Tisztelt Olvasók!
(illetve a keresőből ide továbbított, kétségbeesett emberek)
Az előbbieknek kellemes olvasást, az utóbbiaknak pedig nyugalmat kívánok, és megkérem őket, amennyiben sürgős megoldást keresnek, ugorják át a hosszú értelmetlen sallangot.
[Bevezetés (sallang)]
Évekkel ezelőtt volt divat ez a nem is tudom minek nevezzem kis szoftver. A fogalmazásért utólagosan is elnézést kérek, azonnal kifejtem miért is nem találok rá szavakat. Előbb azonban tisztázzuk is mi ez, ugyanis a mai napig én is csak hallottam róla.
Az ártatlan felhasználó az interneten böngészve (nem ritka estben piros lámpás oldalakon) egyszer csak arra lesz figyelmes, hogy képernyőjén megjelenik a következő:
Lássuk csak, hogy mi is van a képen:
Magyar Rendőrség Osztály Elleni Kiberbűnözés
Mivan? Már elég nagy badarságnak hangzik.
A számítógép zárolva lett!
Dehogy lett zárolva, csupán fut egy program, ami minden elé teszi magát a kijelzőn. Minden billentyűparancs működik, csak nem látod mit művelsz.
Videófelvétel ON
Ez a legjobb, nagyon hatásos megrémítés, amikor magától bekapcsol a webcam, és mutatja amit lát (ha a már említett oldalon járva történik a baleset nem is akarom tudni miket láthat - jujj! ). Ha fel is vennék az arcodat, mi értelme volna visszamutatni?
Ejhaj csuhajja, de rossz voltál, de meg leszel büntetve!!!
Milyen címen lakó, kicsoda lesz megbüntetve? Meg miért? Oké tegyük fel, hogy "olyan" oldalakat néztem. Könyörgöm, Ausztráliából börtönszigetet kéne csinálni, ha ezért mindenkit 12 év börtönre ítélnének. Ja tudom már miért nincs ennyi rab. Itt jön a csavar:
FIZESS!
25/20 ezer Forint ellenében elfelejtik bűneidet. Befizetni Ukashon és Benzinkutakon keresztül lehet. Szóval....várjunk csak, micsoda? Benzinkúton meg ukashon rendőrségi büntetés? Se sárga csekk, semmi? A következő már az e-bay-ről rendelhető búcsúcédula lesz, de komolyan.
Fizetés.... El is érkeztünk ennek a kis aranyosnak a definiálásához. Manapság minden kártevőt vírusnak hívnak, ez azonban helytelen. Ez a szoftver például azért sem nevezhető vírusnak, mert nem szaporodik. A gépbe tettem pendriveot, másoltam rá adatokat (miután kiiktattam az új üdvözlőképernyőm [lásd lentebb]) de biz' a' nem szerezte be a rendőrségi büntetést.
Fizetés:
,,A ransomware olyan malware, azaz rosszindulatú számítógépes program, amely valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Ez rendszerint azt jelenti, hogy használhatatlanná teszi a számítógépet vagy elérhetetlenné a rajta lévő adatokat, és csak pénzért vásárolható meg az a kód, aminek a hatására visszaállítja az eredeti állapotot."
Bingo, megtörtént a keresztelő, de én inkább hívnám továbbra is kis nyavalyásnak a ransomware-ünket.
[Tárgyalás]
Hogyan szabaduljunk meg tőle?
Elérkeztünk blogbejegyzésem lényegéhez, gratulálok (és köszönöm) mindazoknak, akik elolvasták a fentebbi aprócska bevezetést.
Történt, hogy áthoztak hozzám egy gépet, amit "lefoglalt a rendőrség". Mondom, ha lefoglalta a rendőrség, akkor mit keres a szobámban? Hamar kiderült a fent említett sokaság alapján, hogy a gépet egy ransomware támadta meg.
Bekapcsoláskor rájöttem, hogy elég primitív valami lehet, ugyanis egész szépen bejön az üdvözlőképernyő, bejön az asztal, és a startup programok is indulnak, egyszer azonban bejön az ominózus kép.
Ebből meg lehet állapítani, hogy semmi komoly dolog,egyszerűen meg kell akadályozni, hogy a rendszer felállása után elinduljon.
Mindenesetre gugliztam egy kicsit, és több megoldást is találtam melyek lényege egy volt:
-hatástalanítás
-felkutatás
-takarítás
Mielőtt nekikezdtem volna, vizsgálgattam még a beteget. Olvastam olyat, hogy ezeknél a rendszer nem reagál a CTRL-ALT-CIPŐTALP kombóra, és így kikapcsolni sem lehet (mondom azoknak, akik nem tudják, hogy ha ilyen áll fent, a power gomb 5 mp-ig tartó lenyomása mindent megold, így nem kell a szekrény be-fölé-alá-mögé mászni a konnektorhoz.)
[0. lépés:]
Tehát, én kipróbáltam a CTRL-ALT-DEL triót. Működött. Olyan szinten működött, hogy 3.-4. ki-be loggolásra el sem indult a blokád. Ezt kipróbáltam újra és újra, és arra a konklúzióra jutottam, hogy erre nem lehet megoldást alapozni, de egynek elmegy, így ha sikerül, akkor jön a 2. lépés.
[1. lépés hatástalanítás]
Itt bonyolultsági sorrendben visszafelé mondom a megoldásokat:
1.1
Simán bekapcs letiltott internettel (ezt nem próbáltam, mert a BIOS-ban nem akartam tiltogatni, a lan meg túl messze volt, hogy kihúzzam. Elvileg internet nélkül nem indul el a blokkoló képernyő.
Ha bekapcsolt, goto [2. lépés felkutatás];
1.2
Ha az 1.1 befuccsolt, próbálkozzunk sima csökkentett módos indítással.
Ha jó, akkor mehetünk a második lépésre.
1.3
Ha az előbbiek sem jók, akkor jöhet a jó öreg csökkentett mód parancssorral.
Amikor bejön a parancssor, akkor beírjuk, hogy msconfig.
Megkeressük az "Automatikus indítás" fület.
Kiszedünk minden pipát, amiről nem tudjuk biztosra, hogy micsoda. (Vagy ha nem tudjuk mi micsoda, akkor addig szedegetjük a pipákat, amíg elindul a gép, de a blokk már nem
(FIGYELEM! Felelősséget nem vállalok semmire, mindenki a maga kontójára hazárdírozzon a gépén)
Továbbá:
Akinek csak konzolban jelent meg még a csökkentett mód is, a következőt is csekkolja:
konzolba: REGEDIT (figyi, mert itt is cudar dolgokat lehet elrontani)
Nyissa le a következő sorozatot:
HKEY_LOCAL_MACHINE->SOFTWARE->MICROSOFT->WINDOWS NT->CurrentVersion->Winlogon
Ha a SHELL nevű karakterláncnál (piros ab betű ikon van előtte) nem az explorer.exe van akkor írjuk át sebtiben, és jegyezzük meg, hogy mi volt ott, mert később még jól jöhet.
[2. lépés felkutatás]
Ha ide érkeztünk, akkor elvileg van egy működő Windowsunk úgy, mint a régi szép időkben. Ezzel azonban nem mindenki elégedhet meg. Elvileg nincs rá mód, hogy visszatérjen a rendőrség a számítógépünk kijelzőjére, de maga a kártevő még mindig ott van, és ez nem megnyugtató.
Főleg gond, ha csak csökkentett módban tudunk itt lenni, vagy épp internet nélkül.
A felkutatás, és egyben törlés is, elvégezhető két közkedvelt (vagy nem?) programmal. Ezeket letölthetjük közvetlenül a működő gépünkre, vagy egy másik eszközre, és áttehetjük pendrive használatával.
Az egyik a Malwarebytes ingyenes verziója.
A másik, a Microsoft Security Removal Tool (új nevén Microsoft Safety Scanner)
Ez az M$ saját kis kártevőmentesítője. 10 napig használható letöltés után, azután frissebbet kell beszerezni. Én ezt használom, mert nem kell telepíteni, (és még eredetiséget sem vizsgál ) (Ha más gépen töltjük le, akkor figyeljünk a Win verziókra)
Lefutásuk előtt érdemes lecsekkolni msconfig-ban az automatikusan induló szoftokat.
Amint lefutnak, elméletileg minden rendben lesz a gépen. Ezután érdemes lesz megnézni újra az automatikusan induló programokat, hátha kevesebb van közöttük, vagy érdemes rákeresni a SHELL értékből kivett exe fájlra Total Commanderrel.
[Befejezés]
A végére értünk. Én a hozzám hozott gépet a fenti metódus alkalmazásával tökéletesen meg tudtam tisztítani. Ez nem jelenti azonban, hogy minden megoldható így, ezért is lesz fontos a hozzászólások sokasága ennél a bejegyzésnél. Ha valakinek van tapasztalata, akár sikeres akár sikertelen eltávolításról, és információval szolgálhat a nagyérdemű részére, kérem ossza meg.
Köszönöm szépen mindenkinek, aki elolvasta, és remélem segítettem a bejegyzéssel.
A sok képért elnézést kérek.