TvrtkaPartneri
 

NORT - Baza znanja

   
 
Pretraga Baze Znanja
Traži Opcije
Kako ukloniti LockScreen / Ransomware / "Police virus" / "MUP virus"

 

Pitanje

  • Obavijest koja izgleda kao da je od MUP-a zaključala je ekran vašeg računala i traži od vas da platite kaznu.

 

(1) Detalji
(2) Čišćenje
(3) Dodatne akcije
(4) Za naprednije korisnike

 

 

 

 

(1) Detalji

 

 

  • Tzv. LockScreen (poznat i pod nazivima ransomware, "policijski virus", "MUP virus", "FBI", ...) nije virus nego obična izvršna datoteka koja se instalira na računalo korištenjem propusta u Javi i programiran je da bi ometao korisnika u radu te ga naveo da plati navodnu kaznu i time autoru ovog zlonamjernog programa donio financijsku korist. Ovaj program na računalo se instalira isključivo kod korisnika kojima Java ili neki drugi programi, uključujući i operacijski sustav Windows, nisu ažurirani na najnoviju dostupnu verziju ili nisu preuzeli i instalirali najnovije sigurnosne zakrpe.

    Program po pokretanju blokira pristup radnoj površini i na ekranu prikaže polupismen tekst koji upozorava korisnika da je zbog protuzakonitog korištenja Interneta dužan platiti kaznu (vidi sliku 1-1). U gotovo svim prijavljenim incidentima program se aktivirao tako da su korisnici kliknuli na link koji im je bio ponuđen u e-poruci ili na nekoj web-stranici - trik koji uspješno djeluje već desetljećima. Link je otvorio stranicu na kompromitiranom web-serveru te zahvaljujući Javi preuzeo, instalirao i pokrenuo izvršnu datoteku.

Slika 1-1

 

Svaki dan otkrivaju se nove varijante ovoga zlonamjernog programa, ovdje ćemo opisati nekoliko načešćih:

 

Varijanta A

  • stvara datoteke "%AppData%\SKYPE.*", "%AppData%\ALTSHELL.*" ili "%AppData%\CACHE.*" ->[*1]

  • kreira (ili mijenja) zapis u registru: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    -> Shell
    tako da na sadržaj "EXPLORER.EXE" doda putanju do svog izvršnog programa, pa u konačnici stavka izgleda ovako:
    "EXPLORER.EXE,%AppData%\SKYPE.DAT" (ili odgovarajući alternativni naziv)
    (ako stavka Shell nije postojala u Registru, malware će ju stvoriti)

  • u direktorij %Tmp% kopira datoteke potrebne za prikaz HTML stranice

  

Varijanta B

Razlikuje se samo u nazivu datoteka - umjesto SKYPE.* instalira datoteke pod nazivom "ALTSHELL.DAT" i "ALTSHELL.INI" i stvara odgovarajući zapis u Registru.

 

Varijanta C

Razlikuje se samo u nazivu datoteka - stvara datoteke pod nazivom "CACHE.DAT" i "CACHE.INI" i odgovarajući zapis u Registru.
 

  

 

 

(2) Čišćenje

(2.1) Automatsko čišćenje

ESET je omogućio nevidljivo brisanje novih / nepoznatih verzija ovog programa. Ukoliko se nova verzija programa uspjela instalirati na Vaše računalo, dovoljno je:

  • isključiti računalo
  • pričekati 10-tak minuta
  • uključiti računalo
  • pričekati 10-tak minuta
  • ponovno isključite računalo
  • pričekajte 10-tak minuta
  • uključite računalo

Iako izgleda da je računalo blokirano, ESET-ovi programi se nadograđuju i komuniciraju sa serverima. Tijekom tog postupka ESET-ovi programi će poslati na analizu sumnjivi uzorak, pokrenuti aktualizaciju baze virusnih potpisa i inicijalno skeniranje sustava, te ukloniti program.

Ako to ne pomogne u Vašem slučaju, prijeđite na točku (2.2).

 

(2.1) Pokretanje računala u  "Safe mode with command prompt"
 

  • Isključite računalo

  • Uključite ga i pokrenite u "Safe mode with command prompt" (drugi načini uglavnom ne omogućuju uklanjanje) - Pogledajte sliku 1-2

  • Upute za pokretanje računala u "Safe mode with command prompt" možete pronaći ovdje
    Microsoft ima upute "Opis mogućnosti pokretanja sustava Windows XP u sigurnom načinu rada" na ovoj web adresi.
    (tekst vrijedi za sve verzije Windowsa)

  • Pričekajte da se pojavi tekst
    C:\Windows\System32>_
       ili
    C:\Documents and settings\korisnik>_


Slika 1-2: Safe mode with command prompt

kliknite na sliku za veći prikaz

 

(2.3) Čišćenje registra

  • Osigurajte da je računalo pokrenuto u "Safe mode with command prompt"

  • pokrenite RegEdit tako da u naredbeni redak upišete naredbu regedit i potom pritisnete tipku ENTER

  • otvorite granu "My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"

  • označite stavku "Shell"

  • Zabilježite putanju i naziv izvršne datoteke zlonamjernog programa. Putanja i naziv datoteke nalaze se iza teksta EXPLORER.EXE (pogledajte sliku 1-3). Ovo je bitno zbog kasnijeg brisanja samog zlonamjernog programa.

  • u stavki "Shell" uklonite sav tekst osim EXPLORER.EXE (Pogledajte sliku 1-3)
    (primjer: umjesto teksta
    "EXPLORER.EXE,C:\Documents and Settings\<UserName>\Application Data\SKYPE.DAT"
    treba ostati samo
    "EXPLORER.EXE")

lockscreen ransomware police mup virus

Slika 1-3: Čišćenje registra 

kliknite na sliku za veći prikaz

   

(2.4) Brisanje zlonamjernog programa

  • Osigurajte da je računalo pokrenuto u "Safe mode with command prompt"

  • Pričekajte da se pojavi tekst
    C:\Windows\System32>_
       ili
    C:\Documents and settings\korisnik>_

  • Utipkajte    CD  %APPDATA%

  • Utipkajte    DEL  pa  (naziv izvršne datoteke zlonamjernog programa).*  i pritisnite tipku [Enter] Važno je da upišete naziv te datoteke bez ekstenzije, a potom upišete znak . (točka) pa znak * ("zvjezdica")

  • (moguću poruku "Could not find (...) (naziv datoteke zlonamjernog programa.*)" ignorirajte i krenite na sljedeći korak)

 

(2.5) Čišćenje diska

 

Napomena:
 

Za naprednije korisnike

Da bi radna površina postala dostupnom "dovoljno" je prekinuti proces "EXPLORER.EXE" i ponovno ga pokrenuti. Riječ "dovoljno" je pod navodnicima jer je to u praksi gotovo neizvedivo "na slijepo"; praktički preostaje samo mogućnost mrežne administracije alatima kao što je PSKill ili kreiranja skripte u mapi StartUp koja će prekinuti Explorer nakon ponovnog pokretanja računala.

 

 

(3) Dodatne akcije

 

Kako biste svoj operacijski sustav održali zaštićenim od ovakvih zlonamjernih programa koji ne spadaju u kategoriju virusa, crva ili sličnih infektivnih datoteka, neophodno je ažurirati komponente Windowsa i aplikacija:

 

 

(4) Za naprednije korisnike

 

  • pokrenite računalo u Safe mode with Command Prompt
  • Uklonite zapis iz Registry baze prema uputama u točki 2.3 ove upute
  • Nakon uklanjanja zapisa iz Registry baze utipkajte sljedeće naredbe:
    • DEL  %AppData%\(naziv izvršne datoteke zlonamjernog programa).*
    • DEL  %TMP%\*.* /Q
  • restartajte računalo u uobičajeni način rada
  • nadogradite OS i aplikacije

--

->[*1] %AppData% ... sistemska varijabla koja ukazuje na sljedeće lokacije:

  • Windows XP ... C:\Documents and Settings\<UserName>\Application Data\

  • Windows 7 .... C:\Users\<UserName>\AppData\Roaming\

->[*2] U slučaju da je ESET-ov program u trenutku napada bio aktualiziran i usprkos tome nije prepoznao zlonamjernu datoteku, radi se o novoj varijanti malwarea i molimo da nam što prije pošaljete uzorak (upute za slanje).

--
Ključne riječi: malware, eset, ransomware, lockscreen, kryptik, mup rh, policija, fbi, čišćenje, ciscenje
 

(posljednji puta revidirano 03.08.2016)
SOLN3140

 

   
instagram begeni
free spins no deposit 2017
paykasa
mobilepornxtube mobile18porn mobilefuckporn mobilexxxsexporn xnxxpornvideos.xyz/a> freexnxxporn.xyz
eskisehir escort porno
escort bodrum
bursa escort
bodrum escort
free porn videos
sirinevler escort sirinevler escort atakoy escort mecidiyekoy escort etiler escort atasehir escort kadikoy escort
turk porno