Najpopularniejsze

    Jak sformatować/przywrócić Windows 10?

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Pomóż nam tworzyć Encyklopedię Bezpieczeństwa i wygrywaj nagrody

    Facebook YouTube
    TrybAwaryjny.pl – pierwsza pomoc dla Twojego komputeraTrybAwaryjny.pl – pierwsza pomoc dla Twojego komputera
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • O nas
      • Kontakt
      • Czym jest TrybAwaryjny?
      • Reklama i współpraca
    Facebook YouTube
    TrybAwaryjny.pl – pierwsza pomoc dla Twojego komputeraTrybAwaryjny.pl – pierwsza pomoc dla Twojego komputera
    Strona główna»Porady dla domu»Infekcja ransomware Weelsof/Ukash
    Porady dla domu

    Infekcja ransomware Weelsof/Ukash

    Arkadiusz ZakrzewskiPrzez Arkadiusz Zakrzewski3 komentarzePrzeczytasz w 4 minuty
    Facebook Twitter Pinterest LinkedIn Tumblr Email
    Udostępnij
    Facebook Twitter LinkedIn Pinterest Email

    Na Twoim komputerze pojawił się komunikat o zablokowaniu komputera przez Policję? Nie daj się nabrać. Nie przelewaj pieniędzy. To zwykła próba wyłudzenia.

    Na początek słów kilka z czym mamy do czynienia. Ransomware to infekcja, która żąda od użytkownika wpłacenia „okupu” za odblokowanie dostępu do zablokowanego elementu. Ransomware są przeróżne – blokują dostęp do plików, poczty, nośników wymiennych albo jak Weelsof całego komputera.

    Weelsof po raz pierwszy pojawił się w maju, wtedy pojawiły się pierwsze zgłoszenia jeszcze za granicą. Infekcja wtedy żądała okupu w funtach/euro i była spersonalizowana pod inne kraje.

    Krótko po tym pojawiła się polska mutacja Weelsof. Pierwsza wersja nieudolnie przetłumaczona i wciąż z informacją o wpłaceniu 100 euro. Potem kolejne wersje były już dużo lepiej opracowane, opatrzone lepszymi grafikami i żądały opłaty w PLN.

    Więcej o personalizowanych odmianach poczytacie na https://www.abuse.ch/?p=3718

    Tak wygląda okno z monitem o wpłacenie okupu w jednej z ostatnich wersji infekcji:

    Jak się Weelsof pozbyć?

    1. Generator kodu Ukash

    Przygotowany przez CERT Polska generator kodu Ukash znajdziecie pod adresem:
    //cert.pl/tools/genukash.php

    Można spróbować użyć podanego na stronie kodu, wpisać go w monit infekcji i jeśli trafił nam się poprawny kod komputer zostanie odblokowany. Odświeżanie strony z generatorem kodu powoduje generowanie nowych kodów więc spróbujcie kilka razy.

    Do odblokowywania komputera kodem zalecane jest odłączyć go od internetu i dopiero wprowadzać wygenerowany kod. Generator ten radzi sobie bez problemów ze starszymi mutacjami Weelsof, w nowszych kod jest odrzucany.

    Po odblokowaniu komputera kodem zaktualizuj swój program antywirusowy i uruchom pełne skanowanie komputera.

    2. AVG Rescue CD
    Metoda przeznaczona dla zaawansowanych użytkowników!
    Jeśli po przeczytaniu poniższego opisu wiesz, że nie poradzisz sobie z edycją rejestru Windows z poziomu narzędzia ratunkowego AVG to poproś o pomoc kogoś doświadczonego.
    Nierozważnie wprowadzone zmiany mogą doprowadzić do uszkodzenia systemu Windows!

    Pobierz obraz ISO lub wersję do wypakowania na nośnik USB ze strony
    //www.avg.pl/pobierz/avg_rescuecd/avg-rescue-cd

    Uruchom komputer z nośnika ratunkowego. Po załadowaniu RescueCD wybierz:
    Utilities -> Registry Editor
    Wskaż dysk o rozmiarze odpowiadającym Twojej partycji z systemem Windows i wciśnij Enter.
    W oknie edytora rejestru przejdź do gałęzi (poruszamy się strzałkami, wybór Enter, wróć Enter na pozycji z „..”):
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
    Wybierz „Shell”

    Otworzy się okno ze szczegółami tego wpisu. Interesują nas szczegóły parametru „Shell”
    Poprawny wpis jak widać na załączonym zrzucie ekranu to explorer.exe w przypadku infekcji Weelsof będzie on podmieniony na explorer_new.exe.

    Popraw wpis na Explorer.exe i zapisz (klawiszem Tab przejdź do Save&Return, wciśnij Enter, potwierdź zapisanie zmian).

    W edytorze rejestru przechodzimy do gałęzi:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVerion\Run\

    Na liście będą widniały wszystkie programy uruchamiane automatycznie z komputerem. Weelsof tworzy w tym miejscu wpis, którego nazwa to po prostu losowy ciąg liter.
    Wybierz ten wpis i w szczegółach tego wpisu odnajdziesz informacje z jakiej ścieżki uruchamiany jest plik infekcji.
    Przykładowy wpis w kluczu RUN:


    Wpis infekcji będzie zaczynał się od widocznego na wcześniejszym etapie ciągu losowych znaków i będzie wskazywał na konkretny plik uruchamiany przy starcie komputera:
    „losowy_ciąg_znaków”=”C:\Documents and Settings\All users\….”
    Celowo wskazałem na Documents and Settings bo w większości przypadków właśnie tam Weelsof zapisuje swój plik infekcji.
    W systemach Win Vista/7/8 może to być Users\Default\
    Koniecznie zapisz sobie ścieżkę do tego pliku.
    Po zanotowaniu sobie tej ścieżki usuń ten wiersz. TYLKO ten jeden wiersz dotyczący infekcji.
    Zapisz zmiany wybierając Save&Return i wyjdź z edytora rejestru.

    Wróć do okna Utilities, wybierz pierwsze narzędzie File Manager.
    Przejdź do:
    C:\Windows\System32\
    Sprawdź czy jest w tym miejscu plik o nazwie explorer_new.exe
    Jeśli jest usuń go – F8 i potwierdzamy YES.

    Przejdź do ścieżki, którą zanotowałeś przed usunięciem wpisu infekcji z klucza RUN.
    Prawdopodobnie będzie to w Documents and settings\All users\Dane aplikacji\ lub w Vista/7/8 Users\Default\
    Folder z infekcją będzie się nazywał tak samo jak nazywał się wpis z losowego ciągu znaków, który znalazłeś w rejestrze w kluczu RUN.
    Usuń ten folder w całości.
    Zamknij File Manager wybierając F10 i potwierdzając YES.

    Uruchom komputer ponownie i powinien on być już wolnym od infekcji.

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Ultimate to najlepszy antywirus dla Ciebie i reszty domowników. Zapewnia pełną ochronę przed zagrożeniami typu ransomware, ochrona kamery i wiele innych przydatnych funkcji.
    antywirus avg logo

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    AVG infekcja Rescue CD weelsof
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Arkadiusz Zakrzewski

    Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

    Subscribe
    Powiadom o
    guest
    guest
    3 komentarzy
    najstarszy
    najnowszy oceniany
    Inline Feedbacks
    View all comments
    iron
    iron
    9 lat temu

    Dlaczego AVG nie zabezpiecza przed tego typu infekcjami ?
    ComboFix dobrze sobie radzi z usuwaniem wirusa a AVG nawet go nie wykrywa?!

    0
    Odpowiedz
    Arkadiusz Zakrzewski
    Autor
    Arkadiusz Zakrzewski
    9 lat temu
    Reply to  iron

    Zabezpiecza, wykrywa i usuwa wszystkie znane mutacje. Niestety Weelsof co jakiś czas się zmienia i wtedy chwilkę trwa nim dodamy do baz detekcję nowych sygnatur.
    Z Combofix uważaj przy zainstalowanym AVG bo możesz sobie uszkodzić instalację AVG albo nawet unieruchomić komputer. Są nam znane przypadki usuwania przez ComboFix modułów AVG przez co komputer wiesza się na blue screenie.

    0
    Odpowiedz
    Krzysztof
    Krzysztof
    9 lat temu

    łatwo i skuteczecznie usunąłem infekcję ransomware Weelsof/Ukash
    przy pomocy płyty ratunkowej Kasperski Resure Disk-10

    0
    Odpowiedz
    iron
    iron
    3 lat temu

    Dlaczego AVG nie zabezpiecza przed tego typu infekcjami ?ComboFix dobrze sobie radzi z usuwaniem wirusa a AVG nawet go nie wykrywa?!

    0
    Odpowiedz
    Arkadiusz Zakrzewski
    Arkadiusz Zakrzewski
    3 lat temu

    Zabezpiecza, wykrywa i usuwa wszystkie znane mutacje. Niestety Weelsof co jakiś czas się zmienia i wtedy chwilkę trwa nim dodamy do baz detekcję nowych sygnatur.Z Combofix uważaj przy zainstalowanym AVG bo możesz sobie uszkodzić instalację AVG albo nawet unieruchomić komputer. Są nam znane przypadki usuwania przez ComboFix modułów AVG przez co komputer wiesza się na blue screenie.

    0
    Odpowiedz
    Krzysztof
    Krzysztof
    3 lat temu

    łatwo i skuteczecznie usunąłem infekcję ransomware Weelsof/Ukashprzy pomocy płyty ratunkowej Kasperski Resure Disk-10

    0
    Odpowiedz
    Skuteczny Antywirus
    Encyklopedia Bezpieczeństwa
    Odbierz darmowe porady od AVG
    Najpopularniejsze
    Jak sformatować/przywrócić Windows 10?
    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!
    Pomóż nam tworzyć Encyklopedię Bezpieczeństwa i wygrywaj nagrody
    Najnowsze komentarze
    • Arkadiusz Zakrzewski - Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
    • Pawel Kurkiewicz - Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
    • Arkadiusz Zakrzewski - Pomoc techniczna AVG i Avast – zgłaszanie problemu
    • Renata - Pomoc techniczna AVG i Avast – zgłaszanie problemu
    • Edzio - Ranking usług faktoringowych dla małych firm i mikroprzedsiębiorstw
    O nas

    TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

    Najnowsze artykuły

    Poznaj najpopularniejsze modele smartfonów iPhone!

    24 czerwca 2022

    Cyberbezpieczeństwo w pigułce

    17 czerwca 2022

    Ranking usług faktoringowych dla małych firm i mikroprzedsiębiorstw

    8 czerwca 2022
    Znajdź nas na FB
    Facebook YouTube
    • O nas
    • Polityka prywatności
    • Regulamin
    • Kontakt
    © 2022 Trybawaryjny.pl

    Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

    wpDiscuz