Jump to content
Usr6

"politia romana" - prevenirea infectiei totale

Recommended Posts

"Virusul" cunoscut sub numele de "politia romana" si mai toate cele asemanatoare lui sunt oarecum inofensive daca nu au acces la internet (nu se pot conecta la centrul de comanda). Daca au acces la centrul de comanda treburile se complica, in unele cazuri devin chiar dramatice daca vb de Cryptolocker 1/ 2 sau altele asemanatoare. Functionarea detaliata a fost descrisa de hate.me aici: https://rstforums.com/forum/79412-help-remove-politia-romana-virus-2.rst#post510619

In cazul "politiei romane", daca nu dispuneti de un firewall "dement" care sa interzica accesul la internet al oricarei aplicatii ce nu are acceptul dvs puteti impiedica malware-ul sa se conecteze la internet rezolvand local toate* centrele de comanda. Adaugati in "C:\WINDOWS\system32\drivers\etc\hosts" toate domeniile de mai jos


127.0.0.1 lgsfbhyyrrnalpcbqkob.com
127.0.0.1 iqhbyacfnea.com
127.0.0.1 chbqrhunxg.com
127.0.0.1 fktihyjhkomdxqkucg.com
127.0.0.1 lldpoyrzfi.com
127.0.0.1 yqmodbxjxgczajstz.com
127.0.0.1 vltnftcjrzrxnhfwgf.com
127.0.0.1 wchdbyuteue.com
127.0.0.1 zpqwczqatnmmb.com
127.0.0.1 cdqvfoezutpworgjg.com
127.0.0.1 bunzvlesey.com
127.0.0.1 ytnxvxnlumzvtdelo.com
127.0.0.1 ykvmiyfbbaqgryd.com
127.0.0.1 upijkzzgohsviiufgwj.com
127.0.0.1 jhkkssojlwnyjgnsslm.com
127.0.0.1 yyuihmtl.com
127.0.0.1 zlohhvqhqgyvbhbhe.com
127.0.0.1 pjgwxsqwbdqh.com
127.0.0.1 zjwceimakuvaieqxzdi.com
127.0.0.1 obhmbdjxkgmzw.com
127.0.0.1 qtermfciofx.com
127.0.0.1 daobcnqwefamhdfcs.com
127.0.0.1 ktlwxakbho.com
127.0.0.1 kbvmxwjxtvncddaiyb.com
127.0.0.1 aqazrrwmzrvrvoshpi.com
127.0.0.1 raxlendajlubxdhq.com
127.0.0.1 zbtgaqubvmmvvcx.com
127.0.0.1 zmfcmghjbpbxwn.com
127.0.0.1 lxynmytvhgyiv.com
127.0.0.1 xaftdwovbbtvt.com

Daca v-ati infectat cu "politia romana" si malware-ul nu reuseste sa se conecteze la centrul de comanda, poate fi eliminat in 2 timpi si 3 miscari:

Start > Run... >cmd.exe

tasklist -pentru a lista toate procesele

tasklill -pentru a inchide processul malwareului

si google for removal tool :))

* extrase din sampleul: https://rstforums.com/forum/76505-sample-virus-politia-romana.rst

Edited by Usr6
Link to comment
Share on other sites

Noi il chemam "Politia Romana", insa virusul a facut ravagii in alte tari inainte de a ajunge la noi, bineinteles, mesajele apareau scrise in limba tarii respective. Mesajul apare in functie de IP-ul victimei, adica IP de Albania, mesaj in albaneza, IP de Italia, mesaj in italiana, etc. La inceput banuiam asta, insa citind pe site-ul "Fara Virusi" m-am convins ca asa e. "Politia Romana", nu prea mai creeaza probleme, insa CryptoLocker si-a facut aparitia in locul sau, acesta fiind un alt virus de tip Ransomware, care se poate devirusa, insa din pacate, in aproape toate cazurile, fisierele criptate, sunt irecuperabile. Desigur, sunt unelte si pentru asta si uneori se reuseste (repet uneori), insa cea mai buna solutie ramane prevenirea. Cum facem asta?

Descarcam un mic utilitar portabil, se numeste CryptoPrevent, il dezarhivam, rulam primul fisier di cela 2 aparute dupa dezarhivare, dam Ok in prima fereastra care ne apare, apoi apply, reboot si gata, suntem protejati, insa unele programe gen UTorrent, Bittorrent, etc, vor fi afectate. Programelul (CryptoLocker) are o optiune numita "whitelist". Atunci cand vom avea probleme cu un program si Windows-ul va spune ca programul a fost inchis de catre administrator, ne va fi clar ca se intampla datorita lui CryptoLocker, il vom rula din nou, vom da click pe tab-ul "Whitelist", apoi pe "Whitelist Editor", dupa care, se va deschide o noua fereastra. Aici dam click pe primul "Browse", cel din dreptul lui "%appdata%", cautam executabilul cu programul care a intampinat probleme, il bifam si dam click pe "Whitelist". Asta e tot.

In caz ca vrem sa restauram setarile initiale, rulam din nou programelul si apasam tab-ul "Undo".

Edited by vargas
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...