Varning för "Polisen"!!

Internet Sweden | Peter Forsman

Internet Sweden | Peter Forsman

Författare och ansvarig utgivare
Jag som skriver, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för. Jag skriver även generellt om olika tillvägagångssätt som bedragare använder och tipsar om utbildning/kunskap som finns att få. Läs mer om: Internet Sweden | Peter Forsman
Internet Sweden | Peter Forsman
Internet Sweden | Peter Forsman

Jag läser om hur svenska polisen igår 2012-03-14 går ut med en varning för en ny form av datorbedrägeri.

http://www.polisen.se/sv/Aktuellt/Nyheter/Gemensam/jan-mars/Ny-form-av-datorbedrageri/

Jag läser:

”Polisen har fått information om att ”Polisen, enheten för databrott” tillsammans med Regeringskansliet står som avsändare till ett meddelande som kommer upp på datorn när man besöker vissa webbplatser. I meddelandet finns även Polisens och Regeringskansliets logotyper.”

Men vad som inte framgår av polisens varning är att detta drabbar ett flertal polismyndigheter i västvärlden och vad som är ”nytt” är väl mest en definitionssak, men redan i mitten av december 2011 gick Microsoft Malware Protection Center ut med en artikel/rapport om detta och som i sin tur anger uppgifter insamlade under juli-november 2011
http://blogs.technet.com/b/mmpc/archive/2011/12/19/disorderly-conduct-localized-malware-impersonates-the-police.aspx

Eländet, som går under lite olika namn i olika länder (bla ”Buma Stemra Virus”, ”Police Ransomware” och ”UKASH virus”) har vad jag kan se drabbat:

USA (United States Department of Justice)

 

GEMA (Germany’s performance rights organization)

 

Tyska Polisen

 

Schweiziska Polisen ”Federal Department of Justice and Police”

 

Italienska polisen

 

Franska polisen

 

UK ”Metropolitan Police”

 

annan variant av Metropolitan Police

 

Scotland Yard

 

Spanska Polisen

 

Holländska Polisen

 

Finska polisen

Viruset är väldigt styggt och blir du smittad så låser sig PC:n och du uppmanas att betala 100 euro för att få tillgång till din dator igen. Det är anledningen till varför denna typ av skadlig kod kallas ”ransomware” (ransom = lösensumma) och det hela kan ju liknas vid att din PC digitalt har kidnappats och du utpressas för att få tillgång till den igen.

De kommersiella antivirusföretagen har såklart sina lösningar på hur smittade klienter – dvs genom att köpa deras produkter..

Medan andra icke-kommersiella skriver att det bara är att följa dessa instruktioner:

Delete infected files:

[RANDOM CHARACTERS].exe

Delete infected registry values:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell” = ”[RANDOM CHARACTERS].exe”

Och jag är än så länge inte drabbad av koden, och har därför heller inte prövat och jag vill därför inte ge några rekommendationer på hur du blir av med det om du blivit smittad..

Spontant känner jag att det i dessa lägen skulle vara bra med ett europeiskt samarbetsorgan som skickar ut bulletiner om denna typ av styggelser, så att varje land slipper ”tas på sängen”, då detta virus cirkulerat under ca 6 månaders tid..

Men ojdå – det finns ju ett sånt organ ENISA – vad bra att dom då inte skriver ett enda ord om detta .. speciellt då ett av deras fokus är ”Awareness Raising
Läs mer:
http://blogg.tkj.se/polisen-boter-bedragier-it-brott/
http://blog.perhellqvist.se/blog/2012/03/14/ny-elaking-laser-datorn-och-kraver-losensumma/
http://www.dn.se/nyheter/sverige/nytt-natvirus-fran-polisen-och-regeringskansliet

Dela inlägget

About The Author

Jag som skriver, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för. Jag skriver även generellt om olika tillvägagångssätt som bedragare använder och tipsar om utbildning/kunskap som finns att få. Läs mer om: Internet Sweden | Peter Forsman

Related posts

13 Comments

  1. Jonas

    Men det rör sig alltså om någon form av injektion som kapar den infekterade sidan, visar upp ett annat innehåll OCH låser datorn?
    —-
    Vad jag har läst mig till så är det frågan om en injektion – ja, men en ”osynlig” autoinstaller till din klient som sedan låser datorn.

    Peter Forsman | internetsweden.se

  2. Mike

    Jag har detta viruset just nu. när jag loggar in på användaren så tar det ungefär 7 sekunder innan internet explorer tas upp och sedan låser skärmen sig med det dokumentet över hela skärmen… Dock kan jag trycka upp en massa program före den kommer upp och då kan jag surfa som vanligt, Något tips om hur jag smidigast kan undvika den nu? Vad ska jag ta bort/avinstallera.

    Tack på förhand!
    —–

    Hej,
    Har inte fått det själv, så jag har svårt att hjälpa till, men det icke-kommersiella alternativet i inlägget bygger på att du i startmenyn skriver ”regedit”, så att du kan öppna upp registret – och där leta upp
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Shell” = ”[RANDOM CHARACTERS].exe”

    Leta sedan efter var [RANDOM CHARACTERS].exe finns på hårddisken och radera den exe-filen.

    MEN – vet du inte vad du sysslar med, så är nog inte det något jag skulle rekommendera – det finns stor risk för att du ställer till det för dig.

    Peter Forsman | internetsweden.se

  3. Anders Lundqvist

    Jag har ingen ”Shell” (och ja, jag vet att jag gått rätt väg och inte är på fel ställe). Kan det gå lösa på annat vis då? Och när du skriver ” = ”[RANDOM CHARACTERS].exe” menar du då verkligen slumpmässiga bokstäver?
    ———-
    Filen verkar heta lite olika saker för drabbade klienter..

    Peter Forsman | internetsweden.se

  4. Anders Lundqvist

    Men fortfarande finns inte min ”Shell”, kan jag hitta filen på något annat vis?
    ———-
    Jag är ledsen, men kan inte själv hjälpa dig.

    Peter Forsman | internetsweden.se

  5. Pål

    Vi lyckades precis få bort det här viruset från en kollegas dator. Det verkar ha modifierats lite sedan detta inlägget skrevs. Det stänger ner alla processer som startar så Mikes workaround som beskrivs ovan fungerar inte längre.

    Ett par exe-filer döpta med random bokstäver hade lagt sig under C:/programdata
    Dom slängde vi i safe mode.
    Under HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run fanns en path till en randomgenererad exe-fil.
    Som också togs bort.

    Min kollega misstänker att han fått viruset via en PDF-fil som han öppna strax innan problemen dök upp.

  6. Pingback: Polisen varnar för fräcka bedrägerier på internet | Internet Sweden källgranskar och gräver!

  7. harry

    hej jag är 16 år och kan typ inget om datorer…men jag har drabbats av viruset och har försökt få bort det…finns det någon som kan hjälpa mig??

  8. Steve

    Har provat med olika koder som jag har hittat på nättet men för min del har det inte lyckats som för andra . Så mitt drag blev attgöra en systemåterställning. Och det gick fin fint.Efter det körde jag McAfee och datorn hittade ett virus och åtgärda detta. Jag körde McAfee en gång till men då hittades inget.upp daterade även windows defender och körde detta.
    Nu verkar det som om den är ren

    Lycka till Steve

  9. Robert K

    Till alla drabbade av detta skadliga datavirus.

    Börja med att slappna av. Ta ett djupt andetag… andas ut… och följ sedan nedanstående 17 enkla steg så kommer ni att bli av med detta ”Ukash”-virus från er dator. Att drabbas av ett Malware-virus kan vara stressande, speciellt om man aldrig drabbats tidigare och/eller inte har någon större erfarenhet av datorer och virus. ”Polisen-viruset” är ganska lätt att bli kvitt.

    Okej, är ni med? Då kör vi:

    Steg 1: Se till att få tillgång till en dator som inte är smittad.
    Steg 2: Sätt i ett USB-minne i den datorn.
    Steg 3: Gå till sidan http://www.malwarebytes.org.
    Steg 4: Ladda ned gratis-versionen av ”Malwarebytes Antimalware” till Skrivbordet.
    Steg 5: För över detta nedladdade program till ditt USB-minne.
    Steg 6: Ta bort USB-minnet från datorn.
    Steg 7: Starta den infekterade datorn i ”Felsäkert läge med nätverk” (så att man får tillgång till Internet). Detta gör du genom att klicka på F8 upprepade gånger strax efter start av datorn (möjligen någon annan F-knapp på vissa datorer, se manualen). Upplösningen på skärmen vid ”Felsäkert läge” kommer att se tokig ut, detta är normalt och inget att oroa sig för.
    Steg 8: När du är inne i ”Felsäkert läge” sätter du i ditt USB-minne.
    Steg 9: Leta upp filen på USB-minnet och för över filen ”mbam-setup…” till skrivbordet och dubbelklicka sedan på den. Låt programmet installeras och uppdateras. Följ anvisningarna och godkänn det som kommer upp.
    Steg 10: När programmet har installerats, klickar du på programmets röda ikon på skrivbordet, ett vitt ”M” i en röd ruta.
    Steg 11: Välj ”Utför en fullständig skanning”.
    Steg 12: Gå nu och gör några goda smörgåsar, nåt gott att dricka, sätt dig framför datorn, se Antimalware-programmet jobba och koppla av. Låt programmet arbeta och rensa de skadliga filerna.
    Steg 13: När programmet arbetat klart, det brukar ta ca 45 min till 120 minuter, får du ett meddelande om att trojaner (eller nåt annat lika irriterande) hittats. Låt programmet ta bort dem.
    Steg 14: Ta bort USB-minnet och starta om datorn i normal-läge (ej ”Felsäkert läge” denna gång).
    Steg 15: Kör ”Malware Antimalware”-programmet en gång till, ”Fullständig skanning”.
    Steg 16: Om programmet hittar virus, låt det ta bort det.
    Steg 17: Grattis! Nu har du återställt din tidigare infekterade dator och den är fri från Malware.

    Med vänliga hälsningar
    Robert (datanörd sedan 1992)

  10. Patrik

    Har du en relativt ny dator, tex med Windows 7, starta upp den i felsäkert läge eller uppstartsmenyn(tryck Esc,F2), vid uppstart, står ibland vilken knapp du ska trycka på längst ner på displayskärmen). När du väl kommit in i menyn, välj att återställa till tidigare tidpunkt. När den är återställd, kör windowsuppdatering och en totalscan med ett antivirus program.

  11. Pingback: Det där var inte så lyckat Aftonbladet! | Internet Sweden | Varningskollen

Leave a Reply

E-postadressen publiceras inte. Obligatoriska fält är märkta *