Nu mai rulasem de mult un virus asa ca am intrat azi pe un site ce contine linkuri cu virusi noi si am descarcat un executabil a carui descriere era Trojan.Ransom. Am vrut sa-l analizez folosind metoda in interiorul unei masini virtuale. Insa virusul a refuzat sa ruleze in Sandboxie, dand un mesaj de eroare, asa ca a trebuit sa-l rulez simplu in masina virtuala. Timp de cateva momente nu s-a intamplat nimic, dar deodata intreg ecranul a devenit alb si mai apoi mi-a aparut frumoasa pagina de mai jos:
Pe acea pagina apar o gramada de acuzatii false care mai de care mai diverse si folosesc imaginea mai multor institutii romane (presedinte si servicii din cadrul ministerului de afaceri interne) pentru a parea credibili.
Scopul autorilor acestui virus este de a pacali victimele sa plateasca o asa-zisa amenda de 300 de lei prin card bancar, tipic aplicatiilor ransomware.
Din pacate, virusul este foarte agresiv: in afara de acea pagina full-screen victima nu poate accesa nimic. Pe BleepingComputer.com a aparut acum cateva zile un articol despre un virus care seamana izbitor cu cel prezentat aici. Probabil ca virusul identifica tara in functie de IP-ul victimei si afiseaza mesajul in limba tarii respective.
Detectia pe VirusTotal: 7/47 antivirusi detecteaza acest malware – destul de slab.
Virusul nu permite rularea altor programe, nici macar folosirea unor scurtaturi de taste pentru a lansa aplicatii ale Windowsului. Mai mult, daca pornim Windows in Safe-Mode sau in Safe-Mode with Networking, inainte de a aparea Desktopul sistemul se restarteaza automat.
Totusi un sistem infectat cu acest virus poate porni in Safe Mode with Command Prompt si acest lucru poate fi folosit pentru a repara problema.
Solutii pentru a scapa de acest virus
1. Disc sau USB bootabil:
a. Folositi HitmanPro.Kickstart USB – Este un utilitar care se instaleaza pe un stick USB si de pe care puteti boota calculatorul infectat, fara a mai intra in Windows. De acolo veti putea sterge cu usurinta virusul.
b. O alta solutie eficienta la acelasi capitol o reprezinta Kaspersky Rescue Disk. Creati un disc bootabil si scanati de pe el. Va sterge cu siguranta infectia.
2. Trojan.Ransom.IcePol Removal de la BitDefender – http://www.bitdefender.com/VIRUS-1000659-en–Trojan-Ransom-IcePol.html
2. Safe Mode with Command Prompt + Malwarebytes Anti-Malware
Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.
Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.
Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.
Faceti rost de la alt computer de kitul de instalare Malwarebytes Anti-Malware, instalati-l si eliminati tot ce gaseste. La final puteti restarta computerul si acesta va porni ca nou.
3. Safe Mode with Command Prompt + stergerea manuala a virusului
Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.
Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.
Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.
Star Menu > Run > %appdata%
Stergeti fisierul cache.dat. Gata!
cache.dat este o copie a virusului care a patruns in sistem si este perfect executabil daca ii modificati extensia in .exe.
Registrul modificat este urmatorul:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“shell”=”explorer.exe, C:\\Documents and Settings\\Administrator\\Application Data\\cache.dat”
In asa fel se injecteaza acel fisier in procesul explorer.exe al Windows de fiecare data cand porniti computerul.
Pe acea pagina apar o gramada de acuzatii false care mai de care mai diverse si folosesc imaginea mai multor institutii romane (presedinte si servicii din cadrul ministerului de afaceri interne) pentru a parea credibili.
Scopul autorilor acestui virus este de a pacali victimele sa plateasca o asa-zisa amenda de 300 de lei prin card bancar, tipic aplicatiilor ransomware.
Din pacate, virusul este foarte agresiv: in afara de acea pagina full-screen victima nu poate accesa nimic. Pe BleepingComputer.com a aparut acum cateva zile un articol despre un virus care seamana izbitor cu cel prezentat aici. Probabil ca virusul identifica tara in functie de IP-ul victimei si afiseaza mesajul in limba tarii respective.
Detectia pe VirusTotal: 7/47 antivirusi detecteaza acest malware – destul de slab.
Virusul nu permite rularea altor programe, nici macar folosirea unor scurtaturi de taste pentru a lansa aplicatii ale Windowsului. Mai mult, daca pornim Windows in Safe-Mode sau in Safe-Mode with Networking, inainte de a aparea Desktopul sistemul se restarteaza automat.
Totusi un sistem infectat cu acest virus poate porni in Safe Mode with Command Prompt si acest lucru poate fi folosit pentru a repara problema.
Solutii pentru a scapa de acest virus
1. Disc sau USB bootabil:
a. Folositi HitmanPro.Kickstart USB – Este un utilitar care se instaleaza pe un stick USB si de pe care puteti boota calculatorul infectat, fara a mai intra in Windows. De acolo veti putea sterge cu usurinta virusul.
b. O alta solutie eficienta la acelasi capitol o reprezinta Kaspersky Rescue Disk. Creati un disc bootabil si scanati de pe el. Va sterge cu siguranta infectia.
2. Trojan.Ransom.IcePol Removal de la BitDefender – http://www.bitdefender.com/VIRUS-1000659-en–Trojan-Ransom-IcePol.html
2. Safe Mode with Command Prompt + Malwarebytes Anti-Malware
Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.
Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.
Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.
Faceti rost de la alt computer de kitul de instalare Malwarebytes Anti-Malware, instalati-l si eliminati tot ce gaseste. La final puteti restarta computerul si acesta va porni ca nou.
3. Safe Mode with Command Prompt + stergerea manuala a virusului
Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.
Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.
Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.
Star Menu > Run > %appdata%
Stergeti fisierul cache.dat. Gata!
cache.dat este o copie a virusului care a patruns in sistem si este perfect executabil daca ii modificati extensia in .exe.
Registrul modificat este urmatorul:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“shell”=”explorer.exe, C:\\Documents and Settings\\Administrator\\Application Data\\cache.dat”
In asa fel se injecteaza acel fisier in procesul explorer.exe al Windows de fiecare data cand porniti computerul.