Usr6 Posted January 2, 2014 Report Posted January 2, 2014 (edited) "Virusul" cunoscut sub numele de "politia romana" si mai toate cele asemanatoare lui sunt oarecum inofensive daca nu au acces la internet (nu se pot conecta la centrul de comanda). Daca au acces la centrul de comanda treburile se complica, in unele cazuri devin chiar dramatice daca vb de Cryptolocker 1/ 2 sau altele asemanatoare. Functionarea detaliata a fost descrisa de hate.me aici: https://rstforums.com/forum/79412-help-remove-politia-romana-virus-2.rst#post510619In cazul "politiei romane", daca nu dispuneti de un firewall "dement" care sa interzica accesul la internet al oricarei aplicatii ce nu are acceptul dvs puteti impiedica malware-ul sa se conecteze la internet rezolvand local toate* centrele de comanda. Adaugati in "C:\WINDOWS\system32\drivers\etc\hosts" toate domeniile de mai jos127.0.0.1 lgsfbhyyrrnalpcbqkob.com127.0.0.1 iqhbyacfnea.com127.0.0.1 chbqrhunxg.com127.0.0.1 fktihyjhkomdxqkucg.com127.0.0.1 lldpoyrzfi.com127.0.0.1 yqmodbxjxgczajstz.com127.0.0.1 vltnftcjrzrxnhfwgf.com127.0.0.1 wchdbyuteue.com127.0.0.1 zpqwczqatnmmb.com127.0.0.1 cdqvfoezutpworgjg.com127.0.0.1 bunzvlesey.com127.0.0.1 ytnxvxnlumzvtdelo.com127.0.0.1 ykvmiyfbbaqgryd.com127.0.0.1 upijkzzgohsviiufgwj.com127.0.0.1 jhkkssojlwnyjgnsslm.com127.0.0.1 yyuihmtl.com127.0.0.1 zlohhvqhqgyvbhbhe.com127.0.0.1 pjgwxsqwbdqh.com127.0.0.1 zjwceimakuvaieqxzdi.com127.0.0.1 obhmbdjxkgmzw.com127.0.0.1 qtermfciofx.com127.0.0.1 daobcnqwefamhdfcs.com127.0.0.1 ktlwxakbho.com127.0.0.1 kbvmxwjxtvncddaiyb.com127.0.0.1 aqazrrwmzrvrvoshpi.com127.0.0.1 raxlendajlubxdhq.com127.0.0.1 zbtgaqubvmmvvcx.com127.0.0.1 zmfcmghjbpbxwn.com127.0.0.1 lxynmytvhgyiv.com127.0.0.1 xaftdwovbbtvt.comDaca v-ati infectat cu "politia romana" si malware-ul nu reuseste sa se conecteze la centrul de comanda, poate fi eliminat in 2 timpi si 3 miscari:Start > Run... >cmd.exetasklist -pentru a lista toate proceseletasklill -pentru a inchide processul malwareuluisi google for removal tool * extrase din sampleul: https://rstforums.com/forum/76505-sample-virus-politia-romana.rst Edited January 2, 2014 by Usr6 Quote
vargas Posted January 2, 2014 Report Posted January 2, 2014 (edited) Noi il chemam "Politia Romana", insa virusul a facut ravagii in alte tari inainte de a ajunge la noi, bineinteles, mesajele apareau scrise in limba tarii respective. Mesajul apare in functie de IP-ul victimei, adica IP de Albania, mesaj in albaneza, IP de Italia, mesaj in italiana, etc. La inceput banuiam asta, insa citind pe site-ul "Fara Virusi" m-am convins ca asa e. "Politia Romana", nu prea mai creeaza probleme, insa CryptoLocker si-a facut aparitia in locul sau, acesta fiind un alt virus de tip Ransomware, care se poate devirusa, insa din pacate, in aproape toate cazurile, fisierele criptate, sunt irecuperabile. Desigur, sunt unelte si pentru asta si uneori se reuseste (repet uneori), insa cea mai buna solutie ramane prevenirea. Cum facem asta? Descarcam un mic utilitar portabil, se numeste CryptoPrevent, il dezarhivam, rulam primul fisier di cela 2 aparute dupa dezarhivare, dam Ok in prima fereastra care ne apare, apoi apply, reboot si gata, suntem protejati, insa unele programe gen UTorrent, Bittorrent, etc, vor fi afectate. Programelul (CryptoLocker) are o optiune numita "whitelist". Atunci cand vom avea probleme cu un program si Windows-ul va spune ca programul a fost inchis de catre administrator, ne va fi clar ca se intampla datorita lui CryptoLocker, il vom rula din nou, vom da click pe tab-ul "Whitelist", apoi pe "Whitelist Editor", dupa care, se va deschide o noua fereastra. Aici dam click pe primul "Browse", cel din dreptul lui "%appdata%", cautam executabilul cu programul care a intampinat probleme, il bifam si dam click pe "Whitelist". Asta e tot.In caz ca vrem sa restauram setarile initiale, rulam din nou programelul si apasam tab-ul "Undo". Edited February 22, 2014 by vargas Quote