Polska policja zablokowała komputer Komorowski blokada Ukash wirus weelsof – jak żyć?! - siwy - 16 lutego 2014

Polska policja zablokowała komputer, Komorowski, blokada Ukash, wirus weelsof – jak żyć?!

16 lutego 2014 - 16:47 - siwy

Można by zacząć ten wpis od zwrotu jak zwał tak zwał. Określeń na ten irytujący typ infekcji jest wiele. Samych wariacji tego ustrojstwa też jest kilkanaście. Ale generalnie chodzi o to samo: wyłudzanie pieniędzy przez zastraszanie i utrudnienie dostępu do komputera. Zacznijmy jednak od początku. Przychodzi taki moment kiedy włączamy komputer i zamiast pulpitu ukazuje nam się biała plansza. Na tej planszy dostajemy informacje jakoby nasz system został zablokowany przez policje i aby go odblokować musimy zapłacić spore pieniądze. W tym wpisie postaram się podać kilka sposobów jak usunąć tego wirusa oraz jakie kroki podjąć aby taka sytuacja się już nie powtórzyła.

Słynna biała plansza


(Nie używamy programu Combofix).


Istnieje kilka sposobów aby pozbyć się policyjnego wirusa, żaden z nich nie jest zbyt łatwy dla przeciętnego użytkownika, dlatego zawsze można oddać komputer w ręce wyspecjalizowanej osoby. Ale jeśli ktoś chce oszczędzić kilka groszy to warto poświęcić chwilę i powalczyć. Zanim jednak przejdziemy do usuwania podam kilka złotych zasad:


Pod żadnym pozorem nie należy płacić za zdjęcie blokady kilkuset złotych.
To zwykłe wyłudzanie pieniędzy i nawet nie warto się bawić w płacenie celem uzyskania kodu odblokowującego.


Nie należy używać programu Combofix.
Wbrew temu co pisze wiele źródeł nie zaleca się używania tego programu! Co prawda w pewnych okolicznościach poradzi on sobie z infekcją, ale Combofix jest bardzo inwazyjny i przy procesie dezynsekcji może przewrócić nam system do góry nogami. Sam autor programu nie zaleca jego używania osobom nieobeznanym. Dla wszystkich upartych dalsze uzasadnienie znajdzie się pod koniec tekstu.


Zachowajmy spokój.


Usuwanie:
Pierwszym sposobem na usunięcie blokady jest skorzystanie z narzędzia Kaspersky WindowsUnlocker zintegrowanego na płycie Kaspersky Rescue Disk.
Kompleksowy opis narzędzia znajduje się tutaj:
http://support.kaspersky.com/pl/viruses/disinfection/8005#block2

Jest to oficjalny poradnik od twórców antywirusa. Nie da się dodać nic więcej. Podziękowania dla polskiej ekipy za tłumaczenia tej ogromnej bazy wiedzy. 

Drugim sposobem jest zrobienie zestawu logów (obecnie służą do tego programy m.in. FRST czy OTL) i dostarczenie ich na wyspecjalizowane forum. Sprawę utrudnia fakt, że często nasza policyjna blokada odcina również dostęp do trybu awaryjnego, dlatego wtedy logi musimy zrobić z zewnątrz. Jak to uczynić? Mówi o tym np. ten poradnik:
http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/


Kilka polecanych for gdzie możemy dać logi do sprawdzenia:
http://www.fixitpc.pl/forum/38-dzia%C5%82-pomocy-dora%C5%BAnej/ (Picasso)
http://forum.dobreprogramy.pl/forum/15-bezpiecze%C5%84stwo/
http://forum.instalki.pl/bezpieczenstwo-f22.html

Jakieś propozycje jeszcze?


Trzecim i najlepszym sposobem na uniknięcie kłopotu z blokadą jest zadbanie o kwestie bezpieczeństwa w systemie, a to z kolei będzie skutkować uniknięciem tego rodzaju infekcji.


Ochrona:
Blokada ukash (jak błędnie określają ją ludzie) przedostaje się najczęściej do naszego systemu poprzez luki w oprogramowaniu. Dlatego musimy zadbać o to, aby nasze oprogramowanie i przeróżne wtyczki były w najnowszej wersji.
Poniżej lista rzeczy ważnych z punktu widzenia bezpieczeństwa systemu:

  • Przeglądarki internetowe (łącznie z Internet Explorerem – nawet jeśli z niego nie korzystamy).
  • Klient poczty
  • Flash Playery*/ Adobe Shockwave Player/Silverlight
  • Java
  • Czytnik PDF (np. Adobe Reader)


Warto zajrzeć do Windows Update i tam załatwić kwestie aktualizacji naszego systemu. Warto także po pozbyciu się tego złośliwego wirusa dać logi na specjalistyczne forum (obojętnie jaką metodą go usunęliśmy). Ponieważ lepiej będzie jeśli będziemy mieli pewność, że nasz system jest całkowicie czysty i wolny od infekcji.

*Gwiazdka: Flash playery muszą być co najmniej dwa, osobny dla Internet Explorera (active X) i dla reszty przeglądarek (wyjątkiem jest tu Google Chrome, który Flasha ma wbudowanego).


Combofix ciąg dalszy…
Na początku skoczyłem na program Combofix, więc przydałoby się konkretniej wypunktować dlaczego nie poleca się tego narzędzia:

  • Combofix jest bardzo mocno ingerującym narzędziem. Jego uruchomienie może się skończyć awarią systemu (szczególnie na to narażeni są właściciele zmodyfikowanych systemów).
  • Combofix to nie jest uniwersalny skaner na wszystko.
  • Combofix jest za „ciężki”. Do to tej czynności są lepsze, szybsze i przyjemniejsze alternatywy dla niego.

Także bardzo bym prosił aby wieść gminna rozniosła o tym, żeby nie polecać tego programu niedoświadczonym użytkownikom. Oczywiście znajdzie się cały chór ludzi, którzy powiedzą „ale siwy ty jesteś jakiś głupi, ja używam combofixa od zarania dziejów i nic się nie stało”. Co ja na to? No cóż… Jeśli ktoś próbuje być mądrzejszy niż sam autor programu to niech sobie go używa do woli, ale na swoim sprzęcie. Patrząc na potęgę i rozrzut programu, przyjdzie taki dzień, że on zawiedzie, a jego nieświadomi użytkownicy zostaną sami ze swoimi mądrościami.

 

Jak widać ten typ wirusa (znany w środowisku nerdów jako ransomware) przybiera różne formy i dopada także naszych sąsiadów za granicą, a właściwie tam się to zaczęło. Przez tą infekcje swoją reputacje straciła usługa Ukash (służąca do transferu pieniędzy), to właśnie od jej nazwy wzięło się błędne określenie tego wirusa. Jak pokazuje wiele przypadków z różnych for polskich i zagranicznych blokadzie policyjnej nie dał rady żaden antywirus. To idealny dowód na to, aby zacząć kłaść nacisk na inne kwestie ochrony systemu niż tylko dobry program AV.


Suplement(nerd edyszyn).
Zasada działania rzeczonego ransomware jest bardzo prosta. Wirus podpina pod powłokę systemu plik, który startuje razem z procesem Explorer.exe. W ten sposób przy próbie załadowania pulpitu widzimy plansze, która blokuje nam dostęp do wszystkiego. W zależności od konkretnej odmiany infekcji zablokowany zostaje menedżer zadań czy tryb awaryjny. Wczesne wersje tego wirusa ładowały się tylko do autostartu, zatem ich usuwanie było nieco prostsze. Teraz już nie jest tak kolorowo. I choć weelsof jest praktycznie nie groźny to potrafi sparaliżować nasz system operacyjny.


Wystąpili:
Weelsof i przyjaciele.
Zdjęcia (podziękowania dla Google grafiki, sophos.com i wp.pl).
Muzyka (album ATB – No Silence, który towarzyszył mi podczas pisania tego tekstu. Polecam.)

Zapraszam także do polubienia mojej strony na Facebooku i śledzenia moich wpisów na tweeterze… Zaraz…. Przecież ja nie mam FB ani tego drugiego... To jak? A to dobra, zapraszam w takim razie do komentowania i dzielenia się uwagami.

Komentarze czytelników

dodaj swój komentarz
dodaj swój komentarz

Darth Mario

Darth Mario  2014-02-16 - 17:43

Miałem z rok temu, było trochę paniki, ale dałem radę. Przede wszystkim policyjne okienko wyskakuje (chyba, że coś się zmieniło) w przypadku gdy jesteśmy połączeni z siecią - wyjęcie kabelka z obudowy dało mi trochę większe pole manewru. Przeszedłem do trybu awaryjnego, ściągnąłem najnowszą wersję Malwarebytes i aktualizację bazy (miałem go na dysku, ale kompletnie o nim zapomniałem, więc miał mocno nieaktualną bazę). Potem na "żywym" systemie odłączonym od sieci puściłem po prostu skan i wywaliłem większość tego syfu. Trzeba było przeskanować jeszcze z raz czy dwa i użyć zwykłego antywirusa żeby odpicować system na 100%, ale dało radę bez karkołomnych sztuczek. Jeżeli jednak nowa wersja blokuje tryb awaryjny - nieciekawie, bez wcześniejszego zabezpieczenia się na wypadek wojny użytkownik ma mocno związane ręce. Artykuł jak zwykle pomocny, do zakładek poszło kilka przydatnych (odpukać) linków :)

Eredin  2014-02-16 - 17:55

Raz udało mi się wejść do trybu awaryjnego - niestety zamiast zrobić co należy (przeglądanie i kasowanie wpisów w rejestrze) zresetowałem laptopa i już nie dało rady powtórzyć tego manewru. Sprzęt był znajomej, miała już płacić na konto "policji" ale uświadomiłem ją - ostatecznie informatyk wziął 40zł. Ponoć jeszcze nie widział tak zawirusowanego komputera.

SlyCooper

SlyCooper  2014-02-16 - 17:58

Cyberprzestępczość Department lol Kumpel miał taką sytuacje że wyskoczyło mu okno z Komorem bo przeglądał ekhm pewne strony i go musiałem uspokajać że to nic takiego i że sie ma nie przejmować. Jak później widział policje w pobliżu swojego domu to miał kilo w spodniach.

hanys94

hanys94  2014-02-16 - 18:42

Ja jedyny raz spotkałem się z "polską policją" w szkolnej bibliotece - wiadomo: mnóstwo ludzi korzysta z tych komputerów. Ale jakoś się z tym ci nasi informatycy uporali.

Rewo

Rewo  2014-02-16 - 20:23

Miałem to rok temu, naprawione w 10min z poradnikiem z wp.pl :)

Horus3210  2014-02-16 - 22:05

Mnie raz wyskoczyło ale miałem przeglądarkę w trybie incognito i po zresetowaniu kompa po wirusie nie było śladu

Sasori666

Sasori666  2014-02-16 - 22:08

Ja nie dawno miałem tego wirusa z "polizją" Byłem zdziwiony że ESET go nie wykrył, zrobiłem format i jest ok :)

phase83

phase83  2014-02-17 - 15:39

Myślałem, że ta stronka wyskakuje w przypadku, wchodzenia na strony porno. Tylko skąd pojawił się u mojej siostry na lapie? Nie ważne. Dzwoni do mnie i mówi: "no wyskoczyła mi ta strona z policja itd., zrobiłam hard reset i lapek działa normalnie". Kiedy ja miałem z nią problem, zrobiłem dokładnie to co ona. Później skan Malwarebytes. Podobnie jak Sasori byłem zaskoczony, że ESET nic nie wykrył.

siwy346

siwy346  2014-02-17 - 17:26

Malutkie uzupełnienie: Oczywiście Malwarebytes nadaję się do tego, jest bardzo dobry program, który szczerze polecam. Jednak nadaje się tylko wtedy kiedy mamy odmianę nie blokującą tryby awaryjnemu. Malwarebytes dostanie porządny osobny artykuł, mam plany żeby to był mały FAQ(albo coś w tym stylu, czekam tylko na stabilne wydanie wersji 2.0 i chwilkę czasu.

Cybermaster  2014-02-18 - 23:19

Kiedyś tego wirusa miał mój sąsiad. Poprosił mnie o pomoc. To była wredna wersja z blokadą na wszystko, łącznie z trybem awaryjnym. W końcu zrobiłem przywrócenie z kopii zapasowej Windows i wirus zniknął. Potem przytrafiło się to kolejnemu sąsiadowi, zastosowałem tą samą metodę naprawy z równie pozytynym skutkiem (5 min. i po sprawie).

Vip2ouT  2014-05-22 - 09:37

miałem też tego je*anego wirusa i pomugł CCliner :)


dodaj swój komentarz
dodaj swój komentarz