Virus Virusul Politia Romana – Metode de eliminare

AlexH

Merg pe strada catre Mine...
Membru personal
Administrative
Freelancer
SEO Expert
Nu mai rulasem de mult un virus asa ca am intrat azi pe un site ce contine linkuri cu virusi noi si am descarcat un executabil a carui descriere era Trojan.Ransom. Am vrut sa-l analizez folosind metoda in interiorul unei masini virtuale. Insa virusul a refuzat sa ruleze in Sandboxie, dand un mesaj de eroare, asa ca a trebuit sa-l rulez simplu in masina virtuala. Timp de cateva momente nu s-a intamplat nimic, dar deodata intreg ecranul a devenit alb si mai apoi mi-a aparut frumoasa pagina de mai jos:
gvug.png


Pe acea pagina apar o gramada de acuzatii false care mai de care mai diverse si folosesc imaginea mai multor institutii romane (presedinte si servicii din cadrul ministerului de afaceri interne) pentru a parea credibili.

Scopul autorilor acestui virus este de a pacali victimele sa plateasca o asa-zisa amenda de 300 de lei prin card bancar, tipic aplicatiilor ransomware.

Din pacate, virusul este foarte agresiv: in afara de acea pagina full-screen victima nu poate accesa nimic. Pe BleepingComputer.com a aparut acum cateva zile un articol despre un virus care seamana izbitor cu cel prezentat aici. Probabil ca virusul identifica tara in functie de IP-ul victimei si afiseaza mesajul in limba tarii respective.

Detectia pe VirusTotal: 7/47 antivirusi detecteaza acest malware – destul de slab.

Virusul nu permite rularea altor programe, nici macar folosirea unor scurtaturi de taste pentru a lansa aplicatii ale Windowsului. Mai mult, daca pornim Windows in Safe-Mode sau in Safe-Mode with Networking, inainte de a aparea Desktopul sistemul se restarteaza automat.

Totusi un sistem infectat cu acest virus poate porni in Safe Mode with Command Prompt si acest lucru poate fi folosit pentru a repara problema.

Solutii pentru a scapa de acest virus

1. Disc sau USB bootabil:

a. Folositi HitmanPro.Kickstart USB – Este un utilitar care se instaleaza pe un stick USB si de pe care puteti boota calculatorul infectat, fara a mai intra in Windows. De acolo veti putea sterge cu usurinta virusul.

b. O alta solutie eficienta la acelasi capitol o reprezinta Kaspersky Rescue Disk. Creati un disc bootabil si scanati de pe el. Va sterge cu siguranta infectia.

2. Trojan.Ransom.IcePol Removal de la BitDefender – http://www.bitdefender.com/VIRUS-1000659-en–Trojan-Ransom-IcePol.html

2. Safe Mode with Command Prompt + Malwarebytes Anti-Malware

Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.

Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.

Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.

Faceti rost de la alt computer de kitul de instalare Malwarebytes Anti-Malware, instalati-l si eliminati tot ce gaseste. La final puteti restarta computerul si acesta va porni ca nou.


8chv.png



3. Safe Mode with Command Prompt + stergerea manuala a virusului

Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.

Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.

Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.

Star Menu > Run > %appdata%

Stergeti fisierul cache.dat. Gata!

cache.dat este o copie a virusului care a patruns in sistem si este perfect executabil daca ii modificati extensia in .exe.

Registrul modificat este urmatorul:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“shell”=”explorer.exe, C:\\Documents and Settings\\Administrator\\Application Data\\cache.dat”

In asa fel se injecteaza acel fisier in procesul explorer.exe al Windows de fiecare data cand porniti computerul.
 
Loading...
Back
Sus