CERT.LV brīdina par “Policijas” izspiedējvīrusa izplatību

Pēdējā laikā atkal ir aktualizējusies sērga ar tā saucamo “policijas vīrusu”, tāpēc nolēmām pārpublicēt cert.lv pamācību cīņā ar šo vīrusu.

“Policijas” vīrusam raksturīgs uznirstošs logs, kas satur tekstu samērā labā latviešu valodā, izmanto Latvijas policijas atribūtiku un nobloķē lietotāja datoru. Lielākai ticamībai tiek parādīta arī lietotāja IP adrese un lietotāja fotogrāfija (ja pieejama webkamera).

Lietotājam tiek uzrādīta apsūdzība par nelegālu materiālu aplūkošanu, nelicenzētas programmatūras lietošanu vai neatļautu darbību veikšanu internetā un pieprasīts maksāt sodu, izmantojot PaySafe norēķinu sistēmu.

Ja gadījumā jūsu dators ir ticis inficēts, tad nekādā gadījumā nemaksājiet par tā atbloķēšanu, bet meklējiet palīdzību pie sava datorspeciālista!

Ja tomēr esat samaksājuši, tad sazinieties ar PaySafe (palīdzības dienesta tālrunis Latvijā 80004278 darba dienās 12:00-20:00) pēc iespējas ātrāk un lūdziet apturēt maksājumu, jo maksājums no Jums ir ticis izkrāpts (vajadzīgs čeks un PaySafe numurs).

Kā vīruss nonāk datorā?

Viens no variantiem, kā vīruss nonāk lietotāja datorā, ir, lietotājam aplūkojot inficētus video materiālus internetā. Vīruss izmanto Adobe Flash un Oracle Java ievainojamības, lai izpildītu ļaundabīgo kodu.

Otrs variants ir, ja tiek nospiests uz saitēm meklēšanas rezultātos, piemēram, Google, kas satur infekciju (šis variants ir raksturīgs gadījumiem, kad meklēšanas termins ir izvēlēts tāds, kas lietotājam varētu radīt sajūtu, ka viņš tomēr ir izdarījis kaut ko nelikumīgu).

Diemžēl šis vīruss strauji attīstās un iespējami arī citi varianti, kā dators var tikt inficēts ar izspiedējvīrusu (un citiem vīrusiem).

Lai pasargātu sevi un savu datoru, ir jārūpējas par savlaicīgu programmatūras atjaunināšanu un regulāri jāpārliecinās, ka uz datora ir jaunākie atjauninājumi.

Vīruss izmanto Adobe Flash, Adobe Reader un Java ievainojamības. Lai pasargātu sevi no “Policijas” izspiedējvīrusa, pārliecinieties, ka uz jūsu datora ir jaunākie šo programmu atjauninājumi!

Pielikums – Tehniskā informācija:

Kā datoru atbrīvot no vīrusa:

1) Izmantojot glābšanas disku (rescue CD).

Daži no glābšanas diskiem:

a. Kaspersky Rescue Disk
http://support.kaspersky.com/viruses/rescuedisk

b. Dr.Web LiveCD
http://www.freedrweb.com/livecd/?lng=en

c. AVG Rescue CD
http://www.avg.com/us-en/avg-rescue-cd

d. F-Secure Rescue CD
http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142

e. Salīdzinošais raksts ar dažādiem rīkiem
https://www.comparitech.com/antivirus/free-virus-malware-removal/

Piedāvāto portatīvā antivīrusa programmatūru jāieraksta CD/DVD vai USB atmiņas kartē, izveidojot glābšanas disku, un jāizmanto inficētā datora ārstēšanai, startējot datoru no glābšanas diska.

Katra konkrētā glābšanas diska lietošanas instrukcijas meklējiet atbilstošajā izstrādātāja mājas lapā.

2) Izmantojot komandrindu.

Lai pārbaudītu, kura Windows versija ir uz jūsu datora, spiediet Start, uz My Computer noklikšķiniet labo peles pogu, izvēlieties Properties un sadaļā General var redzēt operētājsistēmas versiju.

PAPILDINĀTS: Vīrusa versijai, kura prasa maksāt 100 LVL lielu sodu, datora atbloķēšana no komandrindas var nestrādāt. Tādā gadījumā jāizmanto glābšanas disks (skat. augstāk).

Windows 7

a) Vīrusa versijai, kurā minēts arī Iekšlietu ministrijas Informācijas centrs:

1. startējot datoru spiežam F8
2. Izvēlamies “Safe Mode With Command Prompt”
3. ievadiet paroli, ja tā tiek prasīta (lietotājam ar administratora tiesībām)
4. cd %userprofile%
5. del wgsdgsdgdsgsd.exe
6. del “Local Settings\Temp\wgsdgsdgdsgsd.dll”
7. del “Start Menu\Programs\Startup\runctf.lnk”
8. shutdown -r -t 0

Pēc katras komandas spiest ENTER!

b) Vīrusa versijai ar tekstu “Latvijas Policijas Kibernoziegumu departaments”:

1. startējot datoru spiežam F8
2. Izvēlamies “Safe Mode With Command Prompt”
3. ievadiet paroli, ja tā tiek prasīta (lietotājam ar administratora tiesībām)
4. cd %userprofile%
5. del “Start Menu\Programs\Startup\runctf.lnk”
6. cd %TEMP%
7. del wgsdgsdgdsgsd.exe
8. shutdown -r -t 0

VAI

1. startējot datoru spiežam F8
2. Izvēlamies “Safe Mode With Command Prompt”
3. ievadiet paroli, ja tā tiek prasīta (lietotājam ar administratora tiesībām)
4. cd %AllUsersProfile%
5. del 0tbpw.pad
6. del lsass.exe
7. cd %AllUsersProfile%\”Application Data”\”Start Menu”\Programs\Startup
8. del *.lnk
9. shutdown -r -t 0

Pēc katras komandas spiest ENTER!

c)  Vecākai vīrusa versijai (tikai ar Latvijas policiju):

1. startējot datoru spiežam F8
2. Izvēlamies “Safe Mode With Command Prompt”
3. cd %userprofile%
4. cd Appdata
5. cd Roaming
6. del msconfig.dat
7. shutdown -r -t 0

Windows XP

a) Vīrusa versijai ar tekstu “Latvijas Policijas Kibernoziegumu departaments”:

1. startējot datoru spiežam F8
2. Izvēlamies “Safe Mode With Command Prompt”
3. ievadiet paroli, ja tā tiek prasīta (lietotājam ar administratora tiesībām)
4. cd %userprofile%
5. del wgsdgsdgdsgsd.exe
6. del “Start Menu\Programs\Startup\runctf.lnk”
7. shutdown -r -t 0

VAI

1. startējot datoru spiežam F8
2. Izvēlamies “Safe Mode With Command Prompt”
3. ievadiet paroli, ja tā tiek prasīta (lietotājam ar administratora tiesībām)
4. cd %AllUsersProfile%
5. cd %APPDATA%
6. del 0tbpw.pad
7. del lsass.exe
8. cd “Start Menu”\Programs\Startup\
9. del *.lnk
10. shutdown -r -t 0

Pēc katras komandas spiest ENTER!

b)  Vecākai vīrusa versijai (tikai ar Latvijas policiju):

1. startējot datoru spiežam F8
2. Izvēlamies “Safe Mode With Command Prompt”
3. cd %userprofile%
4. cd “Application Data”
5. del msconfig.dat
6. shutdown -r -t 0

Ja sniegtie ieteikumi šķiet pārāk sarežģīti, lūdziet datorspeciālista palīdzību, lai atbrīvotu datoru no izspiedējvīrusa.

Atbildēt