Bahn verteilt Virus mit Mail

vor ein paar Tagen erreichte mich eine Mail von der Bahn und informierte mich zugleich über den Fahrkartenkauf:

“Sehr geehrte,

vielen Dank für Ihren Fahrkartenkauf bei bahn. de.

Ihre persönlichen Buchungsdaten:

Auftragsnummer: 5O6013
Kundennummer: 14743473

Das sollten Sie wissen:

– Bitte drucken Sie Ihr Online-Ticket im DIN A4 Format aus!

– Bei der Kontrolle wird der Zugbegleiter die Identifizierungskarte und
  den Barcode in sein Kontrollgerät einlesen. Hierzu überreichen Sie ihm
  bitte das Ticket sowie die angegebene Identifizierungskarte

– Falls sich Ihre Reiseplanung ändert, können Sie Ihr Online-Ticket im
  Rahmen der tariflichen Zulässigkeit über www.bahnde/erstattung
  stornieren oder in DB Reisezentren zurückgeben.

Tipps für Ihre Reise:

Ist mein Zug pünktlich?
www.bahn. de/zug_puenktlich

Alternative Zugverbindungen
www.bahn. de/echtzeitinfo

Mobile Auskünfte und Ticketbuchung über Ihr Handy oder iPad
www.bahn.de/mobil

Für Rückfragen stehen wir Ihnen gerne zur Verfügung
(täglich von 07:30 bis 21:00 Uhr):

DB Vertrieb GmbH
Online-Vertrieb
Postfach 60 05 04
D-22205 Hamburg

E-Mail: fahrkartenservice@bahn. de
Telefon: 0 18 05 / 10 11 11*
*14 ct/Min. aus dem Festnetz, Tarif bei Mobilfunk max. 42 ct/Min.

Wir wünschen Ihnen eine gute Reise.

Mit freundlichen Grüßen
Ihr Team von bahn. de

DB Vertrieb GmbH
Stephensonstraße 1
60326 Frankfurt am Main

Handelsregister B des Amtsgerichts Frankfurt am Main
HRB 79808
Ust-IdNr.: DE 814160246

Die DB Vertrieb GmbH wird vertreten durch die Vorsitzende der Geschäfts-
führung Frau Birgit Bohle, den Geschäftsführer Finanzen & Controlling
Herrn Ulrich Jäkel und den Geschäftsführer Personal Herrn Ottmar Netz.”

Natürlich hat mein Virenscanner sofort ALARM geschlagen, den zu dem netten Fahrkartenkauf gab es gleich einen hübschen Trojaner dazu:
Trojan-Ransom.Win32.Blocker.beqq

Die Familie Trojan-Ransom.Win32.Blocker ist ein klassisches Beispiel für Erpressungs- und Betrugs-Malware. Bei der Installation auf dem Computer schreiben sich Schädlinge dieser Art in den Autostart, den Registry-Key WinlogonParameter Userinit, wodurch der Start des Betriebssystems blockiert wird. Sobald die Schädlinge die Kontrolle über den Start des Betriebssystems erlangt haben, öffnet sich ein Fenster, in dem der Anwender aufgefordert wird, eine SMS mit einem bestimmten Text an eine bestimmte Kurznummer zu senden. Im Gegenzug wird dem User die Übermittlung eines Codes versprochen, mit dessen Hilfe das Schadprogramm unschädlich gemacht und der Start des Computers entblockt werden soll. Bis zur Entfernung dieses Tools ist der PC dann leider nicht mehr zu gebrauchen.

Naja, so dramtisch ist das nicht, sollte also jemand die Mail oder besser gesagt den Anhang von der Bahn schon geöffnet haben, der wäre dann bei uns richtig aufgehoben.