Ransomware nadal atakuje. Jak usunąć wirusy, gdy komputer się nie uruchamia?
Niedawno opublikowaliśmy artykuł na temat rozprzestrzeniającego się w Polsce oprogramowania typu “ransomware”, które blokuje nasz komputer żądając za odblokowanie 500 zł albo 100 euro. Jeden z pierwszych artykułów na ten temat ukazał się na blogu abuse.ch: https://www.abuse.ch/?p=3718 (artykuł po angielsku). Umieściliśmy również generator kodów, który pozwalał usunąć złośliwe oprogramowanie z naszego komputera. Niestety, ostatnio pojawiły się odmiany, które nie pozwalają na użycie naszego generatora, a wręcz nie pozwalają się usunąć nawet po podaniu prawidłowego kodu UKASH. Poniżej zamieszczamy zbiór porad, zarówno dla użytkowników średnio jak i bardziej zaawansowanych, który pozwala na usunięcie malware’u nawet, gdy nasz komputer nie chce się uruchomić.
Bardzo często złośliwe oprogramowanie dodaje się do listy aplikacji startujących razem z systemem operacyjnym. Szczególnie trudno jest wtedy je usunąć, gdyż każde ponowne uruchomienie systemu może skutkować odnowieniem się infekcji. Jedynym skutecznym rozwiązaniem jest więc uruchomienie komputera tak, aby pominąć uruchamianie złośliwego oprogramowania.
W poniższym wpisie przedstawiamy dwie metody. Pierwsza polega na uruchomieniu komputera w trybie awaryjnym oraz wykorzystania darmowego narzędzia do inspekcji systemu. Druga polega na uruchomieniu komputera z płyty z zainstalowanym oprogramowaniem antywirusowym (metodę tę polecił i sprawdził jeden z naszych czytelników).
METODA 1 : SysInternals Autoruns i tryb awaryjny
W pierwszej kolejności należy wcześniej przygotować dysk USB z rozpakowanym programem SysInternals Autoruns (dostępny pod adresem:http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx). Na dysku USB powinny znajdować się cztery pliki:
1234
Autoruns.chmAutoruns.exeAutorunsc.exeEula.txt
Tryb awaryjny z wierszem polecenia
Pierwszą z rzeczy, które powinnyśmy zrobić gdy nasz komputer nie chce się normalnie uruchomić, jest próba uruchomienia go w Trybie awaryjnym z wierszem polecenia (nie w zwykłym trybie awaryjnym – to może nie zadziałać!). Dokonamy tego, gdy po włączeniu komputera, podczas uruchamiania się systemu Windows przytrzymamy klawisz F8. Następnie za pomocą strzałek należy wybrać opcję “Tryb awaryjny z wierszem polecenia”(tak jak przedstawione to jest na zrzucie ekranu po prawej).
Po uruchomieniu komputera w Trybie awaryjnym z wierszem polecenia ujrzymy następujący ekran (po lewej Windows XP, po prawej Windows 7):
Windows XP
Windows 7
Następnie podłączamy do komputera przygotowany wcześniej dysk USB. Ponieważ nie mamy dostępu do graficznego interfejsu musimy zidentyfikować literę przypisaną do dysku z linii poleceń. W tym celu wpisujemy :
1
wmic logicaldisk get caption,volumename
W tym przypadku dysk USB ma przypisaną literę E.
Następnie przechodzimy na USB wpisując literę dysku z dwukropkiem. W naszym przypadku dysk USB ma przypisaną literę E, więc wpisujemy polecenie e: i zatwierdzamy wciskając [ENTER] jak na obrazku:
Następnie uruchamiamy wgrane wcześniej narzędzie wpisując Autoruns.exe i zatwierdzamy wciskając [ENTER]Po uruchomieniu powinno pojawić się nam okno główne programu autoruns, jak na zdjęciu poniżej:
Jak widać program jest bardzo rozbudowany. Listuje on wszystkie znalezione na komputerze wpisy dotyczące automatycznego uruchamiania programów podczas startu systemu. Interesujące dla nas są tak naprawdę dwie zakładki, zawierające miejsca w których najczęściej instaluje się złośliwe oprogramowanie: Logon oraz Scheduled Tasks.
Identyfikacja oraz dezaktywacja złośliwego oprogramowania
Aby nieco zawęzić listę podejrzanych możemy skorzystać z opcji ukrycia wpisów dotyczących elementów systemu Windows oraz programów firmy Microsoft. Z menu Options wybieramyHide Microsoft and Windows Entries (jak na obrazku)
Jedną z cech charakterystycznych dla złośliwego oprogramowania jest lokalizacja pliku (kolumna Image path). Jeżeli wpis ten zaczyna się od C:\Documents and settings\..., to z dużym prawdopodobieństwem jest to malware. Inną przesłanką jest nazwa wpisu (pierwsza kolumna Autorun entry). Malware często losuje nazwę pliku. Przykładowo, na zdjęciu poniżej pozycje oznaczone numerami [ 3 ] oraz [ 4 ] to wpisy dokonane przez blokujący komputer ransmoware. Po zlokalizowaniu takich wpisów można je dezaktywować odznaczając pole [ 2 ], lub permanentnie usunąć przy użyciu przyciski [ 1 ]. UWAGA:Jeżeli nie jesteśmy w 100% pewni identyfikacji – zawsze lepiej dezaktywować niż usuwać wpis. Efekt jest identyczny – wyłączona pozycja nie uruchomi się podczas kolejnego startu systemu, a w przypadku nieprawidłowej identyfikacji wystarczy jeszcze raz zaznaczyć błędnie wyłączony wpis.
Gdzie szukać wirusa?
Inne miejsca w których można najczęściej znaleźć wpisy dokonane przez malware : W zakładce Logon :Poprawny wpis w kluczu SHELL:Oraz po infekcji złośliwym oprogramowaniem : Poniżej kolejny przykład. Dwa wpisy w kluczu USERINIT, na zielono prawidłowy, na czerwono dokonany przez malware: Na koniec przykład w zakładce Scheduled Tasks :
kasandra1112