Wirus-szantażysta blokuje komputer i wyłudza pieniądze

14-08-2012, 19:15

Powodem blokady ma być naruszenie rzekomego przepisu o "kontroli informacyjnej oraz zabezpieczenia informacji". Przywrócenie dostępu do komputera - w zależności od wersji wirusa - kosztuje 100 euro lub 500 zł. Istnieją jednak sposoby, by poradzić sobie bez płacenia.

Komunikat wyświetlany przez LockScreena
fot. ESET - Komunikat wyświetlany przez LockScreena
W połowie czerwca pisaliśmy o wirusie Weelsof, który wziął sobie za cel Polaków. Minęły dwa miesiące, nic jednak nie wskazuje na to, by ataki ustały - wręcz odwrotnie, pojawiły się nowe odmiany zagrożenia, odporne na polecane wtedy rozwiązanie. Na domiar złego specjaliści z firmy ESET poinformowali o wzmożonej aktywności innego szkodnika o podobnym działaniu. Nazywa się LockScreen i podszywa się pod Międzynarodowe Stowarzyszenie Policji (IPA). Wyświetlaną przez niego wiadomość można zobaczyć po prawej stronie.

Komunikat wyświetlany przez Weelsofa
fot. CERT Polska - Komunikat wyświetlany przez Weelsofa
Czytaj: Policja żąda 100 euro za odblokowanie komputera? Nie, to wirus!

Dla porównania po lewej stronie zamieszczamy komunikat, który widzą użytkownicy komputerów zainfekowanych Weelsofem. Treść obu wiadomości, napisana w miarę poprawną polszczyzną, jest identyczna, różni się tylko ich układ. W drugim przypadku - zamiast logotypu IPA - widzimy też białego orła w koronie i napis „Policja”.

Omawiane zagrożenia należą do kategorii ransomware (ang. ransom - okup, software - oprogramowanie). Podstawowym ich działaniem jest blokowanie wybranych funkcji systemu Windows i żądanie okupu za zdjęcie blokady. Twórcy obu szkodników preferują płatności Ukash, choć zeszłoroczna wersja LockScreena pozwalała zdobyć kod odblokowujący po wysłaniu SMS-a na numer o podwyższonej opłacie. Jak dochodzi do infekcji? Wystarczy nie aktualizować Windowsa, wykorzystywanej przeglądarki i antywirusa, a potem odwiedzić stronę z exploit packiem, który poprzez niezałatane luki umieści w systemie złośliwe oprogramowanie.

Sonda
Czy miałeś już do czynienia z wirusem-szantażystą?
  • Tak
  • Nie
wyniki  komentarze

Z analiz ekspertów wynika, że ani Weelsof, ani LockScreen nie podejmują żadnych szkodliwych działań poza blokowaniem komputera, np. nie szyfrują plików jak niesławny GpCode. Generowane przez nich komunikaty wyglądają na tyle wiarygodnie, że oszukanych z pewnością nie brakuje. „Gazeta Wyborcza” informuje, że do komisariatów policji (m.in. w Bydgoszczy i Olsztynie) napływają już pierwsze sygnały od poszkodowanych.

Jak usunąć zagrożenie?

Aby pozbyć się Weelsofa, do niedawna wystarczyło wpisanie „poprawnego” kodu Ukash. Wcześniejsza wersja szkodnika sprawdzała tylko kilka pierwszych cyfr bez weryfikowania, czy jest to poprawny, aktywny numer vouchera. Z tego względu na stronie CERT Polska został udostępniony prosty generator kodów.

Nowszych odmian zagrożenia nie da się usunąć w ten sposób. Nie trzeba jednak wpadać w panikę. W kolejnym artykule na temat ransomware specjaliści z CERT podają dwa sprawdzone sposoby na pozbycie się szkodników. Pierwszy polega na uruchomieniu komputera w trybie awaryjnym oraz wykorzystaniu darmowego narzędzia SysInternals Autoruns, które służy do inspekcji systemu. Druga metoda opiera się na użyciu płyty ratunkowej z oprogramowaniem antywirusowym, czyli Rescue CD. Do najpopularniejszych rozwiązań tego typu należą:

Dokładne instrukcje zastosowania obu metod zostały opisane na blogu CERT Polska. Czy tak samo można usunąć LockScreena? Oczywiście. Według specjalistów z ESET da się tego dokonać nawet prościej - wystarczy uruchomić komputer w trybie awaryjnym i za pomocą przeglądarki skorzystać z bezpłatnego skanera online tej firmy.

Czytaj: Kenzero szantażuje internautów, publikując strony, jakie odwiedzili


Źródło: CERT Polska, ESET, Wyborcza.pl
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy