Komputer został zablokowany z powodu naruszenia prawa polskiego.. czyli modny ransomware w sieci

///Komputer został zablokowany z powodu naruszenia prawa polskiego.. czyli modny ransomware w sieci

Komputer został zablokowany z powodu naruszenia prawa polskiego.. czyli modny ransomware w sieci

UWAGA! Ujawniły następujące naruszenia: pobierz pornografia dziecięca i blablabala …

[ad#ad-1]

jak widzimy aplikacje ransomware stają sie coraz bardziej modne. Na czym to polega? ano zablokowaliśmy Ci komputer, bo grzebałeś tam, gdzie nie trzeba. Teraz zapłać nam 500zł to odblokujemy Ci komputer. Słyszałem o tym już w drugim kwartale 2012 roku, ale nie podchodziłem do tematu serio. Nie myślałem, że ktokolwiek może nabrać się na tak idiotyczną zagrywkę, dopóki nie zadzwonił do mnie znajomy Pan w wieku 70+ z podobnym problemem,paniką w głosie i przekonaniem o konieczności uiszczenia opłaty.

Jeśli chcielibyśmy przenieść ten trik poza świat komputerów i internetu,sztuczka mogłaby polegać na wymianie zamków w samochodzie kolegi i zostawienie karteczki z tekstem: „zapłać 500 zł to dam Ci nowe klucze do Twojego auta”

Swoją drogą ciekawe ile przestraszonych osób, szczególnie w starszym wieku, nie posiadającym „informatycznego oparcia” w żadnej osobie, dokonało sfinalizowania transakcji.

Zatem zaczynamy – jako pierwsze działo wystawiłem ComboFix’a uruchomionego w trybie awaryjnym.

Co ciekawe w trybie awaryjnym problem nie występuje – czy to oznaka słabości kodu trojana? Przechodzimy zatem do uruchomienia ComboFix’a.

I pojawia się pierwszy klops – ComboFix nie podjął działań mających na celu usuwanie dowolnej infekcji, czyżby go nie wykrył? W logach także nie widać nic podejrzanego.. Zgodnie z zaleceniami na forum uruchamiam program OTL. Skanowanie –> log –>  wynik, który niewiele mi mówi. Użyłem zatem opcji naprawiania, OTL przeskanował pliki raz jeszcze obiecując podjęcie leczenia po restarcie. A po restarcie co? gucio.

Używam zatem kolejnej metody – bootowalny dysk CD z firmy Kaspersky, który z założenia powinień infekcji zaradzić. Zobaczymy …

Minęły ponad 4 godziny, skanowanie na poziomie 99%… i jest finisz. Czekam na wyniki… Zero zainfekowanych plików. Hmmm.. pewnie to wina starych baz..

Lecę zatem z aktualizacją – 5min, następnie skanowanie od nowa ale tylko obszary startowe oraz katalog C:\Windows – zazwyczaj tutaj siedzą robaczki 🙂  i faktycznie, nie pomyliłem się – dostałem przed chwilą komunikat przy postępie skanowania 1% „Threats have been detected.” . Czekam dalej ..

Tak! 99% i chyba mamy Cię robaczku:

Kaspersky Rescue 10 wykonał usuwanie pliku. Zatem nadchodzi ważna chwila – restartujemy system..

... i JEST! Udało się – uporczywa aplikacja już nie pojawia się przy starcie systemu.

Podsumowując:

Kaspersky Rescue 10 jest w tym przypadku bardzo pomocne, o ile mamy najnowsze bazy. Aby je mieć – musimy podpiąć zainfekowany komputer do sieci Internet. Możemy to zrobić nawet poprzez WLAN – system Kasperskiego (oparty na linux) posiada sterowniki do większości kart WiFi.

 

Użyte metody zostały przybliżone dokładniej na stronie CERT Polska:  http://www.cert.pl/news/5707

 

 

Skomentuj wpis

komentarzy

By | 2012-10-15T15:38:09+00:00 Październik 10th, 2012|Newsy ze świata IT|3 komentarze

About the Author:

3 komentarze

  1. Niepodpisany 27-10-2012 at 21:40

    Widzę, że prawdziwy hacking umiera, a myślenie urywa jaja.
    Sam padłem ofiarą, ale nie siedziałem nad problemem dłużej, niż czas potrzebny na restart do awaryjnego i sprawdzenie w rejestrze jak nazywa się plik wykonywalny syfu i skasowanie wpisu o starcie tegoż. W tym czasie tylko 3 AV z 40 meldowały, że plik jest podejrzany.

  2. pyby 28-10-2012 at 08:50

    Brawo

  3. […] tego typu aplikacjach pisaliśmy już tutaj. źródło: […]

Leave A Comment