05.09.2013

Virus UKASH (tudi Reveton, Urausy) od uporabnika zahteva plačilo globe pod pretvezo nelegalnega prenosa avtorsko zaščitenih vsebin. Uporabniku se ob zagonu računalnika prikaže lažno sporočilo slovenske policije, v katerem se zahteva plačilo globe, kot nadomestilo za storjene prekrške. V zadnjem času opažamo porast izsiljevanja na podoben način kot v primeru okužbe, le da se v tem primeru lažno obvestilo policije odpre v brskalniku tekom brskanja po spletnih straneh. V tem primeru ne gre za okužbo, uporabniki morajo zgolj zapreti spletni brskalnik in ob naslednjem zagonu brskalnika ne smejo obnoviti seje brskalnika.

Obvestilo Policije

Kako pride do okužbe?

Uporabnikov sistem se okuži s pregledovanjem spletnih strani, na katerih se nahaja podtaknjena koda (gre za t.i. napad v mimohodu, ang. Drive-By-Download). Slednja poskuša izkoristiti morebitne varnostne luknje v brskalniku obiskovalca za namestitev škodljive kode. V primeru uspešne okužbe se nato na okuženem sistemu ob zagonu prikaže obvestilo. Hkrati proces blokira druga dejanja, ki bi se izognila prikazu obvestila. Več primerov lažnih obvestil slovenske policije, ki jih prikažejo različne variante virusa, lahko najdete na spletni strani https://www.botnets.fr/index.php/Landings_SI.

V večini primerov, ki smo jih preučili na SI-CERT, je do okužbe prišlo zaradi izkoriščanja ranljivosti v starih verzijah programskega paketa Java. Zato uporabnikom priporočamo, da namestijo zadnjo verzijo Jave http://java.com/en/download/index.jsp in jo redno posodabljajo. Če Jave ne potrebujejo pa naj jo odstranijo preko Nadzorne plošče.

Kako odstraniti virus Ukash in ponovno omogočiti dostop do računalnika?

V primeru, da okužba onemogoča uporabo sistema oz. zaganjanje programov, se lahko odstrani na spodaj navedene načine. Obstaja več verzij zlonamernega programa Ukash, na SI-CERT smo seznanjeni s šestimi različicami, ki so se dosedaj širile med slovenskimi uporabniki.

1. Odstranjevanje s pomočjo Microsoft Windows Defender Offline

Okužbo lahko odstranite z izdelavo zagonskega CD ali USB ključa, ki ga naredite s pomočjo programa Microsoft Windows Defender Offline. Na čistem računalniku si prenesite program iz Microsoftove spletne strani

http://windows.microsoft.com/sl-SI/windows/what-is-windows-defender-offline

Program na čistem računalniku zaženite in sledite navodilom. Ustvaril vam bo poseben zagonski CD ali USB ključ, ki ga vstavite v okužen računalnik in iz njega zaženite računalnik. Kako računalnik zaženete iz zagonskega CDja ali USBja je odvisno od modela računalnika, zato preučite navodila vašega računalnika. Če navodil nimate, si poskušajte pomagati z navodili na spletni strani

http://www.wikihow.com/Boot-a-Computer-from-a-CD

Ko se računalnik zažene iz zagonskega CDja, se na zaslonu pojavi obvestilo:

Press any key to boot from CD or DVD...

Pritisnite katerokoli tipko in računalnik se bo zagnal v posebnem okolju, v katerem bo antivirusni program preskeniral celoten disk in poskusil odstraniti okužbo.

2. Ročno odstranjevanje

Ročno odstranjevanje je lahko hitrejše in pri njem ni potreben dostop do drugega računalnika z nameščenim Windows operacijskim sistemom.  Za ročno odstranjevanje sledite spodnjim korakom.

A. Če imate nameščen operacijski sistem Windows 7

B. Če imate nameščen operacijski sistem Windows XP

C. Če imate nameščen operacijski sistem Windows 8 / 8.1

Sistemi Windows 8 in 8.1 imajo spremenjen postopek zagona v varni način. V večini primerov se tega ne da opraviti s pritiskom na tipko F8 med zagonom. V tem primeru svetujemo odstranitev okužbe, kot je opisano v razdelku “Odstranjevanje s pomočjo Microsoft Windows Defender Offline”.

Vsebine, ki vam lahko pomagajo
3

Nov val izsiljevalskih virusov, tokrat v ZIP priponkah

Zadnje dni na SI-CERT prejemamo številne prijave sumljive elektronske pošte, namenjene ciljno izbranim naslovnikom v Sloveniji. Sporočila so različna, vsa pa vsebujejo priponko oblike dokument_1.zip (v priponki je lahko uporabljena druga številka). ZIP arhiv vsebuje javascript datoteko dokument_1.js, ki poskusi okužiti računalnik. Po prvih pregledih kaže, da gre za nov val…

Komentarji (8)
  • Imela sem enak problem, uporabljam sistem Windows XP. Po navodilih smo virus sicer uspeli odstraniti, vendar se je ob ponovnem zagonu v trenutku, ko se je računalnik preko interneta povezal s antivirusnim programom, virus ponovno pojavil. No k sreči je vmes prišlo do prekinitve internetne povezave in se virus ni prikazal, tako da smo po navodilih izključili internet tako iz povezave kot iz elektrike, s pridobitvijo novega IP-naslova pa težave ni bilo več.
    Upam, da s svojim sporočilom komu uspem pomagati.

    LP

  • Kaj pa če tudi antivirusni program (windows defender), ko ga ponovno zaženeš, ne zazna virusa? Namreč ponovno sem zagnala računalnik in ni bilo nobenega obvestila?

    • Če vidite lažno obvestilo policije ni nujno, da gre za okužbo. Izsiljevalsko obvestilo se lahko prikaže v tudi zgolj v brskalniku, med brskanjem po spletnih straneh. V tem primeru morate samo zapreti zavihek. Je pa res, da ker goljufi uporabljajo posebne tehnike, je zavihek z lažnim obvestilom policije včasih težko zapreti. Zato smo tudi pripravili navodila, kako to najbolj enostavno naredite:

      https://www.varninainternetu.si/2014/lazno-obvestilo-policije-v-chrome-brskalniku/

      Torej če ponovno zaženete računalnik, in ne pride do popolne blokade računalnika, lahko smatrate da virusa ni več (ali pa ga sploh ni bilo).

  • Vaš komentar

    Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.
    Obvezna polja so označena z *