2023. február 2., csütörtök

Gyorskeresés

Segítség! A rendőrség le akarja foglalni a gépem, ráadásul helytelenül ír! (Vírus) - megoldások.

Írta: |

[ ÚJ BEJEGYZÉS ]

Tisztelt Olvasók!
(illetve a keresőből ide továbbított, kétségbeesett emberek)

Az előbbieknek kellemes olvasást, az utóbbiaknak pedig nyugalmat kívánok, és megkérem őket, amennyiben sürgős megoldást keresnek, ugorják át a hosszú értelmetlen sallangot.

[Bevezetés (sallang)]
Évekkel ezelőtt volt divat ez a nem is tudom minek nevezzem kis szoftver. A fogalmazásért utólagosan is elnézést kérek, azonnal kifejtem miért is nem találok rá szavakat. Előbb azonban tisztázzuk is mi ez, ugyanis a mai napig én is csak hallottam róla.

Az ártatlan felhasználó az interneten böngészve (nem ritka estben piros lámpás oldalakon) egyszer csak arra lesz figyelmes, hogy képernyőjén megjelenik a következő:

Lássuk csak, hogy mi is van a képen:

Magyar Rendőrség Osztály Elleni Kiberbűnözés

Mivan? Már elég nagy badarságnak hangzik.

A számítógép zárolva lett!

Dehogy lett zárolva, csupán fut egy program, ami minden elé teszi magát a kijelzőn. Minden billentyűparancs működik, csak nem látod mit művelsz.

Videófelvétel ON

Ez a legjobb, nagyon hatásos megrémítés, amikor magától bekapcsol a webcam, és mutatja amit lát (ha a már említett oldalon járva történik a baleset nem is akarom tudni miket láthat - jujj! ). Ha fel is vennék az arcodat, mi értelme volna visszamutatni?

Ejhaj csuhajja, de rossz voltál, de meg leszel büntetve!!!

Milyen címen lakó, kicsoda lesz megbüntetve? Meg miért? Oké tegyük fel, hogy "olyan" oldalakat néztem. Könyörgöm, Ausztráliából börtönszigetet kéne csinálni, ha ezért mindenkit 12 év börtönre ítélnének. Ja tudom már miért nincs ennyi rab. Itt jön a csavar:

FIZESS!

25/20 ezer Forint ellenében elfelejtik bűneidet. Befizetni Ukashon és Benzinkutakon keresztül lehet. Szóval....várjunk csak, micsoda? Benzinkúton meg ukashon rendőrségi büntetés? Se sárga csekk, semmi? A következő már az e-bay-ről rendelhető búcsúcédula lesz, de komolyan.

Fizetés.... El is érkeztünk ennek a kis aranyosnak a definiálásához. Manapság minden kártevőt vírusnak hívnak, ez azonban helytelen. Ez a szoftver például azért sem nevezhető vírusnak, mert nem szaporodik. A gépbe tettem pendriveot, másoltam rá adatokat (miután kiiktattam az új üdvözlőképernyőm [lásd lentebb]) de biz' a' nem szerezte be a rendőrségi büntetést.
Fizetés:
,,A ransomware olyan malware, azaz rosszindulatú számítógépes program, amely valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Ez rendszerint azt jelenti, hogy használhatatlanná teszi a számítógépet vagy elérhetetlenné a rajta lévő adatokat, és csak pénzért vásárolható meg az a kód, aminek a hatására visszaállítja az eredeti állapotot."
Bingo, megtörtént a keresztelő, de én inkább hívnám továbbra is kis nyavalyásnak a ransomware-ünket.

[Tárgyalás]
Hogyan szabaduljunk meg tőle?
Elérkeztünk blogbejegyzésem lényegéhez, gratulálok (és köszönöm) mindazoknak, akik elolvasták a fentebbi aprócska bevezetést.

Történt, hogy áthoztak hozzám egy gépet, amit "lefoglalt a rendőrség". Mondom, ha lefoglalta a rendőrség, akkor mit keres a szobámban? Hamar kiderült a fent említett sokaság alapján, hogy a gépet egy ransomware támadta meg.

Bekapcsoláskor rájöttem, hogy elég primitív valami lehet, ugyanis egész szépen bejön az üdvözlőképernyő, bejön az asztal, és a startup programok is indulnak, egyszer azonban bejön az ominózus kép.
Ebből meg lehet állapítani, hogy semmi komoly dolog,egyszerűen meg kell akadályozni, hogy a rendszer felállása után elinduljon.

Mindenesetre gugliztam egy kicsit, és több megoldást is találtam melyek lényege egy volt:
-hatástalanítás
-felkutatás
-takarítás

Mielőtt nekikezdtem volna, vizsgálgattam még a beteget. Olvastam olyat, hogy ezeknél a rendszer nem reagál a CTRL-ALT-CIPŐTALP kombóra, és így kikapcsolni sem lehet (mondom azoknak, akik nem tudják, hogy ha ilyen áll fent, a power gomb 5 mp-ig tartó lenyomása mindent megold, így nem kell a szekrény be-fölé-alá-mögé mászni a konnektorhoz.)

[0. lépés:]
Tehát, én kipróbáltam a CTRL-ALT-DEL triót. Működött. Olyan szinten működött, hogy 3.-4. ki-be loggolásra el sem indult a blokád. Ezt kipróbáltam újra és újra, és arra a konklúzióra jutottam, hogy erre nem lehet megoldást alapozni, de egynek elmegy, így ha sikerül, akkor jön a 2. lépés.

[1. lépés hatástalanítás]

Itt bonyolultsági sorrendben visszafelé mondom a megoldásokat:

1.1
Simán bekapcs letiltott internettel (ezt nem próbáltam, mert a BIOS-ban nem akartam tiltogatni, a lan meg túl messze volt, hogy kihúzzam. Elvileg internet nélkül nem indul el a blokkoló képernyő.

Ha bekapcsolt, goto [2. lépés felkutatás];
1.2
Ha az 1.1 befuccsolt, próbálkozzunk sima csökkentett módos indítással.
Ha jó, akkor mehetünk a második lépésre.
1.3
Ha az előbbiek sem jók, akkor jöhet a jó öreg csökkentett mód parancssorral.
Amikor bejön a parancssor, akkor beírjuk, hogy msconfig.
Megkeressük az "Automatikus indítás" fület.
Kiszedünk minden pipát, amiről nem tudjuk biztosra, hogy micsoda. (Vagy ha nem tudjuk mi micsoda, akkor addig szedegetjük a pipákat, amíg elindul a gép, de a blokk már nem ;]

(FIGYELEM! Felelősséget nem vállalok semmire, mindenki a maga kontójára hazárdírozzon a gépén)

Továbbá:
Akinek csak konzolban jelent meg még a csökkentett mód is, a következőt is csekkolja:
konzolba: REGEDIT (figyi, mert itt is cudar dolgokat lehet elrontani)
Nyissa le a következő sorozatot:
HKEY_LOCAL_MACHINE->SOFTWARE->MICROSOFT->WINDOWS NT->CurrentVersion->Winlogon
Ha a SHELL nevű karakterláncnál (piros ab betű ikon van előtte) nem az explorer.exe van akkor írjuk át sebtiben, és jegyezzük meg, hogy mi volt ott, mert később még jól jöhet.

[2. lépés felkutatás]

Ha ide érkeztünk, akkor elvileg van egy működő Windowsunk úgy, mint a régi szép időkben. Ezzel azonban nem mindenki elégedhet meg. Elvileg nincs rá mód, hogy visszatérjen a rendőrség a számítógépünk kijelzőjére, de maga a kártevő még mindig ott van, és ez nem megnyugtató.
Főleg gond, ha csak csökkentett módban tudunk itt lenni, vagy épp internet nélkül.

A felkutatás, és egyben törlés is, elvégezhető két közkedvelt (vagy nem?) programmal. Ezeket letölthetjük közvetlenül a működő gépünkre, vagy egy másik eszközre, és áttehetjük pendrive használatával.

Az egyik a Malwarebytes ingyenes verziója.
A másik, a Microsoft Security Removal Tool (új nevén Microsoft Safety Scanner)
Ez az M$ saját kis kártevőmentesítője. 10 napig használható letöltés után, azután frissebbet kell beszerezni. Én ezt használom, mert nem kell telepíteni, (és még eredetiséget sem vizsgál ;] ) (Ha más gépen töltjük le, akkor figyeljünk a Win verziókra)

Lefutásuk előtt érdemes lecsekkolni msconfig-ban az automatikusan induló szoftokat.

Amint lefutnak, elméletileg minden rendben lesz a gépen. Ezután érdemes lesz megnézni újra az automatikusan induló programokat, hátha kevesebb van közöttük, vagy érdemes rákeresni a SHELL értékből kivett exe fájlra Total Commanderrel.

[Befejezés]

A végére értünk. Én a hozzám hozott gépet a fenti metódus alkalmazásával tökéletesen meg tudtam tisztítani. Ez nem jelenti azonban, hogy minden megoldható így, ezért is lesz fontos a hozzászólások sokasága ennél a bejegyzésnél. Ha valakinek van tapasztalata, akár sikeres akár sikertelen eltávolításról, és információval szolgálhat a nagyérdemű részére, kérem ossza meg.
Köszönöm szépen mindenkinek, aki elolvasta, és remélem segítettem a bejegyzéssel.
A sok képért elnézést kérek.

Hozzászólások

(#1) peter889


peter889
őstag

Köszönöm a cikket. :R Az én gépemet is zár alá vonta a "rendőrség". :) Azt hiszem, sikerült a gépről letakarítani. Piros lámpás oldalt néztem, erre valami magát mozilla bővítménynek adta ki és minden áron, agresszívan újra és úja kérte a hozzájárulásomat a telepítéséhez. Gyanútlanul belementem, aztán "szolgálunk és védünk" jeligével az gépemet "megtiltották".

(#2) krecso


krecso
tag

Én akkor szedtem össze ezt a vírust, amikor zenét szerettem volna letölteni valamilyen noname oldalról. Már az első pár sor után tudtam mi a helyzet, már csak az volt a kérdés, hogy tűntessem el. Az enyém valami okból fejlettebnek tűnt, mint az itt leírt, ami a következőkben kiderül, miért. Természetesen a normál módban való futtatás felejtős volt (internetelérés nélkül is), így maradt a csökkentett mód + csökkentett mód hálózattal. Azonban ezeknél azt tapasztaltam, hogy a vírus indulása helyett újraindult a gép (talán az enyém ilyet is tudott :F ). Szerencsére a csökkentett mód parancssorral működött, így ott meg tudtam csípni. Az érdekes nekem az volt az előzőn kívül, hogy regeditben a Shell-nél explorer.exe volt, nem az, aminek "kellett volna". Msconfig-ot is csekkoltam, ott is csak olyan programok voltak, amikről tudom, hogy mik és hogy nem ártalmasak. Parancssorból elindítottam az explorer.exe-t (hál' Istennek nem indult újra), és a blogban említett programokkal sikerül megtisztítani a gépet. Érdekes kaland volt, remélem többször nem futok bele ilyenbe.
A cikk írójának pedig nagy köszönet érte, hogy megosztotta tapasztalatait (a képekkel sokkal élvezetesebb volt olvasni :D), nagyon sokat segített és remélem másnak is sokat fog még, aki ilyen helyzetbe kerül. :)

(#3) Örni válasza krecso (#2) üzenetére


Örni
senior tag

Ma kaptam be a vírust, nekem is csak parancssorral indult csökkentettben, explorer nem volt átírva, furcsa program nem indult. Explorer begépelése után lefuttattam microsoftos spywaret, kb. 2 óra alatt végzett, törölte amit talált, viszont újraindítás után a rendőrségi vírus még mindig fent van...
Most próbálkozom a Malwarebytessel, aztán ha az sem jön be, nincs több tippem :(
Azt sem értem hogy kaptam be, mert Nod32 van a gépen és semmit nem vett észre...
Évek óta semmi vírusom nem volt, most meg két héten belül ez a második, furcsa.

There's too many men, too many people, making too many problems!

(#4) Örni


Örni
senior tag

A Malwarebytes végül elintézte, érdekes módon gyorskereséssel megtalálta, az MS termék meg mélykeresésben sem tudta kiírtani...

A lényeg, hogy sikerült megszabadulnom tőle! K. anyját a készítőjének!

Köszi a cikket és krecsonak is a hozzászólást!

[ Szerkesztve ]

There's too many men, too many people, making too many problems!

(#5) Lenry


Lenry
félisten

Linux

egyébként meg tényleg szívlapát a készítőnek, paréj egy program, bár szerencsére még nem találkoztam vele

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#6) proci985


proci985
MODERÁTOR

tipp: elég agresszív, de ctrl+alt+dellel kilőhető, utánna pedig az ingyenes microsoft security essentialst le kell futtatni a bootvinyón, aztán eltünteti mindenféle regturkálás nélkül.

egyébként úgy tűnik van java bővítménynek álcázott variánsa is, ismerős úgy szívta be. ja úgy, hogy semmi illegálisat nem csinált.

[ Szerkesztve ]

Don't dream it, be it. // Lagom amount.

(#7) Örni válasza proci985 (#6) üzenetére


Örni
senior tag

A ctrl+alt+del hatástalan volt, semmit nem engedett csinálni, ez már valami fejlettebb variáns volt... Microsoft security sem szedte le. Kb. 2 hete nekem is volt egy a java frissítésért felelős exe fileban egy vírus, semmit nem engedett elindítani, telepíteni. Azt akkor spyware terminatorral leszedtem, lehet köze volt ehhez is.

There's too many men, too many people, making too many problems!

(#8) razorbenke92


razorbenke92
senior tag

A köszönetre: Szívesen!
A többi hozzászólásra: Köszönjük!
Minden ilyen infó hasznos, aki csak olvassa és tapasztalata van (ha már csak annyit ír, hogy működik az is sokat jelent) ossza meg a közösséggel!

Lenry: Én is szeretem a Linuxot, használom is, viszont sokan nem látnak többet benne fekete mágiánál, és ezek az emberek általában nem tudnak egy hasonló kártevővel sem kezdeni semmit, szóval +1 szívlapát az alkotóknak, ahogy említetted :DDD

[ Szerkesztve ]

Mások számára a kondi fáradós, nekem farad-os...

(#9) bullseye


bullseye
addikt

Webkamera kérdéskörben

Mellesleg hasonló dögök ellen a legjobb megoldás egy kéznél lévő (vagy haver által megírt) LiveCD, ami felmegy, WIn zárolás nélkül kiradíroz minden kártevőt, és kis szerencsével a gép utána simán újraindítható.

[ Szerkesztve ]

'Micsoda nyűg" by Rest (FA Brotherhood) │ Szarkazmus valószínűsége: 70%

(#10) lapa


lapa
veterán

vótmá', igaz még webkam előtti özönvíz-verzió. persze az enyém nem szájbarágósnak készült.

További hozzászólások megtekintése...
Copyright © 2000-2023 PROHARDVER Informatikai Kft.