Infekcja ransomware Weelsof/Ukash

Na Twoim komputerze pojawił się komunikat o zablokowaniu komputera przez Policję? Nie daj się nabrać. Nie przelewaj pieniędzy. To zwykła próba wyłudzenia.

Na początek słów kilka z czym mamy do czynienia. Ransomware to infekcja, która żąda od użytkownika wpłacenia „okupu” za odblokowanie dostępu do zablokowanego elementu. Ransomware są przeróżne – blokują dostęp do plików, poczty, nośników wymiennych albo jak Weelsof całego komputera.

Weelsof po raz pierwszy pojawił się w maju, wtedy pojawiły się pierwsze zgłoszenia jeszcze za granicą. Infekcja wtedy żądała okupu w funtach/euro i była spersonalizowana pod inne kraje.

Krótko po tym pojawiła się polska mutacja Weelsof. Pierwsza wersja nieudolnie przetłumaczona i wciąż z informacją o wpłaceniu 100 euro. Potem kolejne wersje były już dużo lepiej opracowane, opatrzone lepszymi grafikami i żądały opłaty w PLN.

Więcej o personalizowanych odmianach poczytacie na https://www.abuse.ch/?p=3718

Tak wygląda okno z monitem o wpłacenie okupu w jednej z ostatnich wersji infekcji:

Jak się Weelsof pozbyć?

1. Generator kodu Ukash

Przygotowany przez CERT Polska generator kodu Ukash znajdziecie pod adresem:
//cert.pl/tools/genukash.php

Można spróbować użyć podanego na stronie kodu, wpisać go w monit infekcji i jeśli trafił nam się poprawny kod komputer zostanie odblokowany. Odświeżanie strony z generatorem kodu powoduje generowanie nowych kodów więc spróbujcie kilka razy.

Do odblokowywania komputera kodem zalecane jest odłączyć go od internetu i dopiero wprowadzać wygenerowany kod. Generator ten radzi sobie bez problemów ze starszymi mutacjami Weelsof, w nowszych kod jest odrzucany.

Po odblokowaniu komputera kodem zaktualizuj swój program antywirusowy i uruchom pełne skanowanie komputera.

2. AVG Rescue CD
Metoda przeznaczona dla zaawansowanych użytkowników!
Jeśli po przeczytaniu poniższego opisu wiesz, że nie poradzisz sobie z edycją rejestru Windows z poziomu narzędzia ratunkowego AVG to poproś o pomoc kogoś doświadczonego.
Nierozważnie wprowadzone zmiany mogą doprowadzić do uszkodzenia systemu Windows!

Pobierz obraz ISO lub wersję do wypakowania na nośnik USB ze strony
//www.avg.pl/pobierz/avg_rescuecd/avg-rescue-cd

Uruchom komputer z nośnika ratunkowego. Po załadowaniu RescueCD wybierz:
Utilities -> Registry Editor
Wskaż dysk o rozmiarze odpowiadającym Twojej partycji z systemem Windows i wciśnij Enter.
W oknie edytora rejestru przejdź do gałęzi (poruszamy się strzałkami, wybór Enter, wróć Enter na pozycji z „..”):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Wybierz „Shell”

Otworzy się okno ze szczegółami tego wpisu. Interesują nas szczegóły parametru „Shell”
Poprawny wpis jak widać na załączonym zrzucie ekranu to explorer.exe w przypadku infekcji Weelsof będzie on podmieniony na explorer_new.exe.

Popraw wpis na Explorer.exe i zapisz (klawiszem Tab przejdź do Save&Return, wciśnij Enter, potwierdź zapisanie zmian).

W edytorze rejestru przechodzimy do gałęzi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVerion\Run\

Na liście będą widniały wszystkie programy uruchamiane automatycznie z komputerem. Weelsof tworzy w tym miejscu wpis, którego nazwa to po prostu losowy ciąg liter.
Wybierz ten wpis i w szczegółach tego wpisu odnajdziesz informacje z jakiej ścieżki uruchamiany jest plik infekcji.
Przykładowy wpis w kluczu RUN:

Wpis infekcji będzie zaczynał się od widocznego na wcześniejszym etapie ciągu losowych znaków i będzie wskazywał na konkretny plik uruchamiany przy starcie komputera:
„losowy_ciąg_znaków”=”C:\Documents and Settings\All users\….”
Celowo wskazałem na Documents and Settings bo w większości przypadków właśnie tam Weelsof zapisuje swój plik infekcji.
W systemach Win Vista/7/8 może to być Users\Default\
Koniecznie zapisz sobie ścieżkę do tego pliku.
Po zanotowaniu sobie tej ścieżki usuń ten wiersz. TYLKO ten jeden wiersz dotyczący infekcji.
Zapisz zmiany wybierając Save&Return i wyjdź z edytora rejestru.

Wróć do okna Utilities, wybierz pierwsze narzędzie File Manager.
Przejdź do:
C:\Windows\System32\
Sprawdź czy jest w tym miejscu plik o nazwie explorer_new.exe
Jeśli jest usuń go – F8 i potwierdzamy YES.

Przejdź do ścieżki, którą zanotowałeś przed usunięciem wpisu infekcji z klucza RUN.
Prawdopodobnie będzie to w Documents and settings\All users\Dane aplikacji\ lub w Vista/7/8 Users\Default\
Folder z infekcją będzie się nazywał tak samo jak nazywał się wpis z losowego ciągu znaków, który znalazłeś w rejestrze w kluczu RUN.
Usuń ten folder w całości.
Zamknij File Manager wybierając F10 i potwierdzając YES.

Uruchom komputer ponownie i powinien on być już wolnym od infekcji.

___

Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Ultimate to najlepszy antywirus dla Ciebie i reszty domowników. Zapewnia pełną ochronę przed zagrożeniami typu ransomware, ochrona kamery i wiele innych przydatnych funkcji.