Virusul Politia Romana – Metode de eliminare

UPDATE: Am actualizat ghidul pentru devirusarea ultimelor variante ale acestui virus.

Nu mai rulasem de mult un virus asa ca am intrat azi pe un site ce contine linkuri cu virusi noi si am descarcat un executabil a carui descriere era Trojan.Ransom. Am vrut sa-l analizez folosind metoda de aici in interiorul unei masini virtuale. Insa virusul a refuzat sa ruleze in Sandboxie, dand un mesaj de eroare, asa ca a trebuit sa-l rulez simplu in masina virtuala. Timp de cateva momente nu s-a intamplat nimic, dar deodata intreg ecranul a devenit alb si mai apoi mi-a aparut frumoasa pagina de mai jos:

Virus Politia Romana

Pe acea pagina apar o gramada de acuzatii false care mai de care mai diverse si folosesc imaginea mai multor institutii romane (presedinte si servicii din cadrul ministerului de afaceri interne) pentru a parea credibili.

Scopul autorilor acestui virus este de a pacali victimele sa plateasca o asa-zisa amenda de 300 de lei prin card bancar, tipic aplicatiilor ransomware.

Din pacate, virusul este foarte agresiv: in afara de acea pagina full-screen victima nu poate accesa nimic. Virusul este vechi, aici pe FaraVirusi.com era un articol conform caruia autorii acestui virus au fost arestati. Se pare ca lucrurile nu stau chiar asa, la o simpla cautare pe internet am aflat ca in acest timp au mai fost lansate cateva versiuni. Mai mult, pe BleepingComputer.com a aparut acum doua zile un articol despre un virus care seamana izbitor cu cel prezentat aici. Probabil ca virusul identifica tara in functie de IP-ul victimei si afiseaza mesajul in limba tarii respective.

Detectia pe VirusTotal: 7/47 antivirusi detecteaza acest malware – destul de slab.

Virusul nu permite rularea altor programe, nici macar folosirea unor scurtaturi de taste pentru a lansa aplicatii ale Windowsului. Mai mult, daca pornim Windows in Safe-Mode sau in Safe-Mode with Networking, inainte de a aparea Desktopul sistemul se restarteaza automat.

Totusi un sistem infectat cu acest virus poate porni in Safe Mode with Command Prompt si acest lucru poate fi folosit pentru a repara problema.

Solutii pentru a scapa de acest virus

1.  Disc sau USB bootabil:

a. Folositi  HitmanPro.Kickstart USB – Este un utilitar care se instaleaza pe un stick USB si de pe care puteti boota calculatorul infectat, fara a mai intra in Windows. De acolo veti putea sterge cu usurinta virusul.

b. O alta solutie eficienta la acelasi capitol o reprezinta Kaspersky Rescue Disk. Creati un disc bootabil si scanati de pe el. Va sterge cu siguranta infectia.

2. Trojan.Ransom.IcePol Removal de la BitDefender – http://www.bitdefender.com/VIRUS-1000659-en–Trojan-Ransom-IcePol.html

2. Safe Mode with Command Prompt + Malwarebytes Anti-Malware

Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.

Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.

Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.

Faceti rost de la alt computer de kitul de instalare Malwarebytes Anti-Malware, instalati-l si eliminati tot ce gaseste. La final puteti restarta computerul si acesta va porni ca nou.

virus politia romana

 

3. Safe Mode with Command Prompt + stergerea manuala a virusului

Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.

Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.

Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.

Star Menu > Run > %appdata%

Stergeti fisierul cache.dat. Gata!

cache.dat este o copie a virusului care a patruns in sistem si este perfect executabil daca ii modificati extensia in .exe.

Registrul modificat este urmatorul:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“shell”=”explorer.exe, C:\\Documents and Settings\\Administrator\\Application Data\\cache.dat

In asa fel se injecteaza acel fisier in procesul explorer.exe al Windows de fiecare data cand porniti computerul.

Security Evangelist

152 responses to “Virusul Politia Romana – Metode de eliminare”

  1. cata

    deci oameni bun ascultati aici cum l-am scos eu

    tineti apasat butonul de power de la unitate pana va apare cancel…..dati cancel si va dispare

    luati malawarebytes bagati in carantina sau daca aveti cc cleaner ducetiva la unelte- start si dati click pe el e ala cu 0814 mama lui….ultimul de jos dati click dreapta si deschide fisier in regeditor…..si va duceti la folderul in care e si pur si simplu stergeti folderul in care este registrul ala

    dati un restart si voala

  2. ionel

    12.12.2014
    Mi s-a blocat Firefoxul din cauza acestui virus (varianta cu chipul lui Johannis!!!).Intrucat nu sunt prea priceput in ale PC ului , am rulat CClear free, apoi Trojan.Ransom.IcePol Removal de la BitDefender , dupa metoda expusa la pct 2 de mai sus In modul direct-nu in Safe Mode.La mine a mers brici.Multumesc pt ajutor

  3. bebeto

    mie mia aparut nu nou virus pe care lam eliminat prin citeva metode in sistem32/Bifrost/server.exe prima data lam depistat cu CClener si lam sters din registri si dupa aceea manual dupa care am dat restart la calc

  4. ka

    Salut, ajutati-ma si pe mine va rog.

    Am Windows 7 si m-am trezit cu acest virus pe Firefox. Nu ma restrictioneaza prea mult, nu e full screen si pot umbla in alte tab-uri si in Windows dar nu pot inchide tab-urile cu pagina respectiva, apar mereu altele in locul lor.

    Am rulat in safe mode pe rand utilitarul de la Bitdefender, a zis “successful” dar 0 total 0 infected 0 cleaned, ceea ce mi s-a parut in neregula; apoi am instalat Malwarebytes care n-a gasit nici el nimic. In schimb am gasit 3 fisiere cache.dat in folderele astea:

    C:\ProgramData\AVG2015\IDS\malwareprofile

    C:\ProgramData\Microsoft\OfficeSoftwareProtectionPlatform\Cache

    C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache

    Le-am sters dar primele 2 au reaparut dupa restart iar de pagina respectiva tot nu pot sa scap.

    Dati-mi un sfat, pe net gasesc numai porcarii si fake-uri de articole cu antimalware-“minune” la problema asta.

  5. calu lu fat-frumos

    A aparut din nou 😀 Nu spun pe ce saituri ca mi-e rusine. Pe net am vazut numai skeme complexe. Eu am scapat de el cu malwarebytes. Fara safe mode fara nimic doar scan, gasit, quarantine, restart. Apoi un clean computer si registry pentru eventuale resturi din temp. Deschis Firefox si gata. Aveti grija ca inainte sa redeschideti Mozilla dupa restart sa nu fie ramas in taburile inchise ca se deschide iar. Deci taburile cu virusu trebuie inchise inainte de restart. Se pot inchide dupa ce malwerbytes il baga in carantina (din lista pe verticala cu taburile si cu x in dreapta cand sunt prea multe taburi deschise). Poate am avut forma mai usoara sau incipienta dar mereu am scapat de el numai din malwarebytes. Eu zic ca merita incercat e cea mai simpla forma. Panda cloud si comodo firewall vax. W7 Home Premium ca idee.
    Deci ca sa fiu mai clar: cu mozilla deschis, scan cu malwerbytes, gasit, carantina, inchis taburile cu virusu din mozilla, restart, redeschis Mozilla, clean PC si registry. Done.

  6. Ionut

    Salut!
    Am deschis un link care in timp ce se incarca s-a transformat in “Atentie POLITIA ROMANA!”, doar ca nu am lasat sa se incarce complet si am inchis tab-ul respectiv inainte sa apara si imaginile cu interpol, politia si ce mai e.

    Intrebarea mea este : am luat virusul daca am reusit sa inchid tab-ul? Dupa un restart exista sansa sa apara fereastra respectiva la deschiderea Chrome?

    Va multumesc 🙂

  7. Stelica

    Va rog sa ma credeti nu am nici un interes sa fac reclama unui produs, insa eu folosesc Shadow Defender (shadow mode tot timpul), SpyShelter si Look ‘n’ Stop firewall (am windows XP), fara antivirus. M-am trezit si eu intr-o seara, de curand, cu aceasta tampenie de virus, dar a fost foarte simplu…fiind in “shadow mode” am dat restart si gata, orice urma de virus a disparut!

  8. Adi

    Cel mai simplu mod de a scapa de acest virus este,cand ti se blocheaza firefox apesi ctrl+alt+del,il inchizi automat prin butonul end proces apoi iti descarci un antivirus.

  9. Mihai

    Instalații Add Block. Acest program nu permite deschiderea acestor asa zise reclame

  10. asfahsf

    Am fost redirecţionat pe acea pagină, dar browserul funcţionează fără probleme.

Leave a Reply