Pirated software has been detected - Virus

Was bedeutet die Nachricht "This computer was automatically blocked. Reason: Pirated software has been detected"?

Die Meldung "Pirated software has been detected (Raubkopierte Software wurde erkannt)" blockiert Computersysteme und fordert die Zahlung eines Bußgeldes für den angeblichen Besitz von raubkopierter Software. Hierbei handelt es sich um einen Betrug, einen Ransomware-Virus, der Betriebssysteme über Drive-by-Downloads, Exploit-Kits, infizierte E-Mail-Anhänge und gefälschte Downloads (z. B. betrügerische Video-Player oder gefälschte Flash-Updates) infiltriert.

Nach erfolgreicher Infiltration blockiert dieses Schadprogramm den Computerbildschirm mit einer Meldung, die besagt, dass raubkopierte Inhalte entdeckt wurden und dass der Benutzer innerhalb von drei Tagen eine Geldstrafe von 500 EUR (oder 500 CAD) in Bitcoins zahlen muss, um eine Strafanzeige und Verhaftung zu vermeiden. Die Cyberkriminellen, die für diesen Betrug verantwortlich sind, wollen den PC-Benutzern vorgaukeln, dass sie Gesetzesverstöße begangen haben und deshalb die Geldstrafe bezahlen müssen.

Tatsächlich verwenden keine internationalen Behörden (einschließlich des Justizministeriums) Bildschirmsperrungen, um Bußgelder für Gesetzesverstöße einzutreiben.

Obwohl die Ransomware "Pirated Software has been detected" angibt, dass die Dateien des Opfers verschlüsselt sind, verschlüsselt diese Malware sie in Wirklichkeit nicht. Sie wandelt jedoch Bilddateien (z. B. .jpg-Dateien) in ausführbare Dateien um, indem sie die Erweiterung .exe an jeden Dateinamen anhängt.

Zum Zeitpunkt der Recherche ist nicht klar, ob die Cyberkriminellen in der Lage sind, diese Änderungen rückgängig zu machen, selbst wenn das Opfer das Lösegeld zahlt. Die gute Nachricht ist, dass diese Malware nicht im abgesicherten Modus mit Netzwerkbetrieb startet oder die Schattenkopien der Dateien entfernt.

Dies macht die Entfernung und Wiederherstellung der Dateien relativ einfach.

Screenshot einer Ransomware-Meldung "Pirated software has been detected", die sich an Computeranwender aus der Europäischen Union richtet:

Zusammenfassung der Bedrohung:

Name	VirLocker Ransomware
Art der Bedrohung	Ransomware, Kryptovirus, Dateiensperre
Lösegeldfordernde Nachricht	Lockscreen
Kryptowallet Adresse der Cyberkriminellen	1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
Höhe des Lösegelds	€500, $500, $150, $250 - die Höhe variiert je nach Variante der Ransomware.
Erkennungsnamen	Avast (Win32:VirLock-B [Trj]), BitDefender (Win32.Virlock.Gen.1), ESET-NOD32 (eine Variante von Win32/Virlock.D), Kaspersky (Virus.Win32.PolyRansom.b), vollständige Liste von Erkennungen (VirusTotal)
Symptome	Dateien, die auf Ihrem Computer gespeichert sind, können nicht geöffnet werden; zuvor funktionsfähige Dateien haben jetzt eine andere Erweiterung (z. B. my.docx.locked). Eine Lösegeldforderung wird auf Ihrem Desktop angezeigt. Cyberkriminelle fordern ein Lösegeld (gewöhnlich in Bitcoins), um Ihre Dateien freizuschalten.
Zusätzliche Informationen	Diese Ransomware sperrt den Computerbildschirm und verhindert, dass Benutzer auf das System zugreifen können. Der Sperrbildschirm behauptet, dass der Benutzer raubkopierte Software verwendet und eine Geldstrafe erhalten wird, wenn er nicht sofort zahlt.
Verbreitungsmethoden	Infizierte E-Mail-Anhänge (Makros), Torrent-Webseiten, bösartige Werbung.
Schaden	Alle Dateien werden verschlüsselt und können ohne Zahlung eines Lösegelds nicht geöffnet werden. Zusammen mit einer Ransomware-Infektion können weitere passwortraubende Trojaner und Malware-Infektionen installiert werden.
Malware-Entfernung (Windows)	Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. ▼ Combo Cleaner für Windows herunterladen Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Eine weitere (aktualisierte) Variante dieses Ransomware-Virus namens "Operation Global 3" - verschlüsselt und infiziert die Dateien der Opfer:

Wenn Sie es mit der Operation Global 3 Ransomware zu tun haben, können Sie ein von Nathan Scott (aliasDecrypterFixer) erstelltes Datei-Entschlüsselungstool verwenden, um Ihre kompromittierten Dateien zu entschlüsseln. Laden Sie das Entschlüsselungswerkzeug für Operation Global 3 hier herunter.

Video, das zeigt, wie Sie dieses Werkzeug verwenden:

Ransomware-Infektionen wie diese sind ein starkes Argument dafür, regelmäßige Datensicherungen Ihrer gespeicherten Daten zu erstellen. Beachten Sie, dass die Zahlung der von dieser Ransomware geforderten Geldstrafe gleichbedeutend damit ist, dass Sie Ihr Geld an Cyberkriminelle schicken - Sie unterstützen deren bösartiges Geschäftsmodell und es gibt keine Garantie, dass Sie Ihre geänderten Dateien jemals wiederherstellen können. Um eine Infektion des Computers mit Ransomware wie "Pirated software has been detected" zu vermeiden, sollten Sie beim Öffnen von E-Mails Vorsicht walten lassen, da Cyberkriminelle verschiedene eingängige Titel verwenden, um PC-Benutzer zum Öffnen infizierter E-Mail-Anhänge zu verleiten (z. B. "UPS Exception Notification"). Halten Sie Ihr Betriebssystem und alle installierten Programme (Java, Flash, etc.) auf dem neuesten Stand und verwenden Sie seriöse Antiviren- und Anti-Spyware-Software. Untersuchungen zeigen, dass Cyberkriminelle auch P2P-Netzwerke und gefälschte Downloads (mit gebündelten Ransomware-Infektionen) nutzen, um Ransomware mit der Aufschrift "Pirated Software has been detected" zu verbreiten.

Hier ist ein Screenshot einer weiteren Variante dieser Ransomware (entdeckt am 26. Januar 2017 vom Sicherheitsforscher Nathan Scott):

Wenn Ihr Computer mit dieser Variante infiziert ist, können Sie 000000000000000000000000000000000000000000000000000000000000 (64 Nullen) in das Feld "Transfer ID:" eingeben. Klicken Sie dann auf "PAY FINE". Dadurch wird Ihr Computer entsperrt und ein Doppelklick auf Ihre infizierten Dateien (mit der Erweiterung .exe) öffnet diese tatsächlich, anstatt die Lösegeld fordernde Nachricht zu öffnen.

Screenshot einer Ransomware-Meldung "Pirated software has been detected", die sich an Computeranwender in Kanada richtet:

Gefälschte Nachricht, die von dieser Ransomware präsentiert wird (die Cyberkriminellen nutzen den Namen des Justizministeriums aus):

This computer was automatically blocked. Reason: Pirated software has been detected
Wilful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 EUR (or 500 CAD) If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years. How to pay a fine? There are two ways to pay a fine: 1. You can pay the fine online through BitCoin. BitCoin is available nationwide. Click the tabs below to find the nearest vendor. You computer will be unblocked after the payment is made. 2. (Offline Option) You can come to your local courthouse and pay the fine at the ‘Cashiers’ window. A special restoration software will be sent to you by mail within a week after payment is made. To regain access now you must make a bitcoin transfer to the Department of Justice address. Note: Files on this computer have been temporarily encrypted. Files will be permanently lost if the fine is not paid or an attempt to remove this message is detected. Operation Stop Online Piracy-Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, U.K., New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.

Eine weitere Variante der "Pirated Software has been detected" Ransomware:

Text, der in diesem Sperrbildschirm angezeigt wird:

Unauthorized or pirated software has been detected. System has been blocked under the authority of 17 U.S.C s.506

Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)

As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.

There are two ways to pay a fine:
1. You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest exchange or an ATM. Your computer will be unlocked after you make your payment.
2. (Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
You will need your personal identification documents and computer ID. You must appear in person.
Your computer will be unlocked within 4-5 working days.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Online fine payments are processed by Chase Paymentech.
Amount Transfer ID:
BTC 1.779
PAY FINE
Note: Hard drive contents, network files on this computer have been encrypted and will be inaccessible until the fine is paid.
Any attempt to remove this message will damage your files, hardware and Windows installation.
View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATM Internet Browser Notepad
Operation Global III Is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.

Aussehen dieses Sperrbildschirms (GIF):

Eine weitere Variante des Popup-Betrugs "Pirated software has been detected":

Darin angezeigter Text:

This computer contains pirated software and has been blocked by ICE-Homeland Security Investigations.

Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restition (17 U.S.C s.506, 18 U.S.C s.2319)

As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest,
which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.
How to pay a fine? There are two ways to pay a fine:
1.You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after the payment is made.
2.(Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
A special restoration software will be sent to you by mail within a week after the payment is made.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Amount Transfer ID:
BTC 1.773 [PAY FINE]

Note: All files on this computer have been encrypted with a strong symmetric algorithm and a 4096-bit key. Files will be inaccessible until the fine is paid.
Attempt to remove this message will result in irreversible damage to your files, hardware and Windows installation. View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad
Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content and their operators.

"Pirated software has been detected" Ransomware-Entfernung:

Umgehende automatische Entfernung von Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

• Was bedeutet die Nachricht "Pirated software has been detected"?
• SCHRITT 1. "Pirated software has been detected" Ransomware-Entfernung im abgesicherten Modus mit Netzwerktreibern.
• SCHRITT 2. "Pirated software has been detected" Ransomware-Entfernung mit Systemwiederherstellung.

Schritt 1

Windows XP und Windows 7 Nutzer:

Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Das Video zeigt, wie man Windows XP im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich bei dem Konto an, das mit der Ransomware "Pirated Software has been detected" infiziert ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spyware-Programm herunter. Aktualisieren Sie die Anti-Spyware-Software und starten Sie einen vollständigen Systemscan. Entfernen Sie alle gefundenen Einträge.

Wenn Sie Ihren Computer nicht im abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie, eine Systemwiederherstellung durchzuführen.

Video, das zeigt, wie man den Ransomware-Virus mit "Abgesicherter Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernt:

1. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü "Erweiterte Optionen" von Windows erscheint, wählen Sie aus der Liste "Abgesicherter Modus mit Eingabeaufforderung" und drücken Sie ENTER.

2. Wenn der Eingabeaufforderungsmodus geladen wird, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

3. Geben Sie als nächstes diese Zeile ein: rstrui.exe und drücken Sie ENTER.

4. Klicken Sie im geöffneten Fenster auf "Weiter".

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dadurch wird Ihr Computersystem zu einem früheren Zeitpunkt und Datum wiederhergestellt, bevor der Ransomware-Virus "Pirated software has been detected" Ihren PC infiltriert hat).

6. Klicken Sie im geöffneten Fenster auf "Ja".

7. Nachdem Sie Ihren Computer auf ein früheres Datum wiederhergestellt haben, laden Sie Ihren PC herunter und scannen Sie ihn mit der empfohlenen Software zum Entfernen von Malware, um alle verbleibenden "Pirated software has been detected"-Dateien zu entfernen.

Um einzelne Dateien wiederherzustellen, die von dieser Ransomware verändert wurden, versuchen Sie, die Funktion "Vorherige Versionen" von Windows zu verwenden. Diese Methode ist nur wirksam, wenn die Systemwiederherstellungsfunktion auf einem infizierten Betriebssystem aktiviert war.

Um eine Datei wiederherzustellen, klicken Sie mit der rechten Maustaste auf die Datei, gehen Sie in die Eigenschaften und wählen Sie die Registerkarte Vorherige Versionen. Wenn die betreffende Datei einen Wiederherstellungspunkt hat, wählen Sie ihn aus und klicken Sie auf die Schaltfläche "Wiederherstellen".

Um die Kontrolle über die von der "Pirated Software has been detected" Ransomware veränderten Dateien wiederzuerlangen, können Sie auch versuchen, ein Programm namens Shadow Explorer zu verwenden. Weitere Informationen zur Verwendung dieses Programms finden Sie hier.

Um Ihren Computer vor dateiverschlüsselnder/verändernder Ransomware wie dieser zu schützen, verwenden Sie seriöse Antiviren- und Anti-Spyware-Programme.

Weitere Informationen zur Verwendung dieses Programms finden Sie here.

Andere bekannte Werkzeuge zum Entfernen der Ransomware "Pirated software has been detected":

• Malwarebytes Anti-Malware

Quelle: https://www.pcrisk.com/removal-guides/8460-pirated-software-has-been-detected-virus

▼ Diskussion einblenden