Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

500 zł dla twórców wirusa, raz proszę

Ostatnio spotkałem się z ransomware - jest to grupa wirusów, która blokuje dostęp do zainfekowanego komputera wyświetlając jedynie komunikat o żądaniu okupu za nasz sprzęt.

Weelsof (tak zwie się ten konkretny wirus) zagnieździł się w komputerze mojego kuzyna z systemem Windows XP na pokładzie. Działanie wirusa jest bardzo proste. Otóż Weelsof po zainfekowaniu wprowadza kilka zmian w rejestrze, a następnie wyłącza proces Explorera i wyświetla swoje żądania.

Jeśli pierwszy raz widzimy tego wirusa można się naprawdę przestraszyć. Komunikat został opatrzony logiem policji, a w informacji powołuje się na nowe przepisy ustawy z 02.01.2012. Oczywiście taka ustawa nie istnieje.

Prócz Polski, podobne przypadki miały miejsce w Austrii, Finlandii, Niemczech, Belgii, Francji, Grecji, Włoszech, Holandii, Portugalii, Hiszpanii i Szwecji. Poprzednia wersja wirusa prosiła o kod UKASH na 100 euro, natomiast teraz w Polsce wirus prosi o kod na 500 zł.

Moim zdaniem najskuteczniejszym, ale i najbardziej radykalnym krokiem na pozbycie się malware, jest sformatowanie komputera przy użyciu oryginalnego systemu Windows, a jeśli przechowujemy na komputerze jakieś ważne dane, można podpiąć do niego pendriva z dowolną dystrybucją linuxa i przekopiować pliki na zewnętrzny nośnik.

Drugą metodą, ale nie zawsze skuteczną, jest wygenerowanie kodu UKASH, a następnie wpisanie go w miejsce do tego przeznaczone. Wirus nie sprawdza całego kodu tylko kilka pierwszych cyfr. Poza tym, Weelsof ważność kodu sprawdza łącząc się z serwerem, więc po wygenerowaniu kodu należy odłączyć komputer od sieci. Nie zawsze ta metoda skutkuje, ale jeśli zadziała, Weelsof wykonuje odwrotne czynności niż przy instalacji.

Mam nadzieję, że po przeczytaniu tego (krótkiego, lecz mam chyba treściwego) wpisu, wszyscy już będą wiedzieć jak postępować z tym konkretnym przypadkiem. Nigdy nie płaćcie okupu, bo to tylko bardziej motywuje twórców ransomwere do tworzenia nowych wersji tego złośliwego oprogramowania. Pozdrawiam, Banan =) 

windows bezpieczeństwo porady

Komentarze

0 nowych
  #1 04.07.2012 12:42

Takich "wirusów" jest pełno. U mnie kiedyś zainstalował się fałszywy antywirus "presonal shiedel pro". Na szczęście jego działanie ograniczało się do jednego użytkownika i spokojnie go usunąłem.

Triniti888   5 #2 04.07.2012 13:27

Ja bym jeszcze pobrał antywirus, który jest bootowalny z LiveCD, uruchomił komputer i przeskanował. Ciekawe, czy coś by wykrył. Jeszcze dodając p.s nie spotkałem się osobiście z takim wirusem tak u siebie, jak i u moich znajomych.

LordRuthwen   5 #3 04.07.2012 13:38

Są zbyt chciwi, jakby tam było 20 zł, np na zabezpieczenie czegoś tam, to większość zwykłych zjadaczy chleba by im zapłaciła dla świętego spokoju, bo przecież 20 zł to nie majątek.
Byłyby mniejsze ale częstsze wpływy, więc suma powinna być większa.

  #4 04.07.2012 14:26

Hm.. najlepiej zapobiegać niż leczyć tj. używać jakiegoś av, zapory.
No i co ważne, nie używać piratów, bo warezy, torrenty i inne tego typu shity (chodzi mi o pobieranie nielegalnych rzeczy) to istne "wylęgarnie" syfów tego typu.

Jaahquubel_   12 #5 04.07.2012 16:38

@LordRuthwen
O tym samym pomyślałem.

  #6 04.07.2012 18:16

@Jaahquubel_
@LordRuthwen
Przedsiębiorczy jesteście. Tworzymy własną wersję? :)

LordRuthwen   5 #7 04.07.2012 22:27

hyyyyy :)

  #8 04.07.2012 23:40

Formatowanie dysku z powodu takiej pierdoły to oznaka słabości. Nie lepiej to usunąć? CERT chociażby podaje prosty sposób.

WooQash   8 #9 04.07.2012 23:55

Co z tego, że byśmy wklepali ten kod skoro wirus nadal siedziałby w naszym komputerze, bo nie wierzę, że sam by się usunął.

djDziadek   16 #10 05.07.2012 00:03

@Banan - jak Cię nie pukną na Alledrogo, to wrzucają Ci ostre śmieci na kompa...
Rozumiem prawo serii, ale żeby aż tak :)
No dobra, szydera była, czas na powagę...
Często ludzie łapią się na takie sztuczki, podobnie jak na oprogramowanie typu: "skaner wydajności" lub bardzo podobnie brzmiące sprawy, Myślenie i jeszcze raz myślenie, pozwala zaoszczędzić grosz i przysparza wiary w siebie :)

  #11 05.07.2012 07:36

Nie trzeba nic formatować tylko poszperać po zagranicznych serwisach szczególnie niemieckich gdzie znalazłem dokładny opis jak usunąć ;) Ponadto spotkałem się rożnymi odmianami i nie każda blokuje komputer ze nie da się go używać ;)

Banan   10 #12 05.07.2012 08:31

@krj

Dlatego napisałem tutaj o formacie ponieważ wtedy możemy być pewni, że wirus zostanie na 100% usunięty. Podałem również ten sposób dlatego, że gdy zobaczyłem co mój kuzyn ma na komputerze (jeden wielki syf) uznałem, że sztuką jest złapać takiego wirusa i komputery z nim mają tysiące innych zagrożeń na dysku. Są jeszcze inne sposoby np. ten, który podaje @Triniti888 albo uruchomienie komputera w trybie awaryjnym z funkcją wiersza poleceń i ręczne usuwanie.

@WooQash

Z tego co wiem ktoś tam prześwietlał tego wirusa (jakaś firma zajmująca się tym) i doszli do tego, że wirus całkowicie usuwa się z komputera przeprowadzając proces odwrotny do instalacji. Przynajmniej na tym polu twórcy są uczciwi, bo uznali, że jak ktoś zapłaci im tyle kasy to czas zwijać interes - przynajmniej ja tak to rozumiem.

@djDziadek

Wystarczy, czytać i jeszcze raz czytać uważnie:

"Weelsof [...] zagnieździł się w komputerze mojego kuzyna"

Ja siedzę przede wszystkim na linuxie (teraz Netrunner) i nigdy nie pozwolił bym doprowadzić mój komputer do takiego stanu - Windowsa używam sporadycznie.

Autor edytował komentarz.
gufi4   4 #13 05.07.2012 10:00

ostatnio miałem podobnego u sąsiada i usunąłem bez formatowania :) wywaliłem go z poziomu trybu awaryjnego :)

Shaki81 MODERATOR BLOGA  37 #14 05.07.2012 10:28

He he, kilka dni temu znajmy przyniósł mi laptopa z identycznym ekranem. Rozwiązanie okazało się proste jak drut. W trybie awaryjnym komputer odpalił się bez problemów, zrobiłem więc przywracanie systemu do dnia z przed pojawienia się wirusa. Następnie wyczyściłem rejestr, przeskanowałem Avastem, który znalazł jakieś ustrojstwo, restart i komp śmiga. Dla pewności na koniec przeskanowałem kompa Malwarebytes Anti-Malware, który znalazł jeszcze jednego dziada i wszystko działa OK.

Druedain   13 #15 05.07.2012 11:26

Hmmm… No wirus, ale…

Od du*y strony podejście. Jeśli komuś instaluje się coś w tym stylu, to problem jest gdzie indziej. Przede wszystkim kuzyn powinien zainstalować sobie Win7 / jakiegoś Linuksa / kupić Maca, bo WinXP jest po prostu stary i był inaczej projektowany, gdzie samo podłączenie do internetu świeżego systemu, często kończy się masą robali po 5 minutach (a nawet jeśli system aktualizowany, i tak wsparcie techniczne MS dla wycofywanych technologii nie jest równoważne wsparciu technicznemu technologii aktywnie rozwijanych / utrzymywanych). Następnie powinien zrobić sobie solidny rachunek sumienia skupiając się na tym jakie strony internetowe odwiedza (nawet jak jakieś złe i kosmate (nie wiem ale w końcu to też rzecz ludzka), to przecież nie trzeba od razu wchodzić na jakieś ruskie lewe strony pełne syfu). Po trzecie powinien zainstalować / zmienić antywirusa i do używanej przeglądarki doinstalować sobie WOT http://www.dobreprogramy.pl/Druedain/Bezpieczenstwo-WOT-Web-of-trust,34168.html .

Nie zrozum mnie źle @Banan, bo uważam, że to może być dla niektórych bardzo przydatny poradnik, jednak jak wielu często pisze: problem istnieje między klawiaturą, a monitorem. Weź kuzyna, każ mu się wygodnie rozsiąść i go uświadom. Jeśli się nie przekona, to go następnym razem przeproś i odmów pomocy…

Autor edytował komentarz.
Banan   10 #16 05.07.2012 11:32

@Druedain

Ja ciebie bardzo dobrze rozumiem =) Właśnie próbuję go zachęcić do linuxa, żeby nie zbierał tyle śmieci. Jego komputer nie pociągnie żadnego nowszego systemu z rodziny Windows i teraz jest to sytuacja przejściowa, bo lada dzień zamierza kupić nowy komputer.

WooQash   8 #17 05.07.2012 11:39

Widzę, że nadal rośnie hipoteza, że Linux jest lepszy od wszystkiego.

Banan   10 #18 05.07.2012 12:09

@WooQash

Czy ja mówię, że jest lepszy? Po prostu lepiej zainstalować na wiekowym komputerze świeżego linuxa niż starego XP-ka, bo nowszego Windowsa tamten sprzęt nie pociągnie. Ale tak czy siak kuzyn ma nadal XP - za niedługo zmienia komputer więc nie martwię się.

Druedain   13 #19 05.07.2012 13:24

@WooQash Z pewnością maleje umiejętność czytania ze zrozumieniem wśród internautów, nieprawdaż?

  #20 06.07.2012 12:55

A czy nie wystarczyłoby po prostu ubić proces, odpalić explorera i po odnalezieniu exeka wyrąbać go w kosmos? (potem jeszcze oczywiście znormalizować te wpisy rejestru) albo napisać kawałek skryptu .bat który by ubijał proces wirusa i odpalał explorera?

@WooQash: aja nigdzie tu nie widzę wpisu typu "linux jest najlepszy bo nima wirusów", tylko taki, że XP jest przestarzały, bezpieczeństwo u niego z założenia leży, a MS(kochany MS) ma go gdzieś i daje poprawki na odczepnego
Pozdrawia zły Linuxowy troll Ryśkuu

soanvig   9 #21 06.07.2012 13:57

Na Linuxa nie ma wirusów tylko dlatego, że jest za mało popularny. To moje zdanie i nie musicie się z nim zgadzać.
@Ryśkuu
Mocne wirusy napisane przez znających się na rzeczy programistów są niewyłączalne z procesów. BTW, spróbuj np. Avasta wyłączyć za pomocą procesów - nie da się :) Tego typu zarażenia usuwa się za pomocą trybu awaryjnego, gdzie wirus nie uruchomi się i nie zablokuje do siebie dostępu. Gorzej, jeśli wirus zainfekował też pliki trybu awaryjnego... A najczęstszą winą posiadania wirusów jest nieaktualizowanie systemu. Na niezaktualizowany system nawet antywirus może nie pomóc.

soanvig   9 #22 06.07.2012 14:02

W ostateczności gdy się posiada bardzo poważny wirus (ja taki miałem co wyłączał wszystkie procesy - uruchamiam przeglądarkę - wyłącza się z powodu błędu, uruchamiam Avast - wyłącza się. W trybie awaryjnym to samo. Tylko Kaspersky trial, który szcześliwie miałem, się nie wyłączał. Wykrywał wirus, ale nie umiał go usunąć. Odpaliłem w końcu Combofixa, jako ostatnia nadzieja przed formatem i naprawił mi system. Oczywiście infekcja nastąpiła po ściągnięciu pliku typu keygen/crack jeszcze zanim zainstalowałem antywirusa, zanim zaktualizowałem XP (bo to było świeżo po formacie). Dopiero po uruchomieniu go zainstalowałem antywirus, a po ponownym uruchomieniu komputera wirus się uaktywnił. Dlatego teraz na tego typu pliki strasznie uważam i jeśli jest to plik tymczasowego uruchomienia (np. keygen, który przecież odpalę tylko raz) to uruchamiam go w sandboxie

W_tym_temaciE   5 #23 07.07.2012 00:04

@Banan
Nowy komp, nie rozwiąże problemu, może go pogłębić...
Zakładając, że Twój kuzyn używa niezbyt legalnego oprogramowania (gry, PS itd), to na nowym kompie, będzie zapewne pobierał więcej gier itd.
BTW, ważniejsza jest inna sprawa - uświadomiłeś go, żeby nie kupował gotowców ;) ?

Banan   10 #24 07.07.2012 01:03

@W_tym_temaciE

Nie martw się wszystko mu wytłumaczyłem jak tylko potrafiłem najlepiej.

Autor edytował komentarz.
fiesta   14 #25 08.07.2012 21:52

"Dlatego napisałem tutaj o formacie ponieważ wtedy możemy być pewni, że wirus zostanie na 100% usunięty."

Tak jasne ...

A od czego na forum jest dział Bezpieczeństwo ??

  #26 09.07.2012 11:10

Tryb awaryjny http://www.dobreprogramy.pl/HijackThis,Program,Windows,12030.html i po sprawie.
Żadne formatowanie.

  #27 13.07.2012 13:17

to nie są żarty i żadne strony pornograficzne. złapałam tego wirusa przeglądając zwyczajne strony i nie klikając w żadne dziwne linki ani nie ściągając nic na komputer. Po prostu to fakt, dawno nie aktualizowałam systemu.

  #28 09.09.2012 12:39

Miałem podobny i Chyba się z nim uporałem w trybie awaryjnym wszedłem w start , uruchom wpisałem msconfig i odtworzyło się okno narzędzie konfiguracji systemu potem klikłem na uruchamiane i wyłączyłem Vport zastosuj i ok uruchom komputer ponownie
po uruchomieniu usunąłem plik C:\Program Files\AVG ważne jest aby opróżnić kosz
Tak było w moim przypadku i zadziałało dodam jeszcze że antywirus NOD i comboFix nie uporał się z nim

  #29 04.10.2012 22:31

Mi osobiście w tej sytuacji pomogło uruchomienie w trybie awaryjnym, HitMan (skanowaniei usunięcie malware), ponowne uruchomienie w trybie normalnym i wyczyszczenie resztek.

  #30 23.10.2012 23:26

mi tak samo wyskoczył i pisało na dole zapłać 300 zł i była luka i ok nacisnąłem ok i czy teraz bede musiał zapłacić ale jak nawet nie mam konta internetowego .prosze o odpowiedz bo nie wiem co mam robic??

  #31 07.11.2012 20:38

nieprawda ze oryginale oprogramowanie jest odporne na zainfekowane Moja kobieta ma oryginalnego windowsa 7 i ja pierwsza dopadł ten syfik na szczescie juz wszystko ok

  #32 20.11.2012 00:27

za każdym razem na tego wirusa działa combofix. Ale to jest program - atomówka, więc może usunąć też jakieś "normalne" aplikacje z kompa. Wirusa na pewno usuwa!