Na Twoim komputerze pojawił się komunikat o zablokowaniu komputera przez Policję? Nie daj się nabrać. Nie przelewaj pieniędzy. To zwykła próba wyłudzenia.
Na początek słów kilka z czym mamy do czynienia. Ransomware to infekcja, która żąda od użytkownika wpłacenia „okupu” za odblokowanie dostępu do zablokowanego elementu. Ransomware są przeróżne – blokują dostęp do plików, poczty, nośników wymiennych albo jak Weelsof całego komputera.
Weelsof po raz pierwszy pojawił się w maju, wtedy pojawiły się pierwsze zgłoszenia jeszcze za granicą. Infekcja wtedy żądała okupu w funtach/euro i była spersonalizowana pod inne kraje.
Krótko po tym pojawiła się polska mutacja Weelsof. Pierwsza wersja nieudolnie przetłumaczona i wciąż z informacją o wpłaceniu 100 euro. Potem kolejne wersje były już dużo lepiej opracowane, opatrzone lepszymi grafikami i żądały opłaty w PLN.
Więcej o personalizowanych odmianach poczytacie na https://www.abuse.ch/?p=3718
Tak wygląda okno z monitem o wpłacenie okupu w jednej z ostatnich wersji infekcji:
Jak się Weelsof pozbyć?
1. Generator kodu Ukash
Przygotowany przez CERT Polska generator kodu Ukash znajdziecie pod adresem:
//cert.pl/tools/genukash.php
Można spróbować użyć podanego na stronie kodu, wpisać go w monit infekcji i jeśli trafił nam się poprawny kod komputer zostanie odblokowany. Odświeżanie strony z generatorem kodu powoduje generowanie nowych kodów więc spróbujcie kilka razy.
Do odblokowywania komputera kodem zalecane jest odłączyć go od internetu i dopiero wprowadzać wygenerowany kod. Generator ten radzi sobie bez problemów ze starszymi mutacjami Weelsof, w nowszych kod jest odrzucany.
Po odblokowaniu komputera kodem zaktualizuj swój program antywirusowy i uruchom pełne skanowanie komputera.
2. AVG Rescue CD
Metoda przeznaczona dla zaawansowanych użytkowników!
Jeśli po przeczytaniu poniższego opisu wiesz, że nie poradzisz sobie z edycją rejestru Windows z poziomu narzędzia ratunkowego AVG to poproś o pomoc kogoś doświadczonego.
Nierozważnie wprowadzone zmiany mogą doprowadzić do uszkodzenia systemu Windows!
Pobierz obraz ISO lub wersję do wypakowania na nośnik USB ze strony
//www.avg.pl/pobierz/avg_rescuecd/avg-rescue-cd
Uruchom komputer z nośnika ratunkowego. Po załadowaniu RescueCD wybierz:
Utilities -> Registry Editor
Wskaż dysk o rozmiarze odpowiadającym Twojej partycji z systemem Windows i wciśnij Enter.
W oknie edytora rejestru przejdź do gałęzi (poruszamy się strzałkami, wybór Enter, wróć Enter na pozycji z „..”):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Wybierz „Shell”
Otworzy się okno ze szczegółami tego wpisu. Interesują nas szczegóły parametru „Shell”
Poprawny wpis jak widać na załączonym zrzucie ekranu to explorer.exe w przypadku infekcji Weelsof będzie on podmieniony na explorer_new.exe.
Popraw wpis na Explorer.exe i zapisz (klawiszem Tab przejdź do Save&Return, wciśnij Enter, potwierdź zapisanie zmian).
W edytorze rejestru przechodzimy do gałęzi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVerion\Run\
Na liście będą widniały wszystkie programy uruchamiane automatycznie z komputerem. Weelsof tworzy w tym miejscu wpis, którego nazwa to po prostu losowy ciąg liter.
Wybierz ten wpis i w szczegółach tego wpisu odnajdziesz informacje z jakiej ścieżki uruchamiany jest plik infekcji.
Przykładowy wpis w kluczu RUN:
Wpis infekcji będzie zaczynał się od widocznego na wcześniejszym etapie ciągu losowych znaków i będzie wskazywał na konkretny plik uruchamiany przy starcie komputera:
„losowy_ciąg_znaków”=”C:\Documents and Settings\All users\….”
Celowo wskazałem na Documents and Settings bo w większości przypadków właśnie tam Weelsof zapisuje swój plik infekcji.
W systemach Win Vista/7/8 może to być Users\Default\
Koniecznie zapisz sobie ścieżkę do tego pliku.
Po zanotowaniu sobie tej ścieżki usuń ten wiersz. TYLKO ten jeden wiersz dotyczący infekcji.
Zapisz zmiany wybierając Save&Return i wyjdź z edytora rejestru.
Wróć do okna Utilities, wybierz pierwsze narzędzie File Manager.
Przejdź do:
C:\Windows\System32\
Sprawdź czy jest w tym miejscu plik o nazwie explorer_new.exe
Jeśli jest usuń go – F8 i potwierdzamy YES.
Przejdź do ścieżki, którą zanotowałeś przed usunięciem wpisu infekcji z klucza RUN.
Prawdopodobnie będzie to w Documents and settings\All users\Dane aplikacji\ lub w Vista/7/8 Users\Default\
Folder z infekcją będzie się nazywał tak samo jak nazywał się wpis z losowego ciągu znaków, który znalazłeś w rejestrze w kluczu RUN.
Usuń ten folder w całości.
Zamknij File Manager wybierając F10 i potwierdzając YES.
Uruchom komputer ponownie i powinien on być już wolnym od infekcji.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Ultimate to najlepszy antywirus dla Ciebie i reszty domowników. Zapewnia pełną ochronę przed zagrożeniami typu ransomware, ochrona kamery i wiele innych przydatnych funkcji.
Dlaczego AVG nie zabezpiecza przed tego typu infekcjami ?
ComboFix dobrze sobie radzi z usuwaniem wirusa a AVG nawet go nie wykrywa?!
Zabezpiecza, wykrywa i usuwa wszystkie znane mutacje. Niestety Weelsof co jakiś czas się zmienia i wtedy chwilkę trwa nim dodamy do baz detekcję nowych sygnatur.
Z Combofix uważaj przy zainstalowanym AVG bo możesz sobie uszkodzić instalację AVG albo nawet unieruchomić komputer. Są nam znane przypadki usuwania przez ComboFix modułów AVG przez co komputer wiesza się na blue screenie.
łatwo i skuteczecznie usunąłem infekcję ransomware Weelsof/Ukash
przy pomocy płyty ratunkowej Kasperski Resure Disk-10
Dlaczego AVG nie zabezpiecza przed tego typu infekcjami ?ComboFix dobrze sobie radzi z usuwaniem wirusa a AVG nawet go nie wykrywa?!
Zabezpiecza, wykrywa i usuwa wszystkie znane mutacje. Niestety Weelsof co jakiś czas się zmienia i wtedy chwilkę trwa nim dodamy do baz detekcję nowych sygnatur.Z Combofix uważaj przy zainstalowanym AVG bo możesz sobie uszkodzić instalację AVG albo nawet unieruchomić komputer. Są nam znane przypadki usuwania przez ComboFix modułów AVG przez co komputer wiesza się na blue screenie.
łatwo i skuteczecznie usunąłem infekcję ransomware Weelsof/Ukashprzy pomocy płyty ratunkowej Kasperski Resure Disk-10