Można by zacząć ten wpis od zwrotu jak zwał tak zwał. Określeń na ten irytujący typ infekcji jest wiele. Samych wariacji tego ustrojstwa też jest kilkanaście. Ale generalnie chodzi o to samo: wyłudzanie pieniędzy przez zastraszanie i utrudnienie dostępu do komputera. Zacznijmy jednak od początku. Przychodzi taki moment kiedy włączamy komputer i zamiast pulpitu ukazuje nam się biała plansza. Na tej planszy dostajemy informacje jakoby nasz system został zablokowany przez policje i aby go odblokować musimy zapłacić spore pieniądze. W tym wpisie postaram się podać kilka sposobów jak usunąć tego wirusa oraz jakie kroki podjąć aby taka sytuacja się już nie powtórzyła.
(Nie używamy programu Combofix).
Istnieje kilka sposobów aby pozbyć się policyjnego wirusa, żaden z nich nie jest zbyt łatwy dla przeciętnego użytkownika, dlatego zawsze można oddać komputer w ręce wyspecjalizowanej osoby. Ale jeśli ktoś chce oszczędzić kilka groszy to warto poświęcić chwilę i powalczyć. Zanim jednak przejdziemy do usuwania podam kilka złotych zasad:
Pod żadnym pozorem nie należy płacić za zdjęcie blokady kilkuset złotych.
To zwykłe wyłudzanie pieniędzy i nawet nie warto się bawić w płacenie celem uzyskania kodu odblokowującego.
Nie należy używać programu Combofix.
Wbrew temu co pisze wiele źródeł nie zaleca się używania tego programu! Co prawda w pewnych okolicznościach poradzi on sobie z infekcją, ale Combofix jest bardzo inwazyjny i przy procesie dezynsekcji może przewrócić nam system do góry nogami. Sam autor programu nie zaleca jego używania osobom nieobeznanym. Dla wszystkich upartych dalsze uzasadnienie znajdzie się pod koniec tekstu.
Zachowajmy spokój.
Usuwanie:
Pierwszym sposobem na usunięcie blokady jest skorzystanie z narzędzia Kaspersky WindowsUnlocker zintegrowanego na płycie Kaspersky Rescue Disk.
Kompleksowy opis narzędzia znajduje się tutaj:
http://support.kaspersky.com/pl/viruses/disinfection/8005#block2
Jest to oficjalny poradnik od twórców antywirusa. Nie da się dodać nic więcej. Podziękowania dla polskiej ekipy za tłumaczenia tej ogromnej bazy wiedzy.
Drugim sposobem jest zrobienie zestawu logów (obecnie służą do tego programy m.in. FRST czy OTL) i dostarczenie ich na wyspecjalizowane forum. Sprawę utrudnia fakt, że często nasza policyjna blokada odcina również dostęp do trybu awaryjnego, dlatego wtedy logi musimy zrobić z zewnątrz. Jak to uczynić? Mówi o tym np. ten poradnik:
http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/
Kilka polecanych for gdzie możemy dać logi do sprawdzenia:
http://www.fixitpc.pl/forum/38-dzia%C5%82-pomocy-dora%C5%BAnej/ (Picasso)
http://forum.dobreprogramy.pl/forum/15-bezpiecze%C5%84stwo/
http://forum.instalki.pl/bezpieczenstwo-f22.html
Jakieś propozycje jeszcze?
Trzecim i najlepszym sposobem na uniknięcie kłopotu z blokadą jest zadbanie o kwestie bezpieczeństwa w systemie, a to z kolei będzie skutkować uniknięciem tego rodzaju infekcji.
Ochrona:
Blokada ukash (jak błędnie określają ją ludzie) przedostaje się najczęściej do naszego systemu poprzez luki w oprogramowaniu. Dlatego musimy zadbać o to, aby nasze oprogramowanie i przeróżne wtyczki były w najnowszej wersji.
Poniżej lista rzeczy ważnych z punktu widzenia bezpieczeństwa systemu:
Warto zajrzeć do Windows Update i tam załatwić kwestie aktualizacji naszego systemu. Warto także po pozbyciu się tego złośliwego wirusa dać logi na specjalistyczne forum (obojętnie jaką metodą go usunęliśmy). Ponieważ lepiej będzie jeśli będziemy mieli pewność, że nasz system jest całkowicie czysty i wolny od infekcji.
*Gwiazdka: Flash playery muszą być co najmniej dwa, osobny dla Internet Explorera (active X) i dla reszty przeglądarek (wyjątkiem jest tu Google Chrome, który Flasha ma wbudowanego).
Combofix ciąg dalszy…
Na początku skoczyłem na program Combofix, więc przydałoby się konkretniej wypunktować dlaczego nie poleca się tego narzędzia:
Także bardzo bym prosił aby wieść gminna rozniosła o tym, żeby nie polecać tego programu niedoświadczonym użytkownikom. Oczywiście znajdzie się cały chór ludzi, którzy powiedzą „ale siwy ty jesteś jakiś głupi, ja używam combofixa od zarania dziejów i nic się nie stało”. Co ja na to? No cóż… Jeśli ktoś próbuje być mądrzejszy niż sam autor programu to niech sobie go używa do woli, ale na swoim sprzęcie. Patrząc na potęgę i rozrzut programu, przyjdzie taki dzień, że on zawiedzie, a jego nieświadomi użytkownicy zostaną sami ze swoimi mądrościami.
Jak widać ten typ wirusa (znany w środowisku nerdów jako ransomware) przybiera różne formy i dopada także naszych sąsiadów za granicą, a właściwie tam się to zaczęło. Przez tą infekcje swoją reputacje straciła usługa Ukash (służąca do transferu pieniędzy), to właśnie od jej nazwy wzięło się błędne określenie tego wirusa. Jak pokazuje wiele przypadków z różnych for polskich i zagranicznych blokadzie policyjnej nie dał rady żaden antywirus. To idealny dowód na to, aby zacząć kłaść nacisk na inne kwestie ochrony systemu niż tylko dobry program AV.
Suplement(nerd edyszyn).
Zasada działania rzeczonego ransomware jest bardzo prosta. Wirus podpina pod powłokę systemu plik, który startuje razem z procesem Explorer.exe. W ten sposób przy próbie załadowania pulpitu widzimy plansze, która blokuje nam dostęp do wszystkiego. W zależności od konkretnej odmiany infekcji zablokowany zostaje menedżer zadań czy tryb awaryjny. Wczesne wersje tego wirusa ładowały się tylko do autostartu, zatem ich usuwanie było nieco prostsze. Teraz już nie jest tak kolorowo. I choć weelsof jest praktycznie nie groźny to potrafi sparaliżować nasz system operacyjny.
Wystąpili:
Weelsof i przyjaciele.
Zdjęcia (podziękowania dla Google grafiki, sophos.com i wp.pl).
Muzyka (album ATB – No Silence, który towarzyszył mi podczas pisania tego tekstu. Polecam.)
Zapraszam także do polubienia mojej strony na Facebooku i śledzenia moich wpisów na tweeterze… Zaraz…. Przecież ja nie mam FB ani tego drugiego... To jak? A to dobra, zapraszam w takim razie do komentowania i dzielenia się uwagami.