Το
τελευταίο διάστημα ολοένα και περισσότεροι υπολογιστές – χρήστες
βρίσκονται αντιμέτωποι με το κακόβουλο λογισμικό που παριστάνει τη Δίωξη
Ηλεκτρονικού Εγκλήματος.
Το συγκεκριμένο πρόγραμμα «κλειδώνει» τον υπολογιστή και προτρέπει το χρήστη να καταθέσει χρηματικό ποσό μέσω προπληρωμένης κάρτας ως…πρόστιμο!
Συμπτώματα
Κατά την περιήγηση στο Διαδίκτυο, αναζητώντας εικόνες και αφού κάναμε κλικ σε μία από αυτές, προειδοποιηθήκαμε από το εργαλείο ασφάλειας των Windows για πιθανή παραβίαση του συστήματος μας. Παρόλα αυτά επιτρέψαμε την εκτέλεση της ύποπτης λειτουργίας για να δούμε την εξέλιξή της.
Ξαφνικά, έκλεισαν όλα τα παράθυρα των εφαρμογών και σε πλήρη οθόνη (full screen) εμφανίστηκε το παραπλανητικό μήνυμα που βλέπετε στην παρακάτω εικόνα.
(κάντε κλικ πάνω στην εικόνα για μεγέθυνση)
Το συγκεκριμένο πρόγραμμα «κλειδώνει» τον υπολογιστή και προτρέπει το χρήστη να καταθέσει χρηματικό ποσό μέσω προπληρωμένης κάρτας ως…πρόστιμο!
Συμπτώματα
Κατά την περιήγηση στο Διαδίκτυο, αναζητώντας εικόνες και αφού κάναμε κλικ σε μία από αυτές, προειδοποιηθήκαμε από το εργαλείο ασφάλειας των Windows για πιθανή παραβίαση του συστήματος μας. Παρόλα αυτά επιτρέψαμε την εκτέλεση της ύποπτης λειτουργίας για να δούμε την εξέλιξή της.
Ξαφνικά, έκλεισαν όλα τα παράθυρα των εφαρμογών και σε πλήρη οθόνη (full screen) εμφανίστηκε το παραπλανητικό μήνυμα που βλέπετε στην παρακάτω εικόνα.
(κάντε κλικ πάνω στην εικόνα για μεγέθυνση)
Από το κείμενο αντιλαμβανόμαστε ότι οι
δημιουργοί του συγκεκριμένου malware αποσκοπούν στην απόσπαση χρηματικού
ποσού ή/και ευαίσθητων δεδομένων από τα υποψήφια θύματά τους.
Συγκεκριμένα, ζητείται από το χρήστη να αποκαλύψει τον 19-ψήφιο κωδικό Ukash (προπληρωμένο ηλεκτρονικό κουπόνι που χρησιμοποιείται στο ηλεκτρονικό εμπόριο) ή τον 16-ψήφιο κωδικό Paysafecard (μέθοδος ηλεκτρονικής πληρωμής που βασίζεται σε σύστημα προπληρωμής).
Στο ενδεχόμενο που δεν έχει ο χρήστης στην κατοχή του τέτοιους κωδικούς, προτρέπεται να τους προμηθευτεί και να τους καταχωρήσει στη συνέχεια. Προκειμένου να «ξεκλειδώσει» ο υπολογιστής και να αποκατασταθεί η σωστή λειτουργία του.
Συγκεκριμένα, ζητείται από το χρήστη να αποκαλύψει τον 19-ψήφιο κωδικό Ukash (προπληρωμένο ηλεκτρονικό κουπόνι που χρησιμοποιείται στο ηλεκτρονικό εμπόριο) ή τον 16-ψήφιο κωδικό Paysafecard (μέθοδος ηλεκτρονικής πληρωμής που βασίζεται σε σύστημα προπληρωμής).
Στο ενδεχόμενο που δεν έχει ο χρήστης στην κατοχή του τέτοιους κωδικούς, προτρέπεται να τους προμηθευτεί και να τους καταχωρήσει στη συνέχεια. Προκειμένου να «ξεκλειδώσει» ο υπολογιστής και να αποκατασταθεί η σωστή λειτουργία του.
Αντιμετώπιση
Είναι αυτονόητο: ΔΕΝ ΠΛΗΚΡΟΛΟΓΟΥΜΕ ΚΑΝΕΝΑ ΣΤΟΙΧΕΙΟ!
Τερματίζουμε τα Windows: Με συνδυαστικό πάτημα στα πλήκτρα: Alt+Ctrl+Del, επιχειρούμε να τερματίσουμε τη λειτουργία του υπολογιστή. Αν δεν λειτουργήσει η προαναφερόμενη μέθοδος, τότε κλείνουμε τον υπολογιστή με παρατεταμένο πάτημα (περίπου για 10 δεύτερα) του κουμπιού λειτουργίας (power on/off).
Επανεκκινούμε τον υπολογιστή σε κατάσταση Ασφαλούς Λειτουργίας (Save Mode): πατώντας επαναλαμβανόμενα το πλήκτρο F8 στα πρώτα δευτερόλεπτα της εκκίνησης. Αν το σύστημα ανοίξει χωρίς να φαίνεται κάπου το παράθυρο του malware (βλ. εικόνα), εκτελούμε αμέσως ένα ενημερωμένο πρόγραμμα προστασίας από ιούς (antivirus). Το antivirus καλό είναι να το έχουμε κατεβάσει από έναν άλλο καθαρό υπολογιστή. Αν το antivirus βρει και καθαρίσει τον ιό, τότε μόνο είναι ασφαλές να ξανασυνδεθούμε στο Διαδίκτυο. Αν το πρόγραμμα προστασίαςδεν καταφέρει να εντοπίσει τον ιό, ή αν το malware δεν επιτρέπει την εκτέλεση του antivirus θα πρέπει να πάμε τον υπολογιστή σε έναν ειδικό (ή κάποιον έμπειρο χρήστη) και να του περιγράψουμε το πρόβλημα.
Σε κάθε περίπτωση, το συντομότερο, θα πρέπει από ένα καθαρό (από ιούς) μηχάνημα να συνδεθούμε στο Διαδίκτυο και να αλλάξουμε όλους τους κωδικούς πρόσβασης των λογαριασμών μας: είτε στο facebook, είτε στα e-mails, είτε σταblogs, είτε στο twitter, είτε σε e-banking κ.λπ.
Καθώς το φαινόμενο έλαβε μεγάλες διαστάσεις και η υπηρεσία ανακοίνωσε λεπτομέρειες για τις καταγγελίες και τις ενέργειες που γίνονται, ίσως φανούν χρήσιμες οι παρακάτω ενέργειες για την αφαίρεση του λογισμικού
Κάντε επανεκκίνηση και μπείτε σε Ασφαλή λειτουργία με γραμμή εντολών
Είναι αυτονόητο: ΔΕΝ ΠΛΗΚΡΟΛΟΓΟΥΜΕ ΚΑΝΕΝΑ ΣΤΟΙΧΕΙΟ!
Τερματίζουμε τα Windows: Με συνδυαστικό πάτημα στα πλήκτρα: Alt+Ctrl+Del, επιχειρούμε να τερματίσουμε τη λειτουργία του υπολογιστή. Αν δεν λειτουργήσει η προαναφερόμενη μέθοδος, τότε κλείνουμε τον υπολογιστή με παρατεταμένο πάτημα (περίπου για 10 δεύτερα) του κουμπιού λειτουργίας (power on/off).
Επανεκκινούμε τον υπολογιστή σε κατάσταση Ασφαλούς Λειτουργίας (Save Mode): πατώντας επαναλαμβανόμενα το πλήκτρο F8 στα πρώτα δευτερόλεπτα της εκκίνησης. Αν το σύστημα ανοίξει χωρίς να φαίνεται κάπου το παράθυρο του malware (βλ. εικόνα), εκτελούμε αμέσως ένα ενημερωμένο πρόγραμμα προστασίας από ιούς (antivirus). Το antivirus καλό είναι να το έχουμε κατεβάσει από έναν άλλο καθαρό υπολογιστή. Αν το antivirus βρει και καθαρίσει τον ιό, τότε μόνο είναι ασφαλές να ξανασυνδεθούμε στο Διαδίκτυο. Αν το πρόγραμμα προστασίαςδεν καταφέρει να εντοπίσει τον ιό, ή αν το malware δεν επιτρέπει την εκτέλεση του antivirus θα πρέπει να πάμε τον υπολογιστή σε έναν ειδικό (ή κάποιον έμπειρο χρήστη) και να του περιγράψουμε το πρόβλημα.
Σε κάθε περίπτωση, το συντομότερο, θα πρέπει από ένα καθαρό (από ιούς) μηχάνημα να συνδεθούμε στο Διαδίκτυο και να αλλάξουμε όλους τους κωδικούς πρόσβασης των λογαριασμών μας: είτε στο facebook, είτε στα e-mails, είτε σταblogs, είτε στο twitter, είτε σε e-banking κ.λπ.
Καθώς το φαινόμενο έλαβε μεγάλες διαστάσεις και η υπηρεσία ανακοίνωσε λεπτομέρειες για τις καταγγελίες και τις ενέργειες που γίνονται, ίσως φανούν χρήσιμες οι παρακάτω ενέργειες για την αφαίρεση του λογισμικού
Κάντε επανεκκίνηση και μπείτε σε Ασφαλή λειτουργία με γραμμή εντολών
2. Σε γραμμή εντολών τρέξτε τις εντολές Explorer (ώστε να εκτελεστεί η Εξερεύνηση των Windows) και την εντολή regedit (για το Μητρώο των Windows αντίστοιχα)
3. Στη διαδρομή
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\ στο Μητρώο και στα κλειδιά που εμφανίζονται
στο δεξί πλαίσιο, προσέξτε την τιμή που έχει το κλειδί Shell
Είναι η παραποιημένη τιμή από το κακόβουλο λογισμικό.
Η σωστή τιμή πρέπει να είναι explorer.exe
Αντιγράψτε ή σημειώστε κάπου πρόχειρα τη διαδρομή – το φάκελο που βρισκεται το εκτελέσιμο αρχείο (κακόβουλο) και πλέον από την Εξερεύνηση των Windows μπορείτε να το διαγράψετε…
Είναι η παραποιημένη τιμή από το κακόβουλο λογισμικό.
Η σωστή τιμή πρέπει να είναι explorer.exe
Αντιγράψτε ή σημειώστε κάπου πρόχειρα τη διαδρομή – το φάκελο που βρισκεται το εκτελέσιμο αρχείο (κακόβουλο) και πλέον από την Εξερεύνηση των Windows μπορείτε να το διαγράψετε…
Εναλακτηκά καλούμε στα τηλεφωνα:
210-6476464 και 210-6476461. Ή επικοινωνούμε, από καθαρό υπολογιστή,
μέσω της ηλεκτρονικής διεύθυνσης: ccu@cybercrimeunite.gov.gr, με
τηΔίωξης Ηλεκτρονικού Εγκλήματος.
Alexandreia Valtos(i)
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.