TvrtkaPartneri
 

NORT - Baza znanja

   
 
Pretraga Baze Znanja
Traži Opcije
Kako ukloniti LockScreen / Ransomware / "Police virus" / "MUP virus"

 

Pitanje

  • Obavijest koja izgleda kao da je od MUP-a zaključala je ekran vašeg računala i traži od vas da platite kaznu.

 

(1) Detalji
(2) Čišćenje
(3) Dodatne akcije
(4) Za naprednije korisnike

 

 

 

 

(1) Detalji

 

 

  • Tzv. LockScreen (poznat i pod nazivima ransomware, "policijski virus", "MUP virus", "FBI", ...) nije virus nego obična izvršna datoteka koja se instalira na računalo korištenjem propusta u Javi i programiran je da bi ometao korisnika u radu te ga naveo da plati navodnu kaznu i time autoru ovog zlonamjernog programa donio financijsku korist. Ovaj program na računalo se instalira isključivo kod korisnika kojima Java ili neki drugi programi, uključujući i operacijski sustav Windows, nisu ažurirani na najnoviju dostupnu verziju ili nisu preuzeli i instalirali najnovije sigurnosne zakrpe.

    Program po pokretanju blokira pristup radnoj površini i na ekranu prikaže polupismen tekst koji upozorava korisnika da je zbog protuzakonitog korištenja Interneta dužan platiti kaznu (vidi sliku 1-1). U gotovo svim prijavljenim incidentima program se aktivirao tako da su korisnici kliknuli na link koji im je bio ponuđen u e-poruci ili na nekoj web-stranici - trik koji uspješno djeluje već desetljećima. Link je otvorio stranicu na kompromitiranom web-serveru te zahvaljujući Javi preuzeo, instalirao i pokrenuo izvršnu datoteku.

Slika 1-1

 

Svaki dan otkrivaju se nove varijante ovoga zlonamjernog programa, ovdje ćemo opisati nekoliko načešćih:

 

Varijanta A

  • stvara datoteke "%AppData%\SKYPE.*", "%AppData%\ALTSHELL.*" ili "%AppData%\CACHE.*" ->[*1]

  • kreira (ili mijenja) zapis u registru: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    -> Shell
    tako da na sadržaj "EXPLORER.EXE" doda putanju do svog izvršnog programa, pa u konačnici stavka izgleda ovako:
    "EXPLORER.EXE,%AppData%\SKYPE.DAT" (ili odgovarajući alternativni naziv)
    (ako stavka Shell nije postojala u Registru, malware će ju stvoriti)

  • u direktorij %Tmp% kopira datoteke potrebne za prikaz HTML stranice

  

Varijanta B

Razlikuje se samo u nazivu datoteka - umjesto SKYPE.* instalira datoteke pod nazivom "ALTSHELL.DAT" i "ALTSHELL.INI" i stvara odgovarajući zapis u Registru.

 

Varijanta C

Razlikuje se samo u nazivu datoteka - stvara datoteke pod nazivom "CACHE.DAT" i "CACHE.INI" i odgovarajući zapis u Registru.
 

  

 

 

(2) Čišćenje

(2.1) Automatsko čišćenje

ESET je omogućio nevidljivo brisanje novih / nepoznatih verzija ovog programa. Ukoliko se nova verzija programa uspjela instalirati na Vaše računalo, dovoljno je:

  • isključiti računalo
  • pričekati 10-tak minuta
  • uključiti računalo
  • pričekati 10-tak minuta
  • ponovno isključite računalo
  • pričekajte 10-tak minuta
  • uključite računalo

Iako izgleda da je računalo blokirano, ESET-ovi programi se nadograđuju i komuniciraju sa serverima. Tijekom tog postupka ESET-ovi programi će poslati na analizu sumnjivi uzorak, pokrenuti aktualizaciju baze virusnih potpisa i inicijalno skeniranje sustava, te ukloniti program.

Ako to ne pomogne u Vašem slučaju, prijeđite na točku (2.2).

 

(2.1) Pokretanje računala u  "Safe mode with command prompt"
 

  • Isključite računalo

  • Uključite ga i pokrenite u "Safe mode with command prompt" (drugi načini uglavnom ne omogućuju uklanjanje) - Pogledajte sliku 1-2

  • Upute za pokretanje računala u "Safe mode with command prompt" možete pronaći ovdje
    Microsoft ima upute "Opis mogućnosti pokretanja sustava Windows XP u sigurnom načinu rada" na ovoj web adresi.
    (tekst vrijedi za sve verzije Windowsa)

  • Pričekajte da se pojavi tekst
    C:\Windows\System32>_
       ili
    C:\Documents and settings\korisnik>_


Slika 1-2: Safe mode with command prompt

kliknite na sliku za veći prikaz

 

(2.3) Čišćenje registra

  • Osigurajte da je računalo pokrenuto u "Safe mode with command prompt"

  • pokrenite RegEdit tako da u naredbeni redak upišete naredbu regedit i potom pritisnete tipku ENTER

  • otvorite granu "My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"

  • označite stavku "Shell"

  • Zabilježite putanju i naziv izvršne datoteke zlonamjernog programa. Putanja i naziv datoteke nalaze se iza teksta EXPLORER.EXE (pogledajte sliku 1-3). Ovo je bitno zbog kasnijeg brisanja samog zlonamjernog programa.

  • u stavki "Shell" uklonite sav tekst osim EXPLORER.EXE (Pogledajte sliku 1-3)
    (primjer: umjesto teksta
    "EXPLORER.EXE,C:\Documents and Settings\<UserName>\Application Data\SKYPE.DAT"
    treba ostati samo
    "EXPLORER.EXE")

lockscreen ransomware police mup virus

Slika 1-3: Čišćenje registra 

kliknite na sliku za veći prikaz

   

(2.4) Brisanje zlonamjernog programa

  • Osigurajte da je računalo pokrenuto u "Safe mode with command prompt"

  • Pričekajte da se pojavi tekst
    C:\Windows\System32>_
       ili
    C:\Documents and settings\korisnik>_

  • Utipkajte    CD  %APPDATA%

  • Utipkajte    DEL  pa  (naziv izvršne datoteke zlonamjernog programa).*  i pritisnite tipku [Enter] Važno je da upišete naziv te datoteke bez ekstenzije, a potom upišete znak . (točka) pa znak * ("zvjezdica")

  • (moguću poruku "Could not find (...) (naziv datoteke zlonamjernog programa.*)" ignorirajte i krenite na sljedeći korak)

 

(2.5) Čišćenje diska

 

Napomena:
 

Za naprednije korisnike

Da bi radna površina postala dostupnom "dovoljno" je prekinuti proces "EXPLORER.EXE" i ponovno ga pokrenuti. Riječ "dovoljno" je pod navodnicima jer je to u praksi gotovo neizvedivo "na slijepo"; praktički preostaje samo mogućnost mrežne administracije alatima kao što je PSKill ili kreiranja skripte u mapi StartUp koja će prekinuti Explorer nakon ponovnog pokretanja računala.

 

 

(3) Dodatne akcije

 

Kako biste svoj operacijski sustav održali zaštićenim od ovakvih zlonamjernih programa koji ne spadaju u kategoriju virusa, crva ili sličnih infektivnih datoteka, neophodno je ažurirati komponente Windowsa i aplikacija:

 

 

(4) Za naprednije korisnike

 

  • pokrenite računalo u Safe mode with Command Prompt
  • Uklonite zapis iz Registry baze prema uputama u točki 2.3 ove upute
  • Nakon uklanjanja zapisa iz Registry baze utipkajte sljedeće naredbe:
    • DEL  %AppData%\(naziv izvršne datoteke zlonamjernog programa).*
    • DEL  %TMP%\*.* /Q
  • restartajte računalo u uobičajeni način rada
  • nadogradite OS i aplikacije

--

->[*1] %AppData% ... sistemska varijabla koja ukazuje na sljedeće lokacije:

  • Windows XP ... C:\Documents and Settings\<UserName>\Application Data\

  • Windows 7 .... C:\Users\<UserName>\AppData\Roaming\

->[*2] U slučaju da je ESET-ov program u trenutku napada bio aktualiziran i usprkos tome nije prepoznao zlonamjernu datoteku, radi se o novoj varijanti malwarea i molimo da nam što prije pošaljete uzorak (upute za slanje).

--
Ključne riječi: malware, eset, ransomware, lockscreen, kryptik, mup rh, policija, fbi, čišćenje, ciscenje
 

(posljednji puta revidirano 03.08.2016)
SOLN3140

 

   
instagram begeni
free spins no deposit 2017
paykasa
mobilepornxtube mobile18porn mobilefuckporn mobilexxxsexporn
steroid fiyatlari
bodrum escort
instagram takipci hilesi
eskisehir escort porno
Mersin Escort
escort bodrum
ankara escort
bursa escort
steroid satin al
instagram takipci satin al instagram takipci satin al
porno izle