. bekomme keine Tastatur mehr angezeigt. Was kann ich tun 🙁

    1. Hallo MN,

      schau mal in diesen Beitrag und versuche die verschiedenen Tricks aus um die Infektion zu umgehen. Leider gibt es durchaus schon Infektionen im mobilen Bereich, welche sich nicht mehr entfernen lassen.

      Grüße,
      TB, botfrei.de

  10. Habe mir eben ein besonders lustiges Exemplar eingefangen. Also in meinem Taskmanager kann ich aber keine fremden Exeprogramme erkennen. Ist der dann gar nicht auf meinem Browser? Weil angeblich fixiert der alles was ich anstelle……………^^

    1. Hallo Hendrik,

      schwer zu sagen, es gibt mittlerweile so viele Vatianten, dass im Grunde immer eine Individuelle Bereinigung benötigt wird. Melde Dich doch einfach mal in unserem Forum an und erstelle einen Beitrag mit dem Problem, die Experten helfen Dir weiter.

      Viele Grüße,
      TB | ABBZ

  11. Hallo
    Bei mir hat sich die Interpol eingenischtet.
    Beim Start meines Samsung Galaxy Tablet 10.1 erscheint die Seite. Die Tastenkombination Shift/Ctrl/del
    hilft mir nicht weiter, weil auf der Tastatur gibt es wo was nicht. Was habe ich für Möglichkeiten diesen zu entfernen?
    Besten Dank für die Antwort. LG Wagner

    1. Hallo Wagner,

      schau mal in diesen Beitrag, evtl. kommst du damit weiter. Wenn nichts geht, geht evtl. noch die Werkseinstellung über den Recovery-Modus. Beim Samsung geht das so: Gerät aus, Home und Lauter-Taste gedrückt halten und Gerät einschalten. Wenn das Samsung-Logo erscheint, kannst du die Tasten loslassen und es erscheint der Recovery-Modus mit der Option „Werkseinstellung zurücksetzen“. Aber Achtung, danach sind alle deine persönlichen Daten gelöscht!

      Viele Grüße,
      TB | ABBZ

  12. Hallo, bei mir funktioniert nichts mehr (tablet). Trotz Neustart keine Möglichkeit auf irgendwas zuzugreifen. Ich kann leider nicht mal die Werkseinstellung wieder herstellen. Ist das Tablett jett ein Fall für die Tonne?

    1. Hallo Michaela,

      hast du auch schon versucht in den Recovery-Modus zu gelangen? Je nach Gerät die Home und Lauter-Taste gedrückt halten und Gerät einschalten. Wenn das Logo erscheint, kannst du die Tasten loslassen und es erscheint der Recovery-Modus mit der Option „Werkseinstellung zurücksetzen“. Aber Achtung, danach sind alle deine persönlichen Daten gelöscht!

      Viele Grüße,
      TB | ABBZ

Kommentare sind geschlossen.