piątek, 19 października 2012

Ten wirus sieje panikę

Dzisiaj przyniesiono mi komputer z dziwnymi objawami wskazującymi na jego zainfekowanie. Ale od początku.

Komputer przyniosła mi sekretarka. Poprosiła mnie na osobności i wytłumaczyła mi, co się dzieje. Wczoraj w domu przeglądała internet na służbowym laptopie i pojawił się jej dziwny komunikat, a na komputerze nie dało się normalnie pracować. Miała zapłacić 300 zł okupu, inaczej zostanie założona sprawa karna przeciw niej za różne nadużycia komputerowe, których rzekomo się dopuściła. Brzmi sensacyjnie, pomyślałem, ale i trochę niewiarygodnie. W końcu włączyła laptop i pokazała mi. Windows XP włączył się normalnie, jednak po ok. 30 s pojawił się komunikat na cały ekran, że komputer został zablokowany ze względu na nadużycia internetowe. Na górze widniało logo polskiej Policji. Obok był podgląd z obrazu z kamery zainstalowanej na klapie laptopa wraz z komunikatem, że obraz jest rejestrowany. Sprytna sekretarka zakleiła od razu otwór kamery taśmą, po czym wyłączyła system i dziś z rana od razu poprosiła mnie o pomoc. Sekretarka zapytała, czy to jest prawda i czy będzie musiała zapłacić 300 zł.


 Przyjrzałem się przez 30 s ekranowi po czym stwierdziłem: "to fałszywka". Odetchnęła z ulgą.

Co wzbudziło moją podejrzliwość?
Jako człowiek piszący artykuły w internecie zwracam szczególną uwagę na poprawność pisanego tekstu, zarówno pod względem składniowym, gramatycznym, interpunkcyjnym, jak i merytorycznym. Uwagę moją zwróciły: 
  • napis "Polska Policja", niepoprawna składnia ,
  • napis Cyberprzestępczość Department. Nie ma słowa department w języku polskim,
  • napis "Eśli grzywna", literówka,
  • przycisk z napisem "Przedkładać",
  • mało znany w Polsce system płatności Paysafecard,
  • mieszanka wszystkich możliwych do popełnienia paragrafów w internecie. Na pewno zarzuty te nie dotyczyły sekretarki,
  • sposób pisania kwoty "zł300".

 Adres IP pokazywany przez tą aplikację nie zgadzał się z adresem routera firmowego, który znam na pamięć. Dalej, zarzucano nieświadomemu użytkownikowi, że rozpowszechniał pliki chronione prawem autorskim, rozpowszechniał pornografię, także tą z udziałem dzieci, popularyzował terroryzm (??), zainfekował inne komputery, użytkownik komputera uprawiał hazard online, co jest w Polsce zabronione.

Czym był zainfekowany komputer?
Wiedziałem czego szukać. Po chwili korzystając z wyszukiwarki znalazłem szukane informacje. Wirus nazywa się Weelsof, właściwie jest to trojan. Pierwsze doniesienia CERT'u znalazłem na ten temat z początku maja 2012 r.


Co robi trojan Weelsof?
Weelsof blokuje komputer, powodując go niezdatnym do użytku. Na takim komputerze nie można uruchomić żadnego programu, nie można otworzyć strony internetowej, nie można uruchomić task managera, nie działa Ctrl+Alt+Del, nie działa Alt+F4, nie działa klawisz Win. Jedyne co działa to pole do wpisania kodu odblokowującego. Sam kod trzeba uzyskać inną metodą, z zainfekowanego komputera nie da się. Za odblokowanie komputera twórcy tego złośliwego oprogramowania żądają 300 zł.

Jak dochodzi do infekcji ?
Do infekcji dochodzi poprzez odwiedzenie podstawionej strony z exploitem, która wykorzystuje podatność przeglądarki internetowej i pobiera, a następnie instaluje złośliwe oprogramowanie.

Jak usunąć Weelsof'a z komputera?
Jak przyznaje CERT, najmniej konfliktowa metoda to wpisanie kodu UKASH. CERT stworzył generator takiego kodu i twierdzi, że program sprawdza jedynie kilka pierwszych cyfr kodu, a poprawne ciągi zaczynają się od 718 lub 633781. Skorzystałem z podanego generatora, niestety ta metoda już nie działa. Przestępcy przez kilka miesięcy zdążyli dopracować swój twór. Także sposób z odłączaniem internetu podczas wprowadzania kodu nie działa.

--> Druga metoda polega na ręcznym oczyszczeniu komputera. Należy go uruchomić w trybie awaryjnym z wierszem polecenia (F8 przy starcie). Uruchamia się nam konsola. Wkładamy do portu USB pendrive z wypakowanymi wcześniej plikami, które można pobrać tutaj. W konsoli wpisujemy kolejno literki alfabetu, np. D: [Enter] i listujemy pliki i katalogi na dysku poleceniem dir. Jeśli po plikach i katalogach rozpoznamy że pod tą literą kryje się nasz pendrive, to ok. Jeśli nie, postępujemy tak do skutku aż znajdziemy wolumen pendrive'a, tj. E: [Enter] itd. Jeśli wypakowaliśmy na pendrive pliki do katalogu Autoruns, to wpisujemy w konsoli cd Autoruns i dalej Autoruns.exe.
Uruchomi się program graficzny. Dalej postępujemy według instrukcji CERT'u i usuwamy nieprawidłowe wpisy z Logon i Scheduled tasks. Jeśli znajdziemy tam coś podejrzanego, to odznaczamy podejrzany wpis, uruchamiamy komputer ponownie i sprawdzamy, czy trojan się nie uruchamia. Najpewniejszym sposobem jest przeskanowanie komputera programem antywirusowym, oczywiści gdy system operacyjny nie jest załadowany. W tym celu należy wypalić płytę bootowalną (pobieramy obraz iso) z programem antywirusowym, który przeskanuje komputer pod kontrolą własnego systemu, a nie pod kontrolą Windowsa. Tylko to jest gwarantem, że skaner wykryje malware i wyczyści całkowicie komputer. Pamiętajcie, że malware ma opcję samoreplikacji, przyjmuje też losowe nazwy i rezyduje w coraz to rusz innych lokalizacjach. Dlatego walka z takim malware jest niezwykle trudna. Można też spróbować prostego sposobu, a mianowicie uruchomić komputer w trybie awaryjnym {GUI} i spróbować przywrócić system do wybranego punktu.

Aktualizacja 22.10.2012
Rozwiązanie tymczasowe: uruchomić komputer w trybie awaryjnym. Stworzyć nowe konto użytkownika-administratora. Na tym koncie wirus nie blokuje komputera (do czasu).

Usuwanie wirusa-należy wgrać na pendrive program Combofix. Następnie uruchomić komputer w trybie awaryjnym z linią poleceń. Wpisać w konsolę ścieżkę dostępu do pliku na pendrive, np. H:\combofix.exe
Uruchomić program, który przeprowadzi kilkadziesiąt etapów sprawdzania komputera, a na końcu wygeneruje log. U mnie w ten sposób znalazło plik lsass.vir.exe i usunęło. Po tej operacji komputer był czysty.
Warto pamiętać (w przypadku Windows XP), aby konto do codziennej pracy posiadało ograniczone uprawnienia. Natomiast możemy stworzyć konto administratora na hasło. Nowe programy możemy instalować na koncie ograniczonym, trzeba jedynie kliknąć na nie prawym klawiszem i wybrać Uruchom jako Administrator.
Aktualizacja 11.12.2012
Najnowszy combofix. Sposób z ComboFix jest niezwykle skuteczny i wbrew pozorom nieskomplikowany. Należy jedynie uruchomić system w trybie awaryjnym z wierszem polecenia, a następnie wpisać w linii poleceń F: <enter> ComboFix.exe <enter> gdzie F to literka naszego pendrive'a. Wcześniej należy wyłączyć antywirusy.

15 komentarzy:

Michał Gradoń pisze...

polecam HijackThis (@06.11.2012)

w moim przypadku (Win7x64) programik miał nazwę "Isass.exe" lub "lsass.exe" dla zmyłki - nie zdążyłem się przyjrzeć. wylogowanie i odłączenie rj45 albo sieciówki.

Daniel Sobocinski pisze...

Świetny blog!
Wiele przydatnej wiedzy i bogatej treści
Zapraszam do mnie, jeśli spodobała Ci się treść przedstawiona na moim Blogu dodaj mnie do followersów.
Odwdzięczę się tym samym
Banners Broker

Jemich pisze...

Witam, u mnie wystąpił dziś identyczny problem, tylko że ja raczej nie jestem zbyt dobry w te klocki i nie pomyślałem zbyt trzeźwo (totalnie nie wiedząc o co chodzi i co zrobiłem źle, i co to w ogóle jest, dopiero teraz szukam i dowiedziałem się, że to dość powszechny problem i ,całe szczęście fałszywka) i po prostu wyłączyłem komputer. Potem włączyłem i wszystko jak dotąd działa idealnie (kilkanaście godzin), internet, wszystkie programy.... czy mogę się jeszcze czegoś spodziewać, bać się że jednak po 48 godzinach coś się zablokuje czy co??? :( Proszę o pomoc....

doctor pisze...

@Jemich: Trojan raczej sam się nie skasuje. Gorąco zachęcam do sposobu z ComboFixem, to sposób skuteczny. Czytać uważnie instrukcję, na pewno wszystko zrobisz dobrze.

Andrzej Strzelba pisze...

Własnie zrobiłem wszystko według wskazówek z tekstu... nna koncu został wygenerowany jakis log. co dalej z nim zrobic? czy to juz po wszystkim, czy nie mam juz tego trojana na komputerze?

doctor pisze...

Witam,
log jest tylko informacyjny, gdyż jest on generowany po naprawieniu systemu.Combofix jest programem mocno ingerującym w system, aczkolwiek sam kilkukrotnie usuwałem trojana tą metodą i zaręczam, że jest skuteczna. Dla osób które mają czas bawić się w logi i ich analizę to polecam zrobić najpierw analizę programem OTL i ... przekazać log dobremu informatykowi, który rozkmini co w tym logi może być nie tak ;)
Pozdrawiam

Natalia Nowak pisze...

Witam,

Mam ten sam problem, bo dzisiaj policja z Sępolna mnie dopadła..
To jest niestety jakaś nowsza, ulepszona wersja, bo zamiast komendanta na stronie jest grupka antyrerorystów i mimo trybu awaryjnego komputer jest cały czas zablokowany:(

Będę bardzo wdzięczny za jakieś wskazówki.

Pozdrawiam!

doctor pisze...

Proszę o zrzut ekranu i jakieś dodatkowe informacje co Pan robił i co nie działa.

Edyta Jezierska pisze...

witam próbuje wszystko zrobić wedlug wskazowek z combofixem , niestety nie wiem jak wpisac to w konsolę ścieżkę dostępu do pliku na pendriv? moge prosico pomoc

Tomek pisze...
Ten komentarz został usunięty przez autora.
Tomek pisze...

Możesz uruchomić normalny tryb awaryjny bez sieci (podczas uruchamia komputera przyciskać F8 - wyświetli się lista wyboru). Jak się windows w trybie awaryjnym załaduje to podłącz pendrive i zobacz w mój komputer jaką ma literę (powinno się pojawić na końcu listy napędów). Przy okazji bycia w trybie awaryjnym możesz wyłączyć automatyczne uruchamianie antywirusa. Jak już wszystko jest zrobione to uruchamiasz jeszcze raz komputer w trybie awaryjnym z wierszem poleceń (znowu F8 tylko inna pozycja z listy). Jak się wszystko załaduje to pojawi się okno na czarnym tle gdzie można pisać. Wpisujesz literę którą ma pendrive i dwukropek np. u mnie było G, czyli G: i przyciskasz Enter. Kolejny wiersz zmieni się, wyskoczy litera pendrive np: G:\
Wtedy wpisujesz combofix.exe i znowu przyciskasz Enter (program się uruchomi). Zakładam, że plik combofix jest na pendrivie w katalogu głównym, tzn. jak otwiera się okno pendrive'a to widać bezpośrednio plik, nie jest on w żadnym katalogu.

teura pisze...

Witam,
mam ten sam problem z wirusem, ale nie mogę po kliknięciu f8 nie mogę wybrać trybu awaryjnego, gdyż klawiatura nie reaguje. Podłączona jest poprzez USB, a nie mam dostępu do innego podłączenia. Czy jest jakiś inny sposób obejścia wirusa?

doctor pisze...

A jest to standardowa klawiatura? Być może dopiero system musi doinstalować sterowniki do niej. Proszę spróbować inny klawisz aby wejść w zaawansowane opcje uruchamiania (F6,F12,F8,Ctrl). Jeśli to laptop to proszę poczytać w instrukcji,jaki skrót uruchamia to menu. Jak nie da rady, to niech Pan normalnie uruchomi system,wyłączy internet i uruchomi Combofixa z pendrive.

ciasteczkowypotwor Twoje imię i nazwisko pisze...

Combo Fix u mnie nie zadziałał

mało tego pousuwał z systemu ważne pliki, które musiałem potem poprzywracać z płyty instalatora Win XP

Nagrajcie sobie Kavrescue na USB/SD, albo CD

https://support.kaspersky.com/4162

i po sprawie NIE UŻYWAJCIE COMBOFIXA to ściema

pogrizzly pisze...

Najnowsze wersje można usunąć w trybie awaryjnym programem Malwarebytes' Anti-Malware. Combofix nie radzi sobie z tym... Nie widać również wpisów w rejestrach w opisanych wyżej miejscach. Pół dnia nad tym siedziałem ;)

Prześlij komentarz