Pirated software has been detected - Virus
Verfasst von Tomas Meskauskas am
"Pirated software has been detected" Ransomware Entfernungsanleitung
Was bedeutet die Nachricht "This computer was automatically blocked. Reason: Pirated software has been detected"?
Die Meldung "Pirated software has been detected (Raubkopierte Software wurde erkannt)" blockiert Computersysteme und fordert die Zahlung eines Bußgeldes für den angeblichen Besitz von raubkopierter Software. Hierbei handelt es sich um einen Betrug, einen Ransomware-Virus, der Betriebssysteme über Drive-by-Downloads, Exploit-Kits, infizierte E-Mail-Anhänge und gefälschte Downloads (z. B. betrügerische Video-Player oder gefälschte Flash-Updates) infiltriert. Nach erfolgreicher Infiltration blockiert dieses Schadprogramm den Computerbildschirm mit einer Meldung, die besagt, dass raubkopierte Inhalte entdeckt wurden und dass der Benutzer innerhalb von drei Tagen eine Geldstrafe von 500 EUR (oder 500 CAD) in Bitcoins zahlen muss, um eine Strafanzeige und Verhaftung zu vermeiden. Die Cyberkriminellen, die für diesen Betrug verantwortlich sind, wollen den PC-Benutzern vorgaukeln, dass sie Gesetzesverstöße begangen haben und deshalb die Geldstrafe bezahlen müssen. Tatsächlich verwenden keine internationalen Behörden (einschließlich des Justizministeriums) Bildschirmsperrungen, um Bußgelder für Gesetzesverstöße einzutreiben.
Obwohl die Ransomware "Pirated Software has been detected" angibt, dass die Dateien des Opfers verschlüsselt sind, verschlüsselt diese Malware sie in Wirklichkeit nicht. Sie wandelt jedoch Bilddateien (z. B. .jpg-Dateien) in ausführbare Dateien um, indem sie die Erweiterung .exe an jeden Dateinamen anhängt. Zum Zeitpunkt der Recherche ist nicht klar, ob die Cyberkriminellen in der Lage sind, diese Änderungen rückgängig zu machen, selbst wenn das Opfer das Lösegeld zahlt. Die gute Nachricht ist, dass diese Malware nicht im abgesicherten Modus mit Netzwerkbetrieb startet oder die Schattenkopien der Dateien entfernt. Dies macht die Entfernung und Wiederherstellung der Dateien relativ einfach.
Screenshot einer Ransomware-Meldung "Pirated software has been detected", die sich an Computeranwender aus der Europäischen Union richtet:
| Name | VirLocker Ransomware |
| Art der Bedrohung | Ransomware, Kryptovirus, Dateiensperre |
| Lösegeldfordernde Nachricht | Lockscreen |
| Kryptowallet Adresse der Cyberkriminellen | 1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW |
| Höhe des Lösegelds | €500, $500, $150, $250 - die Höhe variiert je nach Variante der Ransomware. |
| Erkennungsnamen | Avast (Win32:VirLock-B [Trj]), BitDefender (Win32.Virlock.Gen.1), ESET-NOD32 (eine Variante von Win32/Virlock.D), Kaspersky (Virus.Win32.PolyRansom.b), vollständige Liste von Erkennungen (VirusTotal) |
| Symptome | Dateien, die auf Ihrem Computer gespeichert sind, können nicht geöffnet werden; zuvor funktionsfähige Dateien haben jetzt eine andere Erweiterung (z. B. my.docx.locked). Eine Lösegeldforderung wird auf Ihrem Desktop angezeigt. Cyberkriminelle fordern ein Lösegeld (gewöhnlich in Bitcoins), um Ihre Dateien freizuschalten. |
| Zusätzliche Informationen | Diese Ransomware sperrt den Computerbildschirm und verhindert, dass Benutzer auf das System zugreifen können. Der Sperrbildschirm behauptet, dass der Benutzer raubkopierte Software verwendet und eine Geldstrafe erhalten wird, wenn er nicht sofort zahlt. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge (Makros), Torrent-Webseiten, bösartige Werbung. |
| Schaden | Alle Dateien werden verschlüsselt und können ohne Zahlung eines Lösegelds nicht geöffnet werden. Zusammen mit einer Ransomware-Infektion können weitere passwortraubende Trojaner und Malware-Infektionen installiert werden. |
| Entfernung | Um VirLocker Ransomware zu entfernen, empfehlen unsere Malware-Forscher, Ihren Computer mit Malwarebytes zu scannen. |
Eine weitere (aktualisierte) Variante dieses Ransomware-Virus namens "Operation Global 3" - verschlüsselt und infiziert die Dateien der Opfer:
Wenn Sie es mit der Operation Global 3 Ransomware zu tun haben, können Sie ein von Nathan Scott (aliasDecrypterFixer) erstelltes Datei-Entschlüsselungstool verwenden, um Ihre kompromittierten Dateien zu entschlüsseln. Laden Sie das Entschlüsselungswerkzeug für Operation Global 3 hier herunter.
Video, das zeigt, wie Sie dieses Werkzeug verwenden:
Ransomware-Infektionen wie diese sind ein starkes Argument dafür, regelmäßige Datensicherungen Ihrer gespeicherten Daten zu erstellen. Beachten Sie, dass die Zahlung der von dieser Ransomware geforderten Geldstrafe gleichbedeutend damit ist, dass Sie Ihr Geld an Cyberkriminelle schicken - Sie unterstützen deren bösartiges Geschäftsmodell und es gibt keine Garantie, dass Sie Ihre geänderten Dateien jemals wiederherstellen können. Um eine Infektion des Computers mit Ransomware wie "Pirated software has been detected" zu vermeiden, sollten Sie beim Öffnen von E-Mails Vorsicht walten lassen, da Cyberkriminelle verschiedene eingängige Titel verwenden, um PC-Benutzer zum Öffnen infizierter E-Mail-Anhänge zu verleiten (z. B. "UPS Exception Notification"). Halten Sie Ihr Betriebssystem und alle installierten Programme (Java, Flash, etc.) auf dem neuesten Stand und verwenden Sie seriöse Antiviren- und Anti-Spyware-Software. Untersuchungen zeigen, dass Cyberkriminelle auch P2P-Netzwerke und gefälschte Downloads (mit gebündelten Ransomware-Infektionen) nutzen, um Ransomware mit der Aufschrift "Pirated Software has been detected" zu verbreiten.
Hier ist ein Screenshot einer weiteren Variante dieser Ransomware (entdeckt am 26. Januar 2017 vom Sicherheitsforscher Nathan Scott):
Wenn Ihr Computer mit dieser Variante infiziert ist, können Sie 000000000000000000000000000000000000000000000000000000000000 (64 Nullen) in das Feld "Transfer ID:" eingeben. Klicken Sie dann auf "PAY FINE". Dadurch wird Ihr Computer entsperrt und ein Doppelklick auf Ihre infizierten Dateien (mit der Erweiterung .exe) öffnet diese tatsächlich, anstatt die Lösegeld fordernde Nachricht zu öffnen.
Screenshot einer Ransomware-Meldung "Pirated software has been detected", die sich an Computeranwender in Kanada richtet:
Gefälschte Nachricht, die von dieser Ransomware präsentiert wird (die Cyberkriminellen nutzen den Namen des Justizministeriums aus):
Dieser Computer wurde automatisch gesperrt. Grund: Es wurde raubkopierte Software entdeckt
Vorsätzliche Urheberrechtsverletzung ist ein Bundesverbrechen, das mit bis zu fünf Jahren Gefängnis, einer Geldstrafe in Höhe von 250.000 $, Verwirkung und Rückerstattung bestraft wird (17 U.S.C s.506, 18 U.S.C s.2319)
Als Ersttäter sind Sie gesetzlich verpflichtet, eine Geldstrafe in Höhe von 500 EUR (oder 500 CAD) zu zahlen. Wenn die Geldstrafe nicht innerhalb von drei Tagen bezahlt wird, wird ein Haftbefehl gegen Sie ausgestellt, der an die örtlichen Behörden weitergeleitet wird. Sie werden angeklagt, mit einer Geldstrafe belegt und für bis zu 5 Jahre verurteilt. Wie kann man eine Geldstrafe bezahlen? Es gibt zwei Möglichkeiten, eine Geldstrafe zu bezahlen: 1. Sie können die Geldstrafe online über BitCoin bezahlen. BitCoin ist landesweit verfügbar. Klicken Sie auf die Registerkarten unten, um den nächstgelegenen Anbieter zu finden. Ihr Computer wird nach der Zahlung entsperrt. 2. (Offline-Option) Sie können zu Ihrem örtlichen Gericht kommen und das Bußgeld am "Kassen"-Fenster bezahlen. Eine spezielle Wiederherstellungssoftware wird Ihnen innerhalb einer Woche nach der Zahlung per Post zugesandt. Um jetzt wieder Zugriff zu erhalten, müssen Sie eine Bitcoin-Überweisung an die Adresse des Justizministeriums vornehmen. Hinweis: Die Dateien auf diesem Computer wurden vorübergehend verschlüsselt. Die Dateien werden dauerhaft verloren gehen, wenn die Geldstrafe nicht bezahlt wird oder ein Versuch, diese Nachricht zu entfernen, erkannt wird. Operation Stop Online Piracy-Project Global 3 ist eine koordinierte Aktion von US-amerikanischen, kanadischen, europäischen, australischen, britischen, neuseeländischen und anderen Strafverfolgungsbehörden auf der ganzen Welt, die auf Computer mit raubkopierten Inhalten abzielt.
Eine weitere Variante der "Pirated Software has been detected" Ransomware:
Text, der in diesem Sperrbildschirm angezeigt wird:
Es wurde nicht autorisierte oder raubkopierte Software erkannt. Das System wurde unter der Autorität von 17 U.S.C s.506 gesperrt.
Die vorsätzliche Verletzung von Urheberrechten ist eine Straftat, die mit bis zu fünf Jahren Gefängnis, einer Geldstrafe in Höhe von 250.000 US-Dollar, Verwirkung und Rückerstattung bestraft wird (17 U.S.C s.506, 18 U.S.C s.2319)
Als Ersttäter sind Sie gesetzlich verpflichtet, ein Bußgeld in Höhe von 500 USDIm Falle, dass das Bußgeld nicht innerhalb von drei Tagen bezahlt wird, wird ein Haftbefehl gegen Sie ausgestellt, der an Ihre örtlichen Behörden weitergeleitet wird. Sie werden angeklagt, mit einer Geldstrafe belegt und für bis zu 5 Jahre verurteilt.
Es gibt zwei Möglichkeiten, ein Bußgeld zu bezahlen:
1. Sie können das Bußgeld online über BitCoin bezahlen. BitCoin ist bundesweit verfügbar.
Klicken Sie auf die Registerkarten unten, um die nächstgelegene Börse oder einen Geldautomaten zu finden. Ihr Computer wird freigeschaltet, nachdem Sie die Zahlung vorgenommen haben.
2. (Offline-Option) Sie können zu Ihrem örtlichen Gerichtsgebäude kommen und das Bußgeld am "Kassen"-Fenster bezahlen.
Sie benötigen dazu Ihre persönlichen Ausweisdokumente und Ihren Computerausweis. Sie müssen persönlich erscheinen.
Ihr Computer wird innerhalb von 4-5 Arbeitstagen freigeschaltet.
Um den Zugang jetzt wieder zu erhalten, überweisen Sie BitCoins an die folgende Adresse (zum Kopieren anklicken):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdWNachdem die Zahlung abgeschlossen ist, geben Sie die Transfer-ID unten ein.
Online-Strafzahlungen werden von Chase Paymentech verarbeitet.
Betrag Überweisungs-ID:
BTC 1.779 PAY FINEHinweis: Festplatteninhalte und Netzwerkdateien auf diesem Computer wurden verschlüsselt und sind nicht zugänglich, bis die Geldstrafe bezahlt ist.
Jeder Versuch, diese Meldung zu entfernen, wird Ihre Dateien, Hardware und Windows-Installation beschädigen.
Verschlüsselte Dateien anzeigen Bezahlung BitCoin-Informationen BitCoin-Börsen BitCoin-ATM Internet-Browser NotepadOperation
Global III ist eine koordinierte Aktion von US-amerikanischen, kanadischen, europäischen, australischen, neuseeländischen und anderen Strafverfolgungsbehörden auf der ganzen Welt, die Computer mit raubkopierten Inhalten ins Visier nimmt.
Aussehen dieses Sperrbildschirms (GIF):
Eine weitere Variante des Popup-Betrugs "Pirated software has been detected":
Darin angezeigter Text:
Dieser Computer enthält raubkopierte Software und wurde von ICE-Homeland Security Investigations gesperrt.
Die vorsätzliche Verletzung von Urheberrechten ist eine Straftat, die mit bis zu fünf Jahren Gefängnis, einer Geldstrafe in Höhe von 250.000 US-Dollar, Verwirkung und Rückerstattung bestraft wird (17 U.S.C s.506, 18 U.S.C s.2319)
Als Ersttäter sind Sie gesetzlich verpflichtet, ein Bußgeld in Höhe von 500 USD
Im Falle, dass das Bußgeld nicht innerhalb von drei Tagen bezahlt wird, wird ein Haftbefehl gegen Sie ausgestellt, der an Ihre örtlichen Behörden weitergeleitet wird. Sie werden angeklagt, mit einer Geldstrafe belegt und für bis zu 5 Jahre verurteilt.
Wie kann man eine Geldstrafe bezahlen? Es gibt zwei Möglichkeiten, ein Bußgeld zu bezahlen:
1. Sie können das Bußgeld online über BitCoin bezahlen. BitCoin ist landesweit verfügbar.
Klicken Sie auf die Registerkarten unten, um den nächstgelegenen Anbieter zu finden. Ihr Computer wird nach der Zahlung freigeschaltet.
2.(Offline-Option) Sie können zu Ihrem örtlichen Gericht kommen und das Bußgeld am "Kassenschalter" bezahlen.
Eine spezielle Wiederherstellungssoftware wird Ihnen innerhalb einer Woche nach der Zahlung per Post zugeschickt.
Um den Zugang wiederherzustellen, überweisen Sie jetzt BitCoins an die folgende Adresse (zum Kopieren anklicken):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdWNachdem die Zahlung abgeschlossen ist, geben Sie die Transfer ID unten ein.
Betrag Transfer ID:
BTC 1.773 [PAY FINE]Hinweis: Alle Dateien auf diesem Computer wurden mit einem starken symmetrischen Algorithmus und einem 4096-Bit-Schlüssel verschlüsselt. Auf die Dateien kann nicht zugegriffen werden, bis die Geldstrafe bezahlt ist. Der Versuch, diese Meldung zu entfernen, wird zu irreversiblen Schäden an Ihren Dateien, Ihrer Hardware und Ihrer Windows-Installation führen. Verschlüsselte Dateien anzeigenBezahlung BitCoin-Informationen BitCoin-Börsen BitCoin-Geldautomaten Internet-Browser NotepadProjekt
Global 3 ist eine koordinierte Aktion von US-amerikanischen, kanadischen, europäischen, australischen, neuseeländischen und anderen Strafverfolgungsbehörden auf der ganzen Welt, die auf Computer mit raubkopierten Inhalten und deren Betreiber abzielt.
"Pirated software has been detected" Ransomware-Entfernung:
Sofortige automatische Entfernung von VirLocker Ransomware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Malwarebytes ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von VirLocker Ransomware empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Malwarebytes herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage beschränkte kostenlose Testversion verfügbar. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was bedeutet die Nachricht "Pirated software has been detected"?
- SCHRITT 1. "Pirated software has been detected" Ransomware-Entfernung im abgesicherten Modus mit Netzwerktreibern.
- SCHRITT 2. "Pirated software has been detected" Ransomware-Entfernung mit Systemwiederherstellung.
Schritt 1
Windows XP und Windows 7 Nutzer:
Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.
Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:
Das Video zeigt, wie man Windows XP im "Abgesicherten Modus mit Netzwerktreibern" startet:
Windows 8 Nutzer:
Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.
Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:
Schritt 2
Melden Sie sich bei dem Konto an, das mit der Ransomware "Pirated Software has been detected" infiziert ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spyware-Programm herunter. Aktualisieren Sie die Anti-Spyware-Software und starten Sie einen vollständigen Systemscan. Entfernen Sie alle gefundenen Einträge.
Wenn Sie Ihren Computer nicht im abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie, eine Systemwiederherstellung durchzuführen.
Video, das zeigt, wie man den Ransomware-Virus mit "Abgesicherter Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernt:
1. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü "Erweiterte Optionen" von Windows erscheint, wählen Sie aus der Liste "Abgesicherter Modus mit Eingabeaufforderung" und drücken Sie ENTER.
2. Wenn der Eingabeaufforderungsmodus geladen wird, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.
3. Geben Sie als nächstes diese Zeile ein: rstrui.exe und drücken Sie ENTER.
4. Klicken Sie im geöffneten Fenster auf "Weiter".
5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dadurch wird Ihr Computersystem zu einem früheren Zeitpunkt und Datum wiederhergestellt, bevor der Ransomware-Virus "Pirated software has been detected" Ihren PC infiltriert hat).
6. Klicken Sie im geöffneten Fenster auf "Ja".
7. Nachdem Sie Ihren Computer auf ein früheres Datum wiederhergestellt haben, laden Sie Ihren PC herunter und scannen Sie ihn mit der empfohlenen Software zum Entfernen von Malware, um alle verbleibenden "Pirated software has been detected"-Dateien zu entfernen.
Um einzelne Dateien wiederherzustellen, die von dieser Ransomware verändert wurden, versuchen Sie, die Funktion "Vorherige Versionen" von Windows zu verwenden. Diese Methode ist nur wirksam, wenn die Systemwiederherstellungsfunktion auf einem infizierten Betriebssystem aktiviert war.
Um eine Datei wiederherzustellen, klicken Sie mit der rechten Maustaste auf die Datei, gehen Sie in die Eigenschaften und wählen Sie die Registerkarte Vorherige Versionen. Wenn die betreffende Datei einen Wiederherstellungspunkt hat, wählen Sie ihn aus und klicken Sie auf die Schaltfläche "Wiederherstellen".
Um die Kontrolle über die von der "Pirated Software has been detected" Ransomware veränderten Dateien wiederzuerlangen, können Sie auch versuchen, ein Programm namens Shadow Explorer zu verwenden. Weitere Informationen zur Verwendung dieses Programms finden Sie hier.
Um Ihren Computer vor dateiverschlüsselnder/verändernder Ransomware wie dieser zu schützen, verwenden Sie seriöse Antiviren- und Anti-Spyware-Programme.
Weitere Informationen zur Verwendung dieses Programms finden Sie here.
Andere bekannte Werkzeuge zum Entfernen der Ransomware "Pirated software has been detected":
Quelle: https://www.pcrisk.com/removal-guides/8460-pirated-software-has-been-detected-virus
Ausgezeichnet!
Hier klicken zur Veröffentlichung eines Kommentars