Jól megdolgoz(tat)ott a vírus

2015. február 5.

Tegnap úgy jártam, hogy egy jó barátom felhívott megnézném-e a gépét, mert valami vírust elkaphatott és nem tud hozzáférni a saját dolgaihoz. Csak az Internet Explorert hagyja működni. Semmi mást.Furcsálltam, mert nem olyan felhasználónak tartom, aki minden „ingyenesen letölthető” vagy „csak ma, csak neked…” linkekre hajlamos rákattintani. 
De tényleg, szinte SEMMI nem működött a laptopján, csak és kizárólag az IExplorer. MINDEN fájl kiterjesztését átírta és nem lehetett őket megnyitni a fájl visszanevezése után sem. A háttérkép megváltozott és lent olvasható szöveg volt látható, mely részletezte, hogy fizetés után visszaállítja a fájlokat, úgy ahogy voltak. Kisebb keresgélés után megtaláltam a vírus „becses” nevét: CTB Locker. Egy órás munka után sikerült helyreállítanom a barátom adatait, aki egy jól megérdemelt vállveregetéssel és egy pofa sörrel ezt meg is köszönte.

Olvasd el mit kell tenned, ha ilyen fordul elő a környezetedben.

A CTB Locker egy veszélyes váltságdíj kérő vírus mely, ha megfertőzi a számítógépet és megtagadja a saját fájlainkoz való hozzáférést. Mint a többi hasonló ilyen vírus, ez is fizetést követel, mielőtt ismét hozzáférést biztosítana adatainkhoz. Barátom esetében nem kevesebb, mint 1.9 Bitcoint (leírást lásd: http://hu.wikipedia.org/wiki/Bitcoin) követel a tulajdonostól, mely 115.325 Forintnak felel meg.Általában egy másik vírus (pl. trójai) segítségével jut be a számítógépre, megkeresi a rendszer hibáit és ezeket használja belépési pontnak, így ez a folyamat a legtöbb vírusirtó számára rejtve marad. Amint bejutott a gépbe, azonnal kiiktatja a számítógépen futó biztonsági szolgáltatásokat.

A zárolt ablakban az alábbi üzenet jelenik meg: A személyes fájljaid titkosítva vannak.

A dokumentumok, fényképek, adatbázisok és egyéb fontos fájlok a legerősebb titkosítással vannak titkosítva és a számítógépedre egyedileg generált kulccsal ellátva.

A CTB Locker fontos fájlokat szemel ki, mint dokumentumok, táblázatok, képek, zenék és videók. Két új dokumentumot jelenít meg, melyek a felhasználók számára leírt utasításokat tartalmazzák a dekódoláshoz. Azonban nem csak a fájlokhoz tagadja meg a hozzáférést, olyan oldalakra sem enged fel, amikről vírusirtót lehetne letölteni. A rendszer visszaállítása megoldás lehet „sima” vírusok esetében, azonban titkosított fájlokat nem képes vissza dekódolni.

Hogyan lehet mégis eltávolítani a CTB Locker vírust

1.lépés: Futtasd le az ESET Rogue Application Remover programot (ERAR)

  1. Töltsd le ezt az ingyenes vírusirtó programot: ESET Rogue Application Remover. Link a letöltéshez
  2. Válaszd ki a Windows-odnak megfelelő verziót. Mentsd le a fájlt egy neked tetszőleges helyre (pl. Asztal)
  3. Mentés után indítsd el a programot onnan, ahová lementetted.
  4. Fogadd el a szoftvert engedélyező feltételeket. (SOFTWARE LICENSE TERMS  Accept).
  5. Az eszköz elkezdi átvizsgálni a számítógépet és megáll, ha megtalálta a CTB Lockert és más kártékony vírust. Folytasd a folyamatot, hogy a további találatok eltávolítása is megtörténjen.

ERAR

2.lépés: Ellenőrizzd a CTB Locker maradványait a Microsoft’s Malicious Software Removal Tool segítségével

  1. Töltsd le az ingyenes programot INNEN

 download-MSRT

  1. Válaszd ki a Windows-odnak megfelelő verziót. Mentsd le a fájlt egy tetszőleges helyre (pl. Asztal)
  2. Mentés után indítsd el a programot onnan, ahová korábban lementetted.
  3. Az üdvözlő képernyőn kattints a Tovább gombra. Vedd figyelembe a megjelenő üzenetet: „Ez az eszköz nem helyettesíti a víruskereső szoftvereket.” Ez a program kimondottan kártevők, vírusok, trójaiak és egyéb rosszindulatú programok megtalálására és eltávolítására lett kifejlesztve. Nem arra tervezték, hogy megvédje a számítógépet.

msrt1

  1. A következő ablakban - Vizsgálat típusa (Scan type) – a Teljes vizsgálatot (Full scan) kell kiválasztani. Tapasztalt számítógép-felhasználók választhatják az egyedi vizsgálatot (Customized scan.), ha más meghajtókat vagy mappákat is be akarnak vonni a keresésbe.

msrt2

A teljes keresés eltarthat egy ideig, várd meg amíg teljesen befejezi.

msrt3

  1. A vizsgálat után az eszköz megjeleníti az összes azonosított találatot. Lehet, hogy talál más veszélyes fájlt, ami az első vizsgálaton átcsúszott. Távolítsd el az összes általa megnevezett elemet.
  2. Ha a törlés befejeződött, akkor zárd be a Malicious Software Removal Tool programot. Reméljük, hogy a CTB Locker-t már teljesen eltűntette a számítógépről. Indítsd újra a Windowst.

 

3.szint: Szabadítsd fel a fájlokat a CTB Locker titkosítása alól

  1. Töltsd le a Panda Ransomware Decrypt programot INNEN
  2. Mentsd le a fájlt egy tetszőleges helyre (pl. Asztal)
  3. Mentés után kattints a Futtatás gombra, vagy indítsd el a programot onnan, ahová lementetted.
  4. Ennek az ablaknak kell megjelennie:

pandaransomware

  1. Windows Intéző vagy Sajátgép használatával hozz létre egy „Panda_teszt” mappát, és másolj ebbe néhány titkosított fájlt.
  2. Menj vissza a Panda Ransomware Decrypt programra és kattints a Select Folder (Mappa választás) gombra. Válaszd ki az újonnan létrehozott mappát „Panda_teszt”.
  3. Kattints a START gombra. A folyamat eltarthat egy ideig, de érdemes megvárni, hiszen a te érdeked J.
  4. Ha a „Panda_teszt” mappa tartalmát sikerült visszakódolni, akkor futtasd az összes érintett fájlra és mappára a számítógépen.

Remélem nem jártok úgy, mint a barátom, de ha mégis, akkor bízok benne, hogy leírásommal tudtam segíteni. Oszd meg másokkal is, hogy senkinek se kelljen pénzt kiadni saját dokumentumainak visszaszerzéséért.



Vissza