Porady dla domu

    Infekcja ransomware Weelsof/Ukash

    Arkadiusz ZakrzewskiPrzez 3 komentarzePrzeczytasz w 4 minuty

    Na Twoim komputerze pojawił się komunikat o zablokowaniu komputera przez Policję? Nie daj się nabrać. Nie przelewaj pieniędzy. To zwykła próba wyłudzenia.

    Na początek słów kilka z czym mamy do czynienia. Ransomware to infekcja, która żąda od użytkownika wpłacenia „okupu” za odblokowanie dostępu do zablokowanego elementu. Ransomware są przeróżne – blokują dostęp do plików, poczty, nośników wymiennych albo jak Weelsof całego komputera.

    Weelsof po raz pierwszy pojawił się w maju, wtedy pojawiły się pierwsze zgłoszenia jeszcze za granicą. Infekcja wtedy żądała okupu w funtach/euro i była spersonalizowana pod inne kraje.

    Krótko po tym pojawiła się polska mutacja Weelsof. Pierwsza wersja nieudolnie przetłumaczona i wciąż z informacją o wpłaceniu 100 euro. Potem kolejne wersje były już dużo lepiej opracowane, opatrzone lepszymi grafikami i żądały opłaty w PLN.

    Więcej o personalizowanych odmianach poczytacie na https://www.abuse.ch/?p=3718

    Tak wygląda okno z monitem o wpłacenie okupu w jednej z ostatnich wersji infekcji:

    Jak się Weelsof pozbyć?

    1. Generator kodu Ukash

    Przygotowany przez CERT Polska generator kodu Ukash znajdziecie pod adresem:
    //cert.pl/tools/genukash.php

    Można spróbować użyć podanego na stronie kodu, wpisać go w monit infekcji i jeśli trafił nam się poprawny kod komputer zostanie odblokowany. Odświeżanie strony z generatorem kodu powoduje generowanie nowych kodów więc spróbujcie kilka razy.

    Do odblokowywania komputera kodem zalecane jest odłączyć go od internetu i dopiero wprowadzać wygenerowany kod. Generator ten radzi sobie bez problemów ze starszymi mutacjami Weelsof, w nowszych kod jest odrzucany.

    Po odblokowaniu komputera kodem zaktualizuj swój program antywirusowy i uruchom pełne skanowanie komputera.

    2. AVG Rescue CD
    Metoda przeznaczona dla zaawansowanych użytkowników!
    Jeśli po przeczytaniu poniższego opisu wiesz, że nie poradzisz sobie z edycją rejestru Windows z poziomu narzędzia ratunkowego AVG to poproś o pomoc kogoś doświadczonego.
    Nierozważnie wprowadzone zmiany mogą doprowadzić do uszkodzenia systemu Windows!

    Pobierz obraz ISO lub wersję do wypakowania na nośnik USB ze strony
    //www.avg.pl/pobierz/avg_rescuecd/avg-rescue-cd

    Uruchom komputer z nośnika ratunkowego. Po załadowaniu RescueCD wybierz:
    Utilities -> Registry Editor
    Wskaż dysk o rozmiarze odpowiadającym Twojej partycji z systemem Windows i wciśnij Enter.
    W oknie edytora rejestru przejdź do gałęzi (poruszamy się strzałkami, wybór Enter, wróć Enter na pozycji z „..”):
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
    Wybierz „Shell”

    Otworzy się okno ze szczegółami tego wpisu. Interesują nas szczegóły parametru „Shell”
    Poprawny wpis jak widać na załączonym zrzucie ekranu to explorer.exe w przypadku infekcji Weelsof będzie on podmieniony na explorer_new.exe.

    Popraw wpis na Explorer.exe i zapisz (klawiszem Tab przejdź do Save&Return, wciśnij Enter, potwierdź zapisanie zmian).

    W edytorze rejestru przechodzimy do gałęzi:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVerion\Run\

    Na liście będą widniały wszystkie programy uruchamiane automatycznie z komputerem. Weelsof tworzy w tym miejscu wpis, którego nazwa to po prostu losowy ciąg liter.
    Wybierz ten wpis i w szczegółach tego wpisu odnajdziesz informacje z jakiej ścieżki uruchamiany jest plik infekcji.
    Przykładowy wpis w kluczu RUN:


    Wpis infekcji będzie zaczynał się od widocznego na wcześniejszym etapie ciągu losowych znaków i będzie wskazywał na konkretny plik uruchamiany przy starcie komputera:
    „losowy_ciąg_znaków”=”C:\Documents and Settings\All users\….”
    Celowo wskazałem na Documents and Settings bo w większości przypadków właśnie tam Weelsof zapisuje swój plik infekcji.
    W systemach Win Vista/7/8 może to być Users\Default\
    Koniecznie zapisz sobie ścieżkę do tego pliku.
    Po zanotowaniu sobie tej ścieżki usuń ten wiersz. TYLKO ten jeden wiersz dotyczący infekcji.
    Zapisz zmiany wybierając Save&Return i wyjdź z edytora rejestru.

    Wróć do okna Utilities, wybierz pierwsze narzędzie File Manager.
    Przejdź do:
    C:\Windows\System32\
    Sprawdź czy jest w tym miejscu plik o nazwie explorer_new.exe
    Jeśli jest usuń go – F8 i potwierdzamy YES.

    Przejdź do ścieżki, którą zanotowałeś przed usunięciem wpisu infekcji z klucza RUN.
    Prawdopodobnie będzie to w Documents and settings\All users\Dane aplikacji\ lub w Vista/7/8 Users\Default\
    Folder z infekcją będzie się nazywał tak samo jak nazywał się wpis z losowego ciągu znaków, który znalazłeś w rejestrze w kluczu RUN.
    Usuń ten folder w całości.
    Zamknij File Manager wybierając F10 i potwierdzając YES.

    Uruchom komputer ponownie i powinien on być już wolnym od infekcji.

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Ultimate to najlepszy antywirus dla Ciebie i reszty domowników. Zapewnia pełną ochronę przed zagrożeniami typu ransomware, ochrona kamery i wiele innych przydatnych funkcji.
    antywirus avg logo

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    Udostępnij.

    Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

    Subscribe
    Powiadom o
    guest
    3 komentarzy
    najstarszy
    najnowszy oceniany
    Inline Feedbacks
    View all comments
    iron
    iron
    9 lat temu

    Dlaczego AVG nie zabezpiecza przed tego typu infekcjami ?
    ComboFix dobrze sobie radzi z usuwaniem wirusa a AVG nawet go nie wykrywa?!

    0
    Odpowiedz
    Arkadiusz Zakrzewski
    Autor
    Arkadiusz Zakrzewski
    9 lat temu
    Reply to  iron

    Zabezpiecza, wykrywa i usuwa wszystkie znane mutacje. Niestety Weelsof co jakiś czas się zmienia i wtedy chwilkę trwa nim dodamy do baz detekcję nowych sygnatur.
    Z Combofix uważaj przy zainstalowanym AVG bo możesz sobie uszkodzić instalację AVG albo nawet unieruchomić komputer. Są nam znane przypadki usuwania przez ComboFix modułów AVG przez co komputer wiesza się na blue screenie.

    0
    Odpowiedz
    Krzysztof
    Krzysztof
    9 lat temu

    łatwo i skuteczecznie usunąłem infekcję ransomware Weelsof/Ukash
    przy pomocy płyty ratunkowej Kasperski Resure Disk-10

    0
    Odpowiedz
    iron
    iron
    3 lat temu

    Dlaczego AVG nie zabezpiecza przed tego typu infekcjami ?ComboFix dobrze sobie radzi z usuwaniem wirusa a AVG nawet go nie wykrywa?!

    0
    Odpowiedz
    Arkadiusz Zakrzewski
    Arkadiusz Zakrzewski
    3 lat temu

    Zabezpiecza, wykrywa i usuwa wszystkie znane mutacje. Niestety Weelsof co jakiś czas się zmienia i wtedy chwilkę trwa nim dodamy do baz detekcję nowych sygnatur.Z Combofix uważaj przy zainstalowanym AVG bo możesz sobie uszkodzić instalację AVG albo nawet unieruchomić komputer. Są nam znane przypadki usuwania przez ComboFix modułów AVG przez co komputer wiesza się na blue screenie.

    0
    Odpowiedz
    Krzysztof
    Krzysztof
    3 lat temu

    łatwo i skuteczecznie usunąłem infekcję ransomware Weelsof/Ukashprzy pomocy płyty ratunkowej Kasperski Resure Disk-10

    0
    Odpowiedz