Cum scoti virusul “Politia Romana”

reparatii calculatoare la domiciliu, reparatii laptop la domiciliu, instalare windows, depanare calculatoare bucuresti

Intrebare adresata de: Mihai D.

Buna ziua!

Cum am facut nu stiu, dar am luat virusul Politia Romana. Nu stiu ce versiune este, dar calculatorul imi este blocat. Orice incerc sa fac, fereastra-mi este blocata. Nu pot sa-l inchid decat de la butonul Power de la unitatea centrala, daca tin pe el.  Imi spune sa platesc 400 lei. Stiu ca nu Politia Romana mi-a blocat calculatorul. Ceea ce nu stiu este cum pot sa-l deblochez. Spuneti-mi in mare ce ar trebui sa fac si daca nu ma descurc veniti dumneavoastra la mine pentru a rezolva problema. Locuiesc in zona Dristor, chiar langa statia de metrou. Va multumesc si astept raspunsul Dvs.

Raspuns:

Buna ziua! Virusul este de actualitate si face mai probleme atat persoanelor fizice, cat si companiilor care au multe fisiere importante stocate pe calculator.

In ceea ce priveste versiunea de virus, a apărut a 3-a versiune a acestui virus, cea prin care sunt criptate fotografiile sau alte documente cu DirtyDecrypt.

In ultima perioada au aparut foarte multe infectari cu acest virus. A revenit cu o noua versiune in care te obliga sa plătesti 400 lei, fata de versiunea anterioara in care se cereau 300 de lei.

O descriere sumara a virusului: Virusul Politia Romana se folosește de o vulnerabilitate în ultima versiune de Java (CVE-2013-0422), o amenințare informatică de tip ransomware, ce blochează accesul utilizatorului la calculatorul infectat până când acesta plătește o taxă. Utilizatorul nu mai poate face nimic pe calculator din acel moment, fiind blocat pe ecranul respectiv, orice restart va duce din nou în același ecran. Cei de la Bitdefender au scos un removal tool, cu care se laudă ca rezolvă problema. Din păcate, solutia lor nu da roade la anumite versiuni ale virusului.

In fine, pentru a scoate virusul Politia Romana:

Această versiune se poate scoate din calculator sau laptop în următorul mod:

METODA 1 – valabilă pentru primele versiuni ale virusului: 300 și 400 de lei.

1. Intrați pe un alt calculator funcțional și downloadați de AICI, utilitarul Combofix. Îl puneți pe un stick USB în rădăcină, nu contează cum e formatat și ce capacitate are.

2. Opriți calculatorul virusat direct din buton (din păcate, nu există altă metodă). Introduceți stickul USB doar după ce s-a oprit, daca îl introduceți atunci când sunteți în ecranul cu virusul, Combofix va fi șters. După pornire, apăsați F8 pe tastatură până va apare ecranul următor, unde alegeti opțiunea Safe Mode with Command Prompt.

3. Veți ajunge în ecranul de Welcome, unde trebuie să vă alegeți utilizatorul sau va intra direct dacă este unul singur creat. Dupa selectarea utilizatorului, va aparea un ecran.

4. Acolo trebuie să scrieți litera alocată de Windows stick-ului USB. Litera va fi alocată de Windows, în funcție de câte partiții și unități optice aveți pe calculator. De ex, dacă aveți C și D plus E – dvd writer, atunci litera ar putea fi F. Dacă nu știți, puteti să încercați pe rând literele sub forma comenzii E: sau F: sau G: … urmată de tasta Enter. Pentru a verifica că sunteți pe stick, dați comanda dir pentru a afișa conținutul stickului. Încercați literele până ajungeți pe stick. Tastați apoi comanda combofix.exe.

5. După rulare vor apărea următoarele ferestre, unde selectați pe rând: I agree în prima și No în a doua. Apoi, Combofix-ul va începe să scaneze și va afișa stagiile la care a ajuns pe rând. Poate ajunge și la Stage 50, în funcție de cât de virusat e calculatorul.

6. Dupa ce va termina, va da singur restart la calculator și vor apărea următoarele ferestre:

Numele fișierului e posibil să difere de la un calculator la altul. Nu închideți fereastra până nu va apărea și un fisier text cu log-ul scanării. Pentru a scăpa de fereastra cu eroarea încărcării fișierului de la pornirea windows-ului, apăsați tasta de windows și R, scrieți msconfig, alegeți tabul Startup și debifați de acolo căsuța unde găsiți o cale de genul: rundll32.exe și calea din fereastra cu eroarea. Restart.

METODA 2 – valabilă pentru a 3-a versiune, cea cu pozele porno și logurile în primul ecran plus fotografii criptate.

În această nouă versiune, virusul vine la pachet împreună cu un altul care vă criptează fotografiile și documentele, DirtyDecrypt se numește. Veștile nu sunt deloc bune, virusul criptează, din ce se știe până acum, extensiile de fișiere: jpg, png, xls(x), doc(x), pdf, zip și avi. Fișierele jpg se pot vedea în medium thumbnail în explorer, dar când vrei să le deschizi apare imaginea cu File is encrypted de mai jos. Am primit de la voi câteva fișiere infectate și originalele lor neinfectate, le-am studiat și comparat în diverse softuri dedicate. Fișierul infectat pare să fie criptat cu RC4 + RSA1024, ceea ce este foarte rău, pentru că, în mod normal, nu îl poți decripta fără o cheie privată. Am mai văzut câteva fotografii jpg pe care Windows-ul le afișa ca png-uri, pentru că virusul a adaugat un fișier png la începutul headerului și îl afișează în locul jpg-lui. Pe forumurile de specialitate sunt câțiva care susțin că virusul se folosește de sistemul de criptare EFS default din Windows, criptează fișierele și apoi, șterge cheile de decriptare.

E și o chestie ciudată aici, zic eu. În mod normal, criptarea a mii de fișiere poate dura multe ore, zile chiar, în funcție de performanța calculatorului. Sunt utilizatori care susțin că în 2-3 ore le-a fost infectat un hdd de 2 TB. De-aici pot deduce 2 variante:

– criptarea se face doar în headerul fișierului.

– nu e criptare deloc și e un trick folosit de autor pentru a te face să crezi altceva.

Sunt utilizatori cu hdd-uri mari de 2-3 TB pline de fotografii criptate, sunt calculatoare din firme cu documente criptate, filmulețe criptate, aș putea spune că este cel mai distrugător virus din ultimii ani buni. Și încă ceva, dacă credeați că lucrurile stau destul de rău, e posibil să fie și mai rău. Să zicem că reușește cineva să decripteze niște fișiere. O posibilă problemă ar fi dacă criptarea este unică pe fiecare calculator infectat, adică cheia se generează automat ca fiind unică. Asta înseamnă că decriptarea trebuie făcută pe fiecare cheie în parte, ceea ce este extrem de aiurea, dar la fel de bine, dacă se va decripta e posibil să se afle algoritmul și atunci să se poată decripta orice.

Din păcate, MOMENTAN NU EXISTĂ soluție pentru decriptare. Soluția nu o poate oferi decât autorul virusului, dar nu aveți siguranța că dacă veți plăti vi se va oferi cheia pentru decriptare. În plus, vă poate lua datele cardului când plătiți și să vă golească conturile. Nu aveți ce să faceți decât să puneți deoparte fișierele criptate și să așteptați să apară o rezolvare. Cum va apărea o rezolvare, voi actualiza acest tutorial cu pașii necesari.

Metoda prezentată mai jos scoate virusul împreună cu dirtydecrypt, puteți lucra pe calculator după fără probleme, nu pierdeți datele, dar nu decriptează fișierele rămase în urma virusului.Versiune-noua-virus-politia-romana-1024x991

file-is-encrypted*Corect apreciem sa nu precizam tot articolul in cadrul acestei pagini, motiv pentru care, daca doriti sa cititi continuarea, apasati AICI pentru a citi articolul de pe sursa originala.

In situatia in care nu va descurcati sa scoateti virusul din calculator sau nu aveti timpul necesar pentru a efectua toate aceste operatiuni, noi va putem ajuta. Sunati la numarul de telefon 0749.989.988 si in cel mai scurt timp un tehnician de la noi va fi la dumneavoastra pentru a rezolva problema.

Va multumim domnule Mihai pentru intrebarea adresata si, daca considerati necesar, ne puteti contacta telefonic pentru a rezolva aceasta problema. O zi frumoasa!

Suna ACUM la numarul de telefon 0749.989.988 pentru orice problema cu privire la calculatorul sau laptopul tau si NOI te ajutam! Acum oriunde in Bucuresti si la orice ora.

Reparatii calculatoare, service laptop București, instalare windows

PRETURI FARA CONCURENTA!

Deplasarea la domiciliul clientului este gratuita pentru Bucuresti!

0749.989.988

Posted in Intrebari Frecvente and tagged , , , .