Problem:

Jak usunąć wirusy, gdy komputer się nie uruchamia ? Jakie są objawy ataku wirusa Weelsof - Uważaj "Policja" zablokowała komputer ?
Co to jest ransomware ? Co się dzieje z komputerem ?

Odpowiedź:

Uważaj na ataki wirusa Weelsof

Uważaj na ataki wirusa Weelsof !!! Co to jest ransomware ? Co się dzieje z komputerem? Jak go usunąć ?

Wirus Weelsof, który od maja atakuje polskich internautów, to złośliwe oprogramowanie typu ransomware, które - wnikając do komputera - blokuje dostęp do jego zasobów, a następnie za zdjęcie blokady żąda zapłacenia okupu w wysokości 500 złotych lub 100 euro. Wirus dostaje się do komputera poprzez luki w niezaktualizowanych programach i wyświetla komunikat informujący użytkownika o przyczynie założenia blokady - m.in. odtwarzanie stron zawierających pornografię dziecięcą bądź przechowywanie nielegalnych plików. Umieszczony w komunikacie logotyp oraz adres e-mail sugerują, że komputer został zablokowany przez jednostkę policji zajmującą się kontrolą treści w Internecie.

 

Dotychczas dostęp do komputera, zaatakowanego przez wirus Weelsof, można było odzyskać bez płacenia okupu poprzez podanie "poprawnego" kodu systemu płatności UKASH, wykorzystywanego przez złośliwe oprogramowanie. Weelsof sprawdzał jedynie początek kodu, który można było wygenerować m.in. w specjalnym generatorze umieszczonym na stronie CERT Polska, nie weryfikował natomiast czy jest to poprawny, aktywny numer. Ostatnio zaobserwowane odmiany wirusa są trudniejsze do usunięcia - nie tylko nie pozwalają na wykorzystanie kodów UKASH dostępnych w Internecie, ale także nie zdejmują blokady z komputera nawet po uiszczeniu żądanej opłaty i wprowadzeniu poprawnego kodu.

"Rozwój wirusa Weelsof pokazuje, że cyberprzestępcy dbają zarówno o to, by wprowadzać w błąd jak największą ilość internautów, jak i reagują na pojawiające się w sieci metody walki z opracowanym przez nich złośliwym oprogramowaniem. To sprawia, że ich działania stają się dla użytkowników Internetu coraz bardziej szkodliwe i uciążliwe." - mówi Łukasz Siewierski, specjalista ds. bezpieczeństwa IT w CERT Polska.

Według specjalistów z CERT Polska, jedną z metod na rozwiązanie problemu jest uruchomienie komputera w trybie awaryjnym z wierszem polecenia, tak aby pominąć start złośliwego oprogramowania, oraz wykorzystanie darmowego narzędzia do inspekcji systemu w celu wykrycia
i usunięcia wirusa. Druga metoda polega na uruchomieniu komputera z tzw. płyty ratunkowej oprogramowania antywirusowego, zawierającej alternatywny system operacyjny. Dzięki temu możliwe będzie przeskanowanie dysków w poszukiwaniu wirusa.

Co to jest ransomware?

Ransomware (ang. ransom – okup, software – oprogramowanie) jest to rodzaj złośliwego oprogramowania, który blokuje pewne funkcje komputera (np: szyfruje pliki, blokuje możliwość uruchomienia programów itp), a następnie za usunięcie blokady żąda wpłacenia okupu. Po zapłaceniu użytkownik dostaje zazwyczaj klucz/kod odblokowujący. Na ogół kwota okupu nie jest duża – co sprzyjać ma wybraniu przez użytkownika ’sponsorowanej’ metody usunięcia problemu.

Co się dzieje z komputerem?

Malware instaluje się poprzez wejście na stronę z tzw. “exploit-packiem”, który poprzez lukę w niezaktualizowanym oprogramowaniu przejmuje kontrolę nad systemem ofiary i ściąga z sieci oraz uruchamia złośliwe oprogramowanie. Po uruchomieniu ransomware dodaje parę wpisów do rejestru systemowego, wyłącza proces Explorera (znika menu ’start’), ukrywa wszystkie okna, a następnie wyświetla komunikat proszący o wniesienie opłaty. Z przeprowadzonej w laboratorium CERT Polska analizy wynika, iż malware nie podejmuje żadnych innych działań (tzn. nie infekuje/kasuje/szyfruje innych plików).

Podobne przypadki w innych krajach

Jak można przeczytać na stronie https://www.abuse.ch/?p=3718, ten rodzaj złośliwego oprogramowania atakował już wcześniej poza Polską. Znalezione przez nas komunikaty zawierały treści dla krajów: Austria, Finlandia, Niemcy, Belgia, Francja, Grecja, Włochy, Holandia, Polska, Portugalia, Hiszpania, Szwecja.

Jak go usunąć ?

Najprostsza metoda usunięcia polega po prostu na wpisaniu ‘poprawnego’ kodu UKASH. Z analizy malware wynika, iż malware sprawdza jedynie początek kodu, nie sprawdza natomiast czy jest to poprawny, aktywny numer vouchera. W internecie można znaleźć informację, iż poprawny kod zaczynia się od ciągu 633781 lub 718 po których następuje 13 cyfr. Prosty generator takich kodów znajduje się poniżej :


Wygeneruj losowy kod UKASH

AKTUALIZACJA:

Nowa wersja malware sprawdza dodatkowo kolejne trzy znaki kodu, natomiast 10 ostatnich cyfr nadal może być dowolne.
Dodatkowo po wprowadzeniu kod UKASH przesyłany jest do serwera, który sprawdza jego ważność. Aby dokonać odblokowania komputera za pomocą kodu wygenerowanego przez powyższy URL, należy (w momencie wpisywania kodu) odłączyć komputer od sieci (wyjąć kabel sieciowy, wyłączyć kartę WIFI).

Metoda “ręczna”

Innym sposobem jest uruchomienie komputera w trybie awaryjnym z wierszem poleceń (zwykły tryb awaryjny nie będzie działać !) i ręczne usunięcie z dysku oraz rejestru zmian wprowadzonych przez malware. Jest to metoda zdecydowanie polecana jedynie zaawansowanym użytkownikom.

 

Analiza – co dokładnie robi Weelsof?

Sam program spakowany/chroniony jest najprawdopodobniej narzędziem armadillo. Po wypakowaniu i uruchomieniu właściwego kodu program kopiuje się do następujących lokalizacji:

1
2
3
C:\Documents and Settings\All Users\Dane aplikacji\[losowa-nazwa].exe
C:\Windows\[losowa-nazwa].exe
C:\Windows\explorer_new.exe

Następnie dodaje wpis do rejestru wywołujący plik [1] podczas uruchamiania komputera oraz podając plik [3] jako alternatywny Shell modyfikując klucze :

1
2
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

W kolejnym korku program odnajduje PID procesu explorer.exe (pierwsze wystąpienie tej nazwy na liście procesów), a następnie zabija znaleziony PID. Następnie wyszukuje w systemie okna za pomocą funkcji EnumWindows(), które
blokuje WindowEnable() i ukrywa WindowShow().

Następnie program pobiera z serwera komunikat jaki ma zostać wyświetlony na ekranie (w kodzie programu ten element nazywany jest ‘design’). Język komunikatu określony jest poprzez funkcję systemową GetUserGeoID(), która wraca kod kraju. Design pobierany jest z adresu http://adres-cnc/arch/design_[KOD-KRAJU]. Jest to plik .zip zawierający pliki graficzne oraz plik main.html.

Po procesie instalacji program wysyła metodą POST pod adres http://adres-cnc/topic.php komunikat o pomyślnym zainstalowaniu wraz z kodem kraju z poprzedniego kroku. Z serwera pobierana jest również czarna lista numerów UKASH z adresu http://adres-cnc/black.dat

Następnie tworzone jest okno z obiektem WebBrowser (CLSID:8856F961-340A-11D0-A96B-00C04FD705A2), które wyświetla pobrany wcześniej ‘design’ – zajmując cały ekran.

Po wpisaniu numer UKASH uruchamiana jest procedura sprawdzająca poprawność wpisanego kodu. Nie jest ona rozbudowana, ponieważ sprawdzeniu podlega jedynie prefiks – czy kod zaczyna się od ciągu 633781 lub 718 – oraz ilość znaków po prefiksie – musi być równa 13. Po uznaniu wpisanego numeru za poprawny uruchamiana jest procedura odblokowania komputera oraz wysłanie metodą POST pod adres http://adres-cnc/topic.php wpisanego kodu.

Procedura odblokowania jest odwróconym procesem instalacji. Na początku zamykane jest okno przesłaniające ekran.
Następnie uruchamiany jest proces explorer.exe oraz za pomocą funkcji EnumWindows(), WindowEnable() i WindowShow() przywracane są ukryte okna.

Na koniec malware usuwa zmienione wpisy w rejestrze oraz stworzone pliki.


Jak usunąć wirusy, gdy komputer się nie uruchamia?

METODA 1 : SysInternals Autoruns i tryb awaryjny

METODA 1 : SysInternals Autoruns i tryb awaryjny

W pierwszej kolejności należy wcześniej przygotować dysk USB z rozpakowanym programem SysInternals Autoruns (dostępny pod adresem:http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx). Na dysku USB powinny znajdować się cztery pliki:

1
2
3
4
Autoruns.chm
Autoruns.exe
Autorunsc.exe
Eula.txt

Tryb awaryjny z wierszem polecenia

Pierwszą z rzeczy, które powinnyśmy zrobić gdy nasz komputer nie chce się normalnie uruchomić, jest próba uruchomienia go w Trybie awaryjnym z wierszem polecenia (nie w zwykłym trybie awaryjnym – to może nie zadziałać!). Dokonamy tego, gdy po włączeniu komputera, podczas uruchamiania się systemu Windows przytrzymamy klawisz F8. Następnie za pomocą strzałek należy wybrać opcję “Tryb awaryjny z wierszem polecenia” (tak jak przedstawione to jest na zrzucie ekranu po prawej).

Po uruchomieniu komputera w Trybie awaryjnym z wierszem polecenia ujrzymy następujący ekran (po lewej Windows XP, po prawej Windows 7):

Windows XP
Windows 7

Następnie podłączamy do komputera przygotowany wcześniej dysk USB. Ponieważ nie mamy dostępu do graficznego interfejsu musimy zidentyfikować literę przypisaną do dysku z linii poleceń. W tym celu wpisujemy :

1
wmic logicaldisk get caption,volumename

W tym przypadku dysk USB ma przypisaną literę E.

Następnie przechodzimy na USB wpisując literę dysku z dwukropkiem. W naszym przypadku dysk USB ma przypisaną literę E, więc wpisujemy polecenie  e: i zatwierdzamy wciskając [ENTER] jak na obrazku:
wm_2012-08-ransome-win7_awar_3

Następnie uruchamiamy wgrane wcześniej narzędzie wpisując  Autoruns.exe i zatwierdzamy wciskając [ENTER]
Po uruchomieniu powinno pojawić się nam okno główne programu autoruns, jak na zdjęciu poniżej:


Jak widać program jest bardzo rozbudowany. Listuje on wszystkie znalezione na komputerze wpisy dotyczące automatycznego uruchamiania programów podczas startu systemu. Interesujące dla nas są tak naprawdę dwie zakładki, zawierające miejsca w których najczęściej instaluje się złośliwe oprogramowanie: Logon oraz Scheduled Tasks.

Identyfikacja oraz dezaktywacja złośliwego oprogramowania

Aby nieco zawęzić listę podejrzanych możemy skorzystać z opcji ukrycia wpisów dotyczących elementów systemu Windows oraz programów firmy Microsoft. Z menu Options wybieramy Hide Microsoft and Windows Entries (jak na obrazku)

Jedną z cech charakterystycznych dla złośliwego oprogramowania jest lokalizacja pliku (kolumna Image path). Jeżeli wpis ten zaczyna się od C:\Documents and settings\..., to z dużym prawdopodobieństwem jest to malware. Inną przesłanką jest nazwa wpisu (pierwsza kolumna Autorun entry). Malware często losuje nazwę pliku. Przykładowo, na zdjęciu poniżej pozycje oznaczone numerami [ 3 ] oraz [ 4 ] to wpisy dokonane przez blokujący komputer ransmoware. Po zlokalizowaniu takich wpisów można je dezaktywować odznaczając pole [ 2 ], lub permanentnie usunąć przy użyciu przyciski [ 1 ]. UWAGA:Jeżeli nie jesteśmy w 100% pewni identyfikacji – zawsze lepiej dezaktywować niż usuwać wpis. Efekt jest identyczny – wyłączona pozycja nie uruchomi się podczas kolejnego startu systemu, a w przypadku nieprawidłowej identyfikacji wystarczy jeszcze raz zaznaczyć błędnie wyłączony wpis.

Gdzie szukać wirusa?

Inne miejsca w których można najczęściej znaleźć wpisy dokonane przez malware :
 
W zakładce Logon :
Poprawny wpis w kluczu SHELL:
Oraz po infekcji złośliwym oprogramowaniem :
 
Poniżej kolejny przykład.
Dwa wpisy w kluczu USERINIT, na zielono prawidłowy, na czerwono dokonany przez malware:
 
Na koniec przykład w zakładce Scheduled Tasks :

METODA 2: Płyta ratunkowa z antywirusem

METODA 2: Płyta ratunkowa z antywirusem

Wiele firm produkujących oprogramowanie antywirusowe udostępnia za darmo płyty ratunkowe (z ang. “Rescue CD”), które pozwalają nam uruchomić komputer z alternatywnym systemem operacyjnym. Po takim uruchomieniu możemy przeskanować nasze dyski w poszukiwaniu malware’u. Dodatkowo, na tych płytach, znajdują się również przydatne narzędzia, takie jak np. edytor rejestru. Jeśli nie mamy nagrywarki płyt CD/DVD, to możemy również ściągnąć wersję przeznaczoną na dyski USB. Wśród najpopularniejszych rozwiązań tego typu są:

Jeden z naszych czytelników zwrócił szczególną uwagę na płytę dostarczaną przez firmę Kaspersky. Ze względu na to, że jest to rozwiązanie, które oferuje graficzny interfejs i jest bardzo przystępne, zdecydowaliśmy się wybrać je do dokładniejszego opisania. Jednak wszystkie wymienione wyżej płyty oferują podobne funkcjonalności, więc tak naprawdę nie ma znaczenia której użyjemy.

Instalacja

Jeśli posiadamy nagrywarkę CD/DVD to wystarczy, że ściągniemy obraz ISO i nagramy go na płytę CD za pomocą jednego z programów do nagrywania płyt. Musimy jednak uważać, żeby wybrać opcję nagrywania płyty z obrazu. Wtedy gotowa płyta będzie w stanie uruchomić system operacyjny.
Kaspersky USB Jeśli nie posiadamy nagrywarki możemy nagrać obraz na dysk USB. W tym celu wystarczy pobrać program do nagrywania obrazu ISO na dysk USB, który dostarcza firma Kaspersky (znajdziemy go pod tym linkiem: rescue2usb.exe). Po uruchomieniu programu ujrzymy okno takie jak przedstawione po lewej. W pierwszym polu musimy wybrać (za pomocą przycisku “Browse…”) wcześniej zapisany obraz ISO. Z listy rozwijalnej wybieramy odpowiednią literę dysku USB. Musimy pamiętać, że wszystkie dane z dysku USB zostaną usunięte. Dlatego zwróćmy szczególną uwagę na to, który dysk USB wybieramy.
Następnie naciskamy przycisk “START”, potwierdzamy ostrzeżenie o usunięciu wszystkich danych z dysku. Po kilku chwilach otrzymujemy dysk USB za pomocą którego uruchomimy system operacyjny, który pozwoli nam usunąć malware.

Uruchomienie

Przy uruchamianiu komputera musimy wcisnąć przycisk, który wyświetli nam “Boot Menu” lub ustawienia BIOSu. Przeważnie jest on pokazany na dole ekranu przy uruchamianiu komputera. Najczęściej spotykane klawisze to:

  • Delete
  • F2
  • F1
  • F8
  • F10
  • F11
  • F12

Spotykane też są inne konfiguracje klawiszy. Po szczegółowe informacje najlepiej zajrzeć do instrukcji płyty głównej. Następnie przechodzimy do zakładki “Boot” (jeśli weszliśmy do BIOSu) i wybieramy opcję “CD/DVD” (jeśli stworzyliśmy płytę) lub “Removable Drive” (o ile korzystamy z dysku USB).

Skanowanie

Po uruchomieniu dysku musimy nacisnąć w ciągu 10 sekund dowolny klawisz. Następnie wybieramy język (”English”) z listy naciskając Enter. Naciskamy “1″ potwierdzając, że akceptujemy licencję. Wybieramy opcję “Kaspersky Rescue Disk. Graphic Mode” z prezentowanego menu i, po krótkiej chwili i przejściu procedury startowej, komputer powinien uruchomić system operacyjny i ujrzymy pulpit oraz okno dialogowe podobne do przedstawionego poniżej. Wybieramy zakładkę “My Update Center”.

PopUp Update Center

Na tej zakładce klikamy przycisk “Start Update” i, po pewnym czasie, gdy postęp dojdzie do 100% otrzymujemy informację, że nasza baza wirusów została zaktualizowana mniej niż minutę temu. Przechodzimy wtedy na zakładkę “Objects Scan” i zaznaczamy tam wszystkie dostępne cele skanowania i klikamy “Start objects scan”.

Po czasie, który w dużej mierze jest zależny od pojemności naszych dysków i prędkości komputera powinniśmy otrzymać informację o znalezieniu zagrożenia podobną do tej przedstawionej po lewej. Wybieramy wtedy opcję oznaczoną “recommended” (w tym wypadku jest to “Delete”). Czynimy tak z każdym zagrożeniem, o którym zostaniemy poinformowani. Skanowanie powinno się zakończyć i zobaczymy informację, że ostatnie skanowanie przeprowadzono mniej niż minutę temu. Oznacza to, że nasz komputer powinien być już wolny od złośliwego oprogramowania i możemy go ponownie uruchomić. Klikamy na stylizowaną literę “K” (która powinna wyglądać tak: ) w lewym dolnym rogu ekranu i wybieramy opcję “Restart”. Potwierdzamy (przez kliknięcie na “Yes”), że chcemy uruchomić ponownie komputer. Musimy jednak pamiętać, żeby bądź to wyciągnąć płytę z napędu, bądź nie naciskać żadnego klawisza aż do momentu kiedy nie ujrzymy startującego systemu Windows. Nasz komputer powinien już działać normalnie i nie powinniśmy być zablokowani przez ransomware.


źródło: cert.pl

Gdy nic nie działa

Powyższe metody powinny, w większości przypadków, pozwolić usunąć złośliwe oprogramowanie z komputera. Jeśli jednak tak się nie stanie, lub gdy boimy się o swoje dane, radzimy oddać komputer do serwisu, który specjalizuje się w rozwiązywaniu problemów z infekcjami.

Usuwamy wirusy bez utraty danych. Na miejscu w serwisie lub u klienta. Zapewniamy 100% skuteczności!

 

Wirus Weelsof, który od maja atakuje polskich internautów, to złośliwe oprogramowanie typu ransomware, które - wnikając do komputera - blokuje dostęp do jego zasobów, a następnie za zdjęcie blokady żąda zapłacenia okupu w wysokości 500 złotych lub 100 euro. Wirus dostaje się do komputera poprzez luki w niezaktualizowanych programach i wyświetla komunikat informujący użytkownika o przyczynie założenia blokady - m.in. odtwarzanie stron zawierających pornografię dziecięcą bądź przechowywanie nielegalnych plików. Umieszczony w komunikacie logotyp oraz adres e-mail sugerują, że komputer został zablokowany przez jednostkę policji zajmującą się kontrolą treści w Internecie.

Dotychczas dostęp do komputera, zaatakowanego przez wirus Weelsof, można było odzyskać bez płacenia okupu poprzez podanie "poprawnego" kodu systemu płatności UKASH, wykorzystywanego przez złośliwe oprogramowanie. Weelsof sprawdzał jedynie początek kodu, który można było wygenerować m.in. w specjalnym generatorze umieszczonym na stronie CERT Polska, nie weryfikował natomiast czy jest to poprawny, aktywny numer. Ostatnio zaobserwowane odmiany wirusa są trudniejsze do usunięcia - nie tylko nie pozwalają na wykorzystanie kodów UKASH dostępnych w Internecie, ale także nie zdejmują blokady z komputera nawet po uiszczeniu żądanej opłaty i wprowadzeniu poprawnego kodu.

"Rozwój wirusa Weelsof pokazuje, że cyberprzestępcy dbają zarówno o to, by wprowadzać w błąd jak największą ilość internautów, jak i reagują na pojawiające się w sieci metody walki z opracowanym przez nich złośliwym oprogramowaniem. To sprawia, że ich działania stają się dla użytkowników Internetu coraz bardziej szkodliwe i uciążliwe." - mówi Łukasz Siewierski, specjalista ds. bezpieczeństwa IT w CERT Polska.

Według specjalistów z CERT Polska, jedną z metod na rozwiązanie problemu jest uruchomienie komputera w trybie awaryjnym z wierszem polecenia, tak aby pominąć start złośliwego oprogramowania, oraz wykorzystanie darmowego narzędzia do inspekcji systemu w celu wykrycia
i usunięcia wirusa. Druga metoda polega na uruchomieniu komputera z tzw. płyty ratunkowej oprogramowania antywirusowego, zawierającej alternatywny system operacyjny. Dzięki temu możliwe będzie przeskanowanie dysków w poszukiwaniu wirusa.
- See more at: http://www.computerworld.pl/news/384624/Cert.Polska.ostrzega.przed.wirusem.Weelsof.html#sthash.xaI0pE7L.dpuf