Jak usunąć Komputer został zablokowany! Polska Policja

W ciągu ostatnich 4-5 miesięcy kilkadziesiąt razy usuwałem z komputerów znajomych program/wirus który blokuje komputer z powodu rzekomego złamania polskiego prawa i podszywa się pod Polską Policję Cyberprzestępczość Department (pisownia oryginalna). Każe on sobie zapłacić od 300 do 900 zł, poprzez zakup kodu lub zdrapki. Ze względu na formę płatności, wirusa nazwano Ukash, który tak naprawdę jest bezgotówkowym kuponem. Wirus cały czas mutuje, ostatnio płatności obsługuje paysafecard i przy okazji możemy zobaczyć się w kamerce, przez którą rzekomo wszystko jest rejestrowane. Niektórzy posiadacze zainfekowanych komputerów biorą na serio wszystko co jest tam napisane, miałem więc telefony późno w nocy, że policja zablokowała komputer i co teraz robić, trafił do mnie również laptop z kamerką zaklejoną plastrem :). Oto jak ten wyłudzacz wyglądał w grudniu:

Na screenie widać również rzekomo rozpoznany IP, który w tym przypadku jest kompletną bzdurą, gdyż mam internet z netii, która posiada całkiem inną pulę.

UWAGA!!! Jeśli zainfekowany komputer pozbawimy internetu (wypięcie modemu, wyłączenie routera, wyciągnięcie kabla z karty sieciowej, wyłączenie karty WiFi), to uruchomi się on normalnie, ale proces będzie nadal działał w tle i zablokowany zostanie dostęp do np. menedżera zadań.

Jak usunąć Ukash

Przedstawię tutaj sposób usunięcia, na konkretnym przykładzie. W innych przypadkach sposób postępowania będzie analogiczny (o ile trojan bardziej nie zmutuje), ale zmienią się nazwy procesów, ścieżki położenia plików itp.

Zaczynamy od uruchomienia komputera w trybie awaryjnym, czyli klikamy control-alt-delete i wybieramy uruchom ponownie (w Windows 7 dolny prawy róg, rozwinięcie ikony wyłączenia). Następnie zaraz po ekranie Biosu naciskamy klawisz F8, liczy się refleks. Jeśli zdążymy, wybieramy opcję Tryb awaryjny:

Komputer uruchomi się bez zablokowanego windowsa, ale z kiepską rozdzielczością, brakiem dźwięku itp – załadowane zostanie absolutne minimum sterowników i aplikacji. Kolejny krok to uruchomienie narzędzia msconfig:

Dzięki temu w zakładce Uruchamianie mamy listę procesów startujących razem z systemem, szukamy tu dziwnego wpisu, który zlokalizowany jest np. w folderze temp. W tym konkretnie przypadku sprawa była prosta, gdyż nazwa została napisana cyrylicą, jak widać ukash podszył się pod Microsoft Windows, w polu Polecenie widać, że rundll32.exe ma uruchomić plik wlsitden.dll który jest zlokalizowany w C:\Users\nazwa_użytkownika\appdata\local\temp\

Pierwsze co należy zrobić, to odznaczyć uruchamianie tego procesu. Kolejny krok to usunięcie wspomnianego wcześniej pliku, ja wpisałem w uruchom jego ścieżkę, czyli C:\Users\nazwa_użytkownika\appdata\local\temp\, dzięki temu otworzyłem folder temp:

Przy okazji usunąłem też pliki utworzone na krótko przed infekcją i wszystkie z datą po. Sprawdziłem jeszcze autostart:

Okazało się, że jest tu dziwny plik runctf, który wskazuje na wcześniej usunięty wlsitden.dll. Koniecznie go usuwamy.

Na koniec

Po ponownym uruchomieniu komputera w normalnym trybie Windows nie był już blokowany, ale dla pewności włączyłem skaner antywirusowy on-line firmy F-Secure – moim zdaniem jeden z lepszych. Włączyłem pełne skanowanie – trwało to razem ze ściągnięciem programu uruchamianego w środowisku Java ponad godzinę, ale było warto:

Po oczyszczeniu komputera, sprawdziłem stan jego zabezpieczeń – zainstalowany tam mcaffe wygasł dwa lata temu, do tego wyłączone były aktualizacje systemu windows. Ściągnąłem wszystkie poprawki z Windows Update, w tym Service Pack 1 oraz zainstalowałem darmowy antywirus Microsoft Essentials, który nie spowalnia pracy komputera i chroni przed zagrożeniami. Komputer wrócił do zadowolonego właściciela :).

Napisz, jeśli też padłeś ofiarą tego trojana.