Μεταλλαγμένος επιστρέφει ο Ιός της Αστυνομίας στην Ελλάδα για λύτρα-Πως να αντιμετωπίσετε το πρόβλημα.

Μετά την αναστάτωση που προκάλεσε ο διαβόητος «ιός της Αστυνομίας» και στην Ελλάδα, μεταλλάχτηκε και κυκλοφορεί με διαφορετικό «πρόσωπο» και μήνυμα. Μάλιστα, αξιοποιεί ακόμα και την κάμερα του συστήματος που προσβάλλει, για να επιτύχει τον εκφοβισμό του χρήστη για τις «αμαρτίες» του και να του αποσπάσει άμεσα χρήματα.Ήδη από το πρώτο τρίμηνο του 2012 καταγράφεται σημαντική αύξηση του επιθέσεων σε υπολογιστές για λύτρα, του επονομαζόμενου ransomware, μας ενημερώνουν τα Panda Labs.

Ο ιός, γνωστός ως Police Virus ή «Ιός της Αστυνομίας» εμφανίζει μηνύματα με τα σήματα των υπηρεσιών επιβολής του νόμου (αστυνομία, οργανώσεις κλπ). Έτσι, επιχειρείται να ξεγελαστεί ο χρήστης και να πιστέψει ότι ο υπολογιστής του έχουν «κλειδωθεί» από την αστυνομία -πράγματι, μπλοκάρεται. Το μήνυμα γράφει ότι ο υπολογιστής  κλειδώθηκε επειδή χρησιμοποιήθηκε για επισκέψεις σε «ακατάλληλες» ιστοσελίδες ή το κατέβασμα «πειρατικού» υλικού, δύο μάλλον κοινά «αμαρτήματα» που μπορεί να καταστήσουν το μήνυμα δικαιολογημένο.
 Για να ξεκλειδώσουν οι χρήστες τους υπολογιστές τους, καλούνται να πληρώσουν ένα «πρόστιμο», συνήθως της τάξης των 100 ευρώ, δολαρίων ή λιρών (ανάλογα με το στόχο της επίθεσης, στο αντίστοιχο νόμισμα). Ωστόσο, αυτά τα μηνύματα δεν προέρχονται από την αστυνομία, είναι πλαστά.

Η εκκαθάριση του Ιού της Αστυνομίας

Η διαδικασία εκκαθάρισης προβλέπει ότι ο χρήστης πρέπει να μπει στα Windows σε Safe Mode και να αναζητήσει οτιδήποτε ύποπτο στα προγράμματα που εκτελούνται αυτόματα με την εκκίνηση του λειτουργικού (Startup, Εκκίνηση).

Στην προκειμένη όμως περίπτωση, τα αρχεία δεν έμοιαζαν ύποπτα, αφού παρέπεμπαν στο εκτελέσιμο αρχείο ctfmon, το οποίο είναι γνωστό ότι εκτελείται στο παρασκήνιο κάθε φορά που ο χρήστης ενεργοποιεί κάποιο από τα προγράμματα του MS Office XP και παραμένει ενεργό ακόμα και μετά το κλείσιμό τους. Το ctfmon όμως ενοχοποιείται και για την διάδοση ιών.

Πιο προσεκτική εξέταση των ιδιοτήτων του φαινομενικά αθώου αυτού αρχείου έδειξε ότι, έδινε την εντολή στο kernel32.dll -ένα dll που φορτώνεται σε προστατευμένο τμήμα της μνήμης κατά την εκκίνηση των Windows και αναλαμβάνει την διαχείριση της μνήμης, του I/O και των interrupt του συστήματος- να τρέξει ένα αρχείο μέσα στον φάκελο temp στο προφίλ του χρήστη. Εκεί αφήνουν οι εφαρμογές που εκτελούμε συχνά προσωρινά αρχεία, τα οποία διαγράφονται αυτόματα από το σύστημα όποτε απαιτείται.

Το μονοπάτι που οδηγεί στον φάκελο αυτό δεν είναι ίδιο σε κάθε σύστημα. Μπορείτε όμως να οδηγηθείτε σε αυτόν, εάν εξετάσετε τις Ιδιότητες κάθε αρχείου στην Εκκίνηση ή εάν τον αναζητήσετε κάτω από τον φάκελο υπό τον τίτλο Application Data ή AppData (π.χ. C:\Users\<username>\AppData\Local\Temp\<filename> ή
C:\Documents and Settings\[username]\Local Settings\Application Data\Temp). Οι φάκελοι προσωρινής αποθήκευσης (temp) ενοχοποιούνται συχνά γιατί δεν τους δημιουργεί ο χρήστης και  δεν παρατηρεί καν την ύπαρξή τους. Δεν είναι άσχημη ιδέα να τους βάζετε πρώτους στην σειρά όταν πρόκειται να «τακτοποιήσετε» τον υπολογιστή σας.

Στην προκειμένη περίπτωση, η διαγραφή του επίμαχου αρχείου από το temp είχε προηγηθεί και έτσι ένα reboot απέδειξε ότι η απειλή αποτελούσε πια αξιομνημόνευτο παρελθόν.
 ΣΕ ΚΑΘΕ ΠΕΡΙΠΤΩΣΗ ΜΠΟΡΕΙΤΕ ΝΑ ΑΠΕΥΘΥΝΘΕΙΤΕ ΜΕΣΩ ΕΜΑΙΛ Ή FACEBOOK ΣΤΗΝ ΣΕΛΙΔΑ ΩΣΤΕ ΝΑ ΣΑΣ ΒΟΗΘΗΣΟΥΜΕ ΑΦΙΛΟΚΕΡΔΩΣ.