Varning för "Polisen"!!

Jag läser om hur svenska polisen igår 2012-03-14 går ut med en varning för en ny form av datorbedrägeri.

http://www.polisen.se/sv/Aktuellt/Nyheter/Gemensam/jan-mars/Ny-form-av-datorbedrageri/

Jag läser:

”Polisen har fått information om att ”Polisen, enheten för databrott” tillsammans med Regeringskansliet står som avsändare till ett meddelande som kommer upp på datorn när man besöker vissa webbplatser. I meddelandet finns även Polisens och Regeringskansliets logotyper.”

Men vad som inte framgår av polisens varning är att detta drabbar ett flertal polismyndigheter i västvärlden och vad som är ”nytt” är väl mest en definitionssak, men redan i mitten av december 2011 gick Microsoft Malware Protection Center ut med en artikel/rapport om detta och som i sin tur anger uppgifter insamlade under juli-november 2011
http://blogs.technet.com/b/mmpc/archive/2011/12/19/disorderly-conduct-localized-malware-impersonates-the-police.aspx

Eländet, som går under lite olika namn i olika länder (bla ”Buma Stemra Virus”, ”Police Ransomware” och ”UKASH virus”) har vad jag kan se drabbat:

USA (United States Department of Justice)

 

GEMA (Germany’s performance rights organization)

 

Tyska Polisen

 

Schweiziska Polisen ”Federal Department of Justice and Police”

 

Italienska polisen

 

Franska polisen

 

UK ”Metropolitan Police”

 

annan variant av Metropolitan Police

 

Scotland Yard

 

Spanska Polisen

 

Holländska Polisen

 

Finska polisen

Viruset är väldigt styggt och blir du smittad så låser sig PC:n och du uppmanas att betala 100 euro för att få tillgång till din dator igen. Det är anledningen till varför denna typ av skadlig kod kallas ”ransomware” (ransom = lösensumma) och det hela kan ju liknas vid att din PC digitalt har kidnappats och du utpressas för att få tillgång till den igen.

De kommersiella antivirusföretagen har såklart sina lösningar på hur smittade klienter – dvs genom att köpa deras produkter..

Medan andra icke-kommersiella skriver att det bara är att följa dessa instruktioner:

Delete infected files:

[RANDOM CHARACTERS].exe

Delete infected registry values:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell” = ”[RANDOM CHARACTERS].exe”

Och jag är än så länge inte drabbad av koden, och har därför heller inte prövat och jag vill därför inte ge några rekommendationer på hur du blir av med det om du blivit smittad..

Spontant känner jag att det i dessa lägen skulle vara bra med ett europeiskt samarbetsorgan som skickar ut bulletiner om denna typ av styggelser, så att varje land slipper ”tas på sängen”, då detta virus cirkulerat under ca 6 månaders tid..

Men ojdå – det finns ju ett sånt organ ENISA – vad bra att dom då inte skriver ett enda ord om detta .. speciellt då ett av deras fokus är ”Awareness Raising
Läs mer:
http://blogg.tkj.se/polisen-boter-bedragier-it-brott/
http://blog.perhellqvist.se/blog/2012/03/14/ny-elaking-laser-datorn-och-kraver-losensumma/
http://www.dn.se/nyheter/sverige/nytt-natvirus-fran-polisen-och-regeringskansliet

Related Articles

13 Comments

Avarage Rating:
  • 0 / 10
  • Jonas , tisdag 20 mars 2012 @ 11:30

    Men det rör sig alltså om någon form av injektion som kapar den infekterade sidan, visar upp ett annat innehåll OCH låser datorn?
    —-
    Vad jag har läst mig till så är det frågan om en injektion – ja, men en ”osynlig” autoinstaller till din klient som sedan låser datorn.

    Peter Forsman | internetsweden.se

  • Mike , onsdag 2 maj 2012 @ 17:34

    Jag har detta viruset just nu. när jag loggar in på användaren så tar det ungefär 7 sekunder innan internet explorer tas upp och sedan låser skärmen sig med det dokumentet över hela skärmen… Dock kan jag trycka upp en massa program före den kommer upp och då kan jag surfa som vanligt, Något tips om hur jag smidigast kan undvika den nu? Vad ska jag ta bort/avinstallera.

    Tack på förhand!
    —–

    Hej,
    Har inte fått det själv, så jag har svårt att hjälpa till, men det icke-kommersiella alternativet i inlägget bygger på att du i startmenyn skriver ”regedit”, så att du kan öppna upp registret – och där leta upp
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Shell” = ”[RANDOM CHARACTERS].exe”

    Leta sedan efter var [RANDOM CHARACTERS].exe finns på hårddisken och radera den exe-filen.

    MEN – vet du inte vad du sysslar med, så är nog inte det något jag skulle rekommendera – det finns stor risk för att du ställer till det för dig.

    Peter Forsman | internetsweden.se

  • Anders Lundqvist , tisdag 15 maj 2012 @ 1:14

    Jag har ingen ”Shell” (och ja, jag vet att jag gått rätt väg och inte är på fel ställe). Kan det gå lösa på annat vis då? Och när du skriver ” = ”[RANDOM CHARACTERS].exe” menar du då verkligen slumpmässiga bokstäver?
    ———-
    Filen verkar heta lite olika saker för drabbade klienter..

    Peter Forsman | internetsweden.se

  • Anders Lundqvist , tisdag 15 maj 2012 @ 11:35

    Men fortfarande finns inte min ”Shell”, kan jag hitta filen på något annat vis?
    ———-
    Jag är ledsen, men kan inte själv hjälpa dig.

    Peter Forsman | internetsweden.se

  • Pål , måndag 11 juni 2012 @ 11:13

    Vi lyckades precis få bort det här viruset från en kollegas dator. Det verkar ha modifierats lite sedan detta inlägget skrevs. Det stänger ner alla processer som startar så Mikes workaround som beskrivs ovan fungerar inte längre.

    Ett par exe-filer döpta med random bokstäver hade lagt sig under C:/programdata
    Dom slängde vi i safe mode.
    Under HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run fanns en path till en randomgenererad exe-fil.
    Som också togs bort.

    Min kollega misstänker att han fått viruset via en PDF-fil som han öppna strax innan problemen dök upp.

  • […] Eländet har drabbat hela västvärlden det senaste året, med en kraftig ökning sedan årsskiftet och det verkar inte avta, så även fast jag skrivit mer utförligt om detta tidigare här: https://www.internetsweden.se/varning-for-polisen/ […]

  • harry , söndag 8 juli 2012 @ 17:42

    hej jag är 16 år och kan typ inget om datorer…men jag har drabbats av viruset och har försökt få bort det…finns det någon som kan hjälpa mig??

  • Steve , fredag 20 juli 2012 @ 8:58

    Har provat med olika koder som jag har hittat på nättet men för min del har det inte lyckats som för andra . Så mitt drag blev attgöra en systemåterställning. Och det gick fin fint.Efter det körde jag McAfee och datorn hittade ett virus och åtgärda detta. Jag körde McAfee en gång till men då hittades inget.upp daterade även windows defender och körde detta.
    Nu verkar det som om den är ren

    Lycka till Steve

  • Robert K , tisdag 14 augusti 2012 @ 1:02

    Till alla drabbade av detta skadliga datavirus.

    Börja med att slappna av. Ta ett djupt andetag… andas ut… och följ sedan nedanstående 17 enkla steg så kommer ni att bli av med detta ”Ukash”-virus från er dator. Att drabbas av ett Malware-virus kan vara stressande, speciellt om man aldrig drabbats tidigare och/eller inte har någon större erfarenhet av datorer och virus. ”Polisen-viruset” är ganska lätt att bli kvitt.

    Okej, är ni med? Då kör vi:

    Steg 1: Se till att få tillgång till en dator som inte är smittad.
    Steg 2: Sätt i ett USB-minne i den datorn.
    Steg 3: Gå till sidan http://www.malwarebytes.org.
    Steg 4: Ladda ned gratis-versionen av ”Malwarebytes Antimalware” till Skrivbordet.
    Steg 5: För över detta nedladdade program till ditt USB-minne.
    Steg 6: Ta bort USB-minnet från datorn.
    Steg 7: Starta den infekterade datorn i ”Felsäkert läge med nätverk” (så att man får tillgång till Internet). Detta gör du genom att klicka på F8 upprepade gånger strax efter start av datorn (möjligen någon annan F-knapp på vissa datorer, se manualen). Upplösningen på skärmen vid ”Felsäkert läge” kommer att se tokig ut, detta är normalt och inget att oroa sig för.
    Steg 8: När du är inne i ”Felsäkert läge” sätter du i ditt USB-minne.
    Steg 9: Leta upp filen på USB-minnet och för över filen ”mbam-setup…” till skrivbordet och dubbelklicka sedan på den. Låt programmet installeras och uppdateras. Följ anvisningarna och godkänn det som kommer upp.
    Steg 10: När programmet har installerats, klickar du på programmets röda ikon på skrivbordet, ett vitt ”M” i en röd ruta.
    Steg 11: Välj ”Utför en fullständig skanning”.
    Steg 12: Gå nu och gör några goda smörgåsar, nåt gott att dricka, sätt dig framför datorn, se Antimalware-programmet jobba och koppla av. Låt programmet arbeta och rensa de skadliga filerna.
    Steg 13: När programmet arbetat klart, det brukar ta ca 45 min till 120 minuter, får du ett meddelande om att trojaner (eller nåt annat lika irriterande) hittats. Låt programmet ta bort dem.
    Steg 14: Ta bort USB-minnet och starta om datorn i normal-läge (ej ”Felsäkert läge” denna gång).
    Steg 15: Kör ”Malware Antimalware”-programmet en gång till, ”Fullständig skanning”.
    Steg 16: Om programmet hittar virus, låt det ta bort det.
    Steg 17: Grattis! Nu har du återställt din tidigare infekterade dator och den är fri från Malware.

    Med vänliga hälsningar
    Robert (datanörd sedan 1992)

  • Dan , onsdag 15 augusti 2012 @ 21:55

    ROBERT K:

    Funkar detta så ska du ha en guldstjärna! Orkar verkligen inte formatera skrothögen igen! Tack!

  • Patrik , torsdag 16 augusti 2012 @ 12:09

    Har du en relativt ny dator, tex med Windows 7, starta upp den i felsäkert läge eller uppstartsmenyn(tryck Esc,F2), vid uppstart, står ibland vilken knapp du ska trycka på längst ner på displayskärmen). När du väl kommit in i menyn, välj att återställa till tidigare tidpunkt. När den är återställd, kör windowsuppdatering och en totalscan med ett antivirus program.

  • […] Men inte nog med det, utan hon tar och mixar sin artikel med bild och text om en drabbad 71-årig herre, som fått sin PC låst av UKASH-viruset (Ransomware) Och om SVT:s nyhet egentligen var ”yesterdays news”, så vad är då inte denna som jag skrev om för 6 månader sedan och som drabbat hela västvärlden: https://www.internetsweden.se/varning-for-polisen/ […]

  • Marie , lördag 22 december 2012 @ 18:49

    Robert K
    Detta var en kanon instruktion till att bli av med det. Vi lyckades. Tusen tack.

    Gold star

    Mvh Marie

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *