Pani Krysia z księgowości – odcinek 13: Wtargnięcie(UKASH, Polska Policja Zablokowała Komputer)
31.08.2013 | aktual.: 01.09.2013 14:53
Wyłamuje drzwi kopiąc w nie z buta, rozsiadam się w Twoim królestwie, pozbawiam dostępu do świata, blokuje dostęp do wszystkiego i straszę policją. Tak właśnie zachowuje się infekcja o nazwie UKASH, która atakuje systemy z rodziny Windows, jej znakiem szczególnym jest „Polska policja zablokowała komputer”. Wirus ten zmusza do zapłaty sporej ilości gotówki aby wygenerować kod, który odblokuje nasz komputer.
Jednak fakty są takie, że to zwykłe oszustwo, płacić nie trzeba, wirusa można usunąć w inny sposób i nie należy panikować. Ciężko tu o jakąś konkretną historię bo zdarza mi się usuwać tego typu infekcje przynajmniej raz w miesiącu, ale powiedzmy, że ramą do wszystkiego będzie pierwszy raz w pracy kiedy musiałem z tym walczyć. Muszę jeszcze nadmienić, że pierwszy raz w pracy nie był tym pierwszym w ogóle, bowiem jeśli chodzi o informatykę to usuwanie infekcji jest jedną z moich mocniejszych stron.
I zanim zacznę główny wątek to wykorzystam okazje, że jesteśmy przy tym temacie. Swoją wiedzę na temat usuwanie infekcji opieram na tym co na swoich forach wyczyniała niejaka Picasso. Dzięki czemu tak banalny wirus jakim jest UKASH nie jest dla mnie żadnym problemem. Także przy okazji pozdrowienia i podziękowania. :*
No dobra ale dosyć tego braku skromności i wazeliniarstwa. ;p Naszym dzisiejszym bohaterem jest laptop Samsung R540, jako, że tych dalszych cyferek nie pamiętam to dodam, że miał na swoim pokładzie procesor z serii I3, 4GB Ramu, jakąś mobilną grafikę ATI z serii 5 i Windows 7 HP. Taki zwykły i przeciętny sprzęt. Gdyby chodził do szkoły to jego mama by słyszała na wywiadówkach teksty w stylu: „to spokojne dziecko, nigdy nie sprawia problemu, dobrze się uczy i ma wielu kolegów”.
Jednak jakieś problemy się zaczęły, co prawda nie z jego winy, ale całkowicie uniemożliwiały pracę. Ponieważ po włączeniu laptopa i załadowaniu się systemu operacyjnego od razu wyskakiwała tabela/plansza informująca, że rzekomo Polska policja zablokowała komputer. Aby dodać powagi sytuacji wstawiono jeszcze zdjęcie policjanta z wąsem. Nie powiem, kogoś kto nie ma pojęcia i nie jest specjalistą to ma prawo wystraszyć i zaniepokoić. Ale bez paniki komputer wylądował w moich rękach i od razu przeszedłem do ratowania. Myk do trybu awaryjnego i… A on sobie nie działa – został zablokowany przez infekcje, co prawda działa tryb z wierszem poleceń, ale ja nie korzystam z tego. Do wywalenia syfu z systemu, którego nie da się uruchomić używam płytki z OTLPE, którą boot’uje zamiast zwykłego systemu.
Na owej płycie jest program o nazwie OTL, dzięki któremu możemy zrobić raport i dowiedzieć się co tam zagościło w naszym systemie. Po otworzeniu się dwóch plików w notatniku jesteśmy w domu. Kilka rzeczy usuwamy(martwe usługi, wpisy z autostartu, syf przyczepiony do powłoki, coś tam w rejestrze się czasem znajdzie, itd)… Następuje zwolnienie blokady… Tzn. Restart i logujemy się do naszego systemu. I mamy radość Ukash zniknął, ale dla mnie to nie koniec jeszcze trzeba zrobić porządki, poprawki i pozostawić sprzęt w stanie bliskim idealnemu.
Mam tu na myśli usunięcie zbędnych pasków w przeglądarkach, aktualizacja oprogramowania(przeglądarek, flasha, Javy itp.), czyszczenie plików tymczasowych i upewnienie się czy infekcji na pewno żadnej innej infekcji nie ma(najczęściej po przez skanowanie poprzez Mawarebytes Anti Malware/Malwarebytes Anit Rootkit). Dodatkowo moja mała procedura obejmuje czyszczenie punktów przywracania i zrobienie nowego.
A jeśli czas pozwala i laptop może zostać na troszeczkę dłużej niż kilka godzin to odwiedzam także Windows Update i uzupełniam ewentualne poprawki w systemie. Kiedy wszystko jest na błysk sprzęt może powrotem wylądować w rękach klienta. Całość operacji jest wyceniana na jeden banknot z Kazimierzem III Wielkim(ale to też zależy dla kogo i na jakich warunkach). Klient prywatny zawsze może liczyć na taką cenę. Tadam, interwencja zakończona.
Tutaj lista kolegów, którzy mi pomagają:
OTL/OTLPE
ADWcleaner
Produkty Malwarebytes
TFC by oldtimer
Stanowczo odmawiam i sam unikam stosowania Combofixa w takich sytuacjach. Co prawda poradzi on Sobie z tym, ale to nie jest uniwersalne narzędzie. Znajdzie się kilku, którzy polecają CF’a na lewo i prawo ale to tylko świadczy o ich nie znajomości tematu i kiedyś przekonają się, że taki idealny to On nie jest.
Jeszcze kwestia korzystania z OTL’a: wiele osób prosi o instrukcje do tego, bądź też próbuje korzystać z gotowych skryptów przygotowanych dla innych. Obie sytuacje to głupota, otl też nie jest dla każdego. Powiem tak na swoim przykładzie: ja też żadnej instrukcji do OTL’a nie miałem(jako taka została udostępniona jakieś dwa lata temu). Trzeba po prostu wiedzieć co jest czym w systemie, jak działa i co się z tym je. Z poszerzoną znajomością Windowsa jesteśmy wstanie ogarnąć także inne skryptowe programy.
Jak już wspominałem ja swoją wiedzę zdobywałem na forach Picasso, przeglądając raporty i innych i patrząc i czekając co Ona z tym robi(trochę na zasadzie analogii), reszta to już poznanie środowiska, odrobina zaangażowania i kilka testów na maszynie wirtualnej. Zdobyte umiejętność usuwania infekcji i zbędników mocno mi się przydały w pracy i nie odkryje ameryki, że więcej rzeczy, które przydają mi się w pracy nauczyłem się na podstawie internetu niż w szkole. I tym akcentem zakończymy.