Per Hellqvist om IT-säkerhet och sånt

Ibland är elakingarna förutsägbara och tråkiga, och ibland är de lite uppfinningsrika. Nu har en ny variant av en lite äldre trojan dykt upp, denna gång på svenska.

Det handlar om en så kallad lösensummetrojan (smaka på det ordet… Ransomware på engelska). Denna är väldigt elak och jobbig. När den aktiverar lägger den upp en bild över hela skärmen och stänger av tangentbord och mus. Man kan liksom inte göra så mycket då.

Jag vet inte exakt vilken version av trojanen det handlar om eftersom jag inte fått in någon exempelfil. Tyvärr vet jag heller inte var den kommer ifrån. Personen ville inte uppge det. Dock medgav personen att det handlade om … ska vi kalla det en “natursida” med många hudfärgade pixlar på bilderna (om du förstår vad jag menar). Så här ser det ut när man är …toast… (klicka på bilden för större version):

Som du ser så är det polis-loggor överallt och hela skärmen är täckt. Det är rätt snyggt gjort. Man har helt enkelt kört upp ett Internet Explorer-fönster i helskärmsläge. På maskinöversatt svenska står det att man gjort en massa brott och att polisen blockerat datorn så att man inte kan göra vidare brott. För att få tillbaka sin dator måste man betala böter på 100 Euro. Hmm… bara det borde vara en fingervisning om att inte allt står rätt till.

Om det är en ny variant av en äldre trojan (vilket jag misstänker) så handlar det om trojanen Ransomlock som nu alltså kommit i en svensk variant. Den är som du märker väldigt jobbig när man fått in den. Inte nog med att datorn är låst tills man betalar lösensumman – den stjäl information också! I tidigare varianter har den stulit lösenord till e-posten, pokersajter, FTP-konton, certifikat etc. Om man råkar ut för denna så är det viktigt att man byter samtliga lösenord efteråt.

Denna är mycket svår att få bort. Speciellt eftersom den låser ned datorn och startar varje gång man startar om Windows. Ett sätt kan vara att boota om datorn från Windows-skivan och välja att reparera en trasig installation. Ett annat kan vara att starta om i felsäkert läge och sen köra Norton Power Eraser och försöka få bort trojanen den vägen.

Eftersom man inte vet vad mer trojanen kan ha laddat ned så är det säkraste alltid att installera om Windows. Har du en bra backup så är det inga problem. Kom dock ihåg att inte ta backup på program utan bara bilder, musik och egenskapade filer (.doc, .xls etc). Installera om programmen från orginalmedia efter ominstallationen av Windows.

Som jag skrev ovan vet jag tyvärr inte var den kommer ifrån. Dock misstänker jag att man infekterar dig automatiskt när du kommer in på en preparerad sida med hjälp av ett kommersiellt attackverktyg vid namn Black Hole Exploit Kit. Det är ett av de attackverktyg som används mest de senaste åren. Den är mycket avancerad och “pålitlig”. De som köper och använder den kan räkna med en bra “return on investment”. Som vanligt gäller det att hålla datorn uppdaterad. Ofta använder de attacker mot tidigare kända säkerhetshål för att infektera dig. Håller du datorn uppdaterad minskar den risken.

En gissning är att trojanen är rysk till ursprunget. När de som ligger bakom den registrerar domäner för sina elakheter så använder de ofta e-postadresser som slutar på .ru. Det kan dock vara så att det handlar om kapade mejladresser som råkar vara ryska, men det är nog en rätt kvalificerad gissning att elakingarna bakom den är ryssar.

Vi tittar vidare på detta och jag kommer återkomma om och när vi får reda på något mer. Vet du mer om denna så får du gärna höra av dig. Speciellt om du vet var man kan hitta en preparerad webbsida. Vi vill såklart ha tag i trojanen så vi kan lägga in den i våra skyddsprogram.

Uppdatering: Det finns kanske ett sätt att lura trojanen. Läs detta och prova om du råkat illa ut.

Taggar: Bedrägerier, Intrång, Jobbigt, Säkerhetshål, Trojaner

Kommentarer

79 kommentarer to ““Ny” elaking låser datorn och kräver lösensumma”

  1. Tommy k Johanssons blogg om datorer & Internet on March 14th, 2012 22:07

    Svensk trojan låser datorn och kräver lösensumma…

    Säkerhetsexperten Per Hellqvist uppmärksammar idag en ny trojan som låser din dator och kräver att du betalar en lösensumma för att återfå tillgången. Den här typen av trojaner har funnits länge, och de kallas för ransomware, men den här sticker ut ur …

  2. Trojan kräver lösensumma för din dator - DN.se on March 15th, 2012 10:27

    […] via ett inlägg hos Tommy K Johansson vidare till säkerhetsexperten Per Hellqvists blogg och läser där om en ny trojan som kidnappar datorn och kräver en lösensumma för att den ska gå att använda […]

  3. Varning för ”Polisen”!! | Internet Sweden om domäner och annat med egen varningslista on March 15th, 2012 12:29
  4. nerikles on March 16th, 2012 17:52

    Råkade ut för denna i Frankrike när jag klickade bort en annons på thepiratebay.
    Skulle kosta 200£ där…

    Är dock enklet att ta bort starta om i safe mode med nätverk och gå till http://www.mcafee.com/us/downloads/free-tools/stinger.aspx

    Tar bort skiten lätt som en plätt. Absolut onödigt med ominstallation!

  5. Pelle on March 17th, 2012 12:15

    Viruset låg i c:\Users\\AppData\Local\Temp som en exe-fil med slumpmässigt namn (t.ex arg447408.exe).

    File Desc: Total Commander Administrator Tool
    File Size: 208 408 bytes
    Company: Ghisler Software GmbH
    Ikon: Blå floppy-disk, med gul/röd utropstecken.

    Filen startas via “All Programs/Startup”

    Vid uppstart tryck Alt-Tab och välj filhanteraren som är igång. Gå till mappen och ta bort filen(erna). Starta om. Ta bort startkommandot ur Startup-katalogen.

    Varken Stinger eller mitt antivirusprogram kunde hitta det och ta bort.

    Alt: gå till Windows\System32 och kör cmd.exe som Admin. kör sen taskmgr.exe från cmd, och döda alla processerna iexplore.exe, notepad.exe och explorer.exe, starta en ny explorer via cmd och nu kan du använda datorn normalt igen. Ta då bort viruset enligt ovan.

  6. Pelle on March 17th, 2012 14:38

    Glöm inte att scanna hela datorn efteråt med ett ordentligt antivirusprogram, då det möjligen kan ligga kvar andra virus/trojaner eller malware.

    Det kan även vara bra att rensa bort alla temporära filer och cache för både Windows och din webläsare.

  7. Fredrik on March 17th, 2012 15:31

    jag har försökt få bort filen med alla ovanstående alternativen utan att lyckas. Problemet är att jag inte kan ta bort det eftersom det används av Rundll32. tips?

  8. Pelle on March 17th, 2012 15:54

    Ok Fredrik, du får starta en taskmanager i admin-läge och helt enkelt slå ihjäl de rundll32-processer som ligger igång.

    Dvs: gå till Windows\System32 m.h.a utforskaren och kör taskmgr.exe som admin.

    Lycka till.

  9. Pelle on March 17th, 2012 16:12

    Ett annat alternativ är att först ta bort
    startkommandot/länken till viruset/trojanen i mappen “All Programs/Startup” och sen starta om. Förhoppningsvis ska datorn då starta normalt och du kan ta bort Virus/Trojan filen utan problem eftersom denna då ej borde vara laddad/låst av rundll32.

  10. Musse on March 17th, 2012 16:40

    Fick trojanen via fileserve när jag skulle ladda ner:
    http://www.fileserve.com/file/FU2Mnng/Adventure.Time.with.Finn.and.Jake.S02E04.Power.Animal.Crystals.Have.Power.WEB-DL.AAC2.0.H264-12DOG.mp4
    (inte när jag öppnade sidan utan när jag klickade på att ladda ner gratis och den vanliga reklamen poppade upp. brukar normalt bara stänga ner reklamen genom att högerklicka på reklamens flik, men denna gång öppnades varningsfönstret) Jag använde Opera, btw.

    Jag kan INGET om datorer så jag gjorde bara så gott jag kunde. Detta gjorde jag:

    Ryckte ut modemsladden ur väggen.

    Startade om i felsäkert läge.

    Viruskollade hela datorn (medans jag sov) med AntiVir men det verkade inte funka som det skulle för den stannade på 22% trots att den fortsatte gå igenom filer, och när jag vaknade såg jag den gå igenom samma filer som när jag gick i säng.
    Den hittade de vanliga WinRar, och sådant som jag satte på ignore eftersom jag visste att de var ok.
    Den hittade också en fil vid namn “opr8IECR.tmp” (eller möjligtvis opr81ECR.tmp) som jag lät den sätta i karantän eftersom jag inte visste vad det var.

    Startade om datorn som vanligt.

    Internet Explorer täckte hela skärmen igen men utan polisvarning (kanske för att internet var borta?). Det dök upp ett löst IE-fönster också (med ett IP-nummer som url) så jag var inte helt låst som tidigare. Passade på att radera cache och sånt. Pillade en massa tills IE stängde ner sig (kanske krashade?), även den fullskärmsvarning som hindrat mig att komma åt startmenyn.
    Fältet där man ser datum och tid hade bara ikoner för Safely Remove Hardware och en till som kanske var Sound Effect, och resten som brukar vara där var borta. Aktivitetshanteraren funkade inte.

    Fick detta meddelande: “Task manager has been disabled by your administrator”.

    Tittade i startmenyn under “Startup” för att se om nåt konstigt dykt upp på att autostarta. Hittade Adobe Gamma Loader (kollade egenskaper och adressen ledde till Adobe Photoshop-mappen) och “Run Registration Tool” (WiFi som jag haft sedan jag köpte den för många år sedan), och nåt mystiskt med namnet “wpbt0.dll”. Kollade egenskaper för att se var den låg och den hade en mystisk dubbel adress:
    “D:\WINDOWS\system32\rundll32.exe D:\DOCUME~1\XXXXXXX\LOCALS~1\Temp\wpbt0.dll,NameFunEx”

    Startade om i felsäkert läge.

    Jag tittade först i den första halvan av adressen men rundll-filen såg bekant ut och det fanns ingen wpbt0.dll där. Sen kollade jag den andra halvan av adressen (D:\Documents and Settings\XXXXXXX\Local Settings\Temp) och där låg det en fil vid namn wpbt0.dll och den hade exakt samma datum och klockslag som då jag fick denna trojan. Jag deletade den. Sedan deletade jag genvägen till den från “Startup” i startmenyn.

    Startade om normalt.

    Nu startade datorn utan att skärmen täcktes. när fältet där klockan finns nere till höger började fyllas av de tidigare frånvarande ikonerna så fick jag syn på Spybot-SD som jag glömt att jag hade så jag körde den för att se om den skulle hitta nåt. Den hittade en Registry Change för Task Manager, och lite diverse cookies. När jag klickat i att den ska fixa problemen så kunde jag använda task manager igen.

    Ingen aning om det är bra nu eller om det fortfarande finns kvar något. Har kört Avira Antivir och Spybot flera gånger men de säger inget och datorn uppför sig normalt.

  11. Musse on March 17th, 2012 18:30

    Glömde säga att Adventure Time är en tecknad TV-serie som sänds gratis på nätet fast jag kan inte komma åt kanalens hemsida och se den för den är för “tung” för min stackars gamla dator. Tänkte bara nämna det så du inte behöver oroa dig för hudfärgade pixlar om du vill kolla om problemet finns kvar på sidan 😉

    Och jag har kvar IP-adressen som syntes i det ej maximerade IE-fönstret. Verkar vara ryskt. När jag startat om datorn utan internet så visades ett annat IP där och det verkar vara från USA. Inte för att jag vet vad jag pratar om, men i alla fall =P

  12. Johan on March 18th, 2012 06:38

    @Musse!

    Ladda ner Malwarebytes och kör en scann, det hittar väldigt ofta saker som dom “vanliga” AV programmen missar. http://majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

    Hittar Malwarebytes något så kan du gärna kommentera om det.

  13. Musse on March 20th, 2012 03:09

    @Per Hellqvist
    Har du vågat dig in på Fileserve-länken jag gav och sett om du lyckats fånga dig en liten lösensummetrojan? 😉

    @Johan

    Tack för länken! =)

    Innan jag såg ditt meddelande så kollade jag “D:” (där jag har Windows) med Avira ännu en gång. Ställde in Aviras egenskaper så den skulle kolla ALLA filer och inte bara de troligaste. Denna hittades nu:

    D:\Documents and Settings\XXXXXXXX\Local Settings\Temporary Internet Files\Content.IE5\2Y9SQD21\info[1].exe

    Fast när jag letade efter den i Utforskaren fanns ingen mapp vid namn “Content.IE5” där.

    Jag tog bort filen med hjälp av instruktionerna här:
    http://www.novirus365.com/Softwareantivirus/64232.html

    Körde Malwarebytes (både quick och full scan) och sedan Spybot och Antivir ännu en gång, och de hittade inte något så det kanske är bra nu =) Om den rackarns trojanen inte skickat en massa privat info någonstans förstås…

  14. Tokio on March 21st, 2012 20:39

    @Musse
    Om jag skulle sprida en trojan från min hemsida, så skulle det inte märkas förrän datorn startats om, och jag tror det är så dessa “ryssar” gör. Min bror drabbades av denna Trojan, när han satt och lade patiens! Frågan är vilke sajt han besökt föregående dag, då han kanske blev smittad. I en virtuell PC har jag försökt bli smittad med hjälp av din länk, men inte lyckats. Det skulle vara intressant att se din surfhistorik före omstarten när du upptäckte problemet, eftersom det är genom uppstartsfunktionen som trojanen aktiveras.
    Intressant kan också vara vilket version av Windows du kör, och versionen av Opera.

  15. Misse on March 21st, 2012 23:29

    Denna trojan har slagit till i min mans dator. Vi är ett par i 70-åldern och inte klarar vi av sånt här.
    Datorn har låst sig och det enda som kommer upp är just Polisfönstret. Man kommer inte in i Windows alls.
    Jag skriver från en annan dator.
    Om jag skulle säga till gubben att uppdatera antivirusprogram och Windows (7), så skulle han inte begripa hur man gör.
    Datorn är en HP G72 med Windos 7.
    Jag kan inte komma ihåg om det fanns någon recoveryskiva med.
    Vad gör man?

  16. Tokio on March 22nd, 2012 09:48

    Trojanen vill ge sken av att man besökt någon “olämplig” sajt, men kan spridas på många andra sätt också, så var inte rädd att ta hjälp av någon granne, barnbarn eller annan ungdom ……
    Steg ett är att rädda eventuellt data i datorn, som ni vill ha kvar. Man kan starta datorn från ett USB-minne (se t ex http://www.knoppix.com) och spara undan på detta minne de bilder, dokument o dyl man vill bevara.
    Steg två är att installera om Windows. Personen som klarar steg ett kan säkert hjälpa till med detta också. Datorleverantören kan säkert hjälpa till också, till en viss kostnad.

  17. Benny on March 22nd, 2012 10:25

    Råkade precis ut för detta. Men åtgärdade det väldigt enkelt efter förslag härifrån. Läs kommentar nr 4 ovan. Att det fungerade är kanske beroende på operativsystem. Jag har Windows 7. Så här gjorde jag.

    1.Startade om datorn i felsäkert läge med nätverk. (när datorn startats om kommer först en “promt” med att köra setup och när denna slocknat blinkar en markör uppe i vänstra hörnet, TRYCK då F8.)

    2. Starta datorn i felsäkert läge med nätverk

    3. Surfa till http://www.mcafee.com/us/downloads/free-tools/stinger.aspx

    och ladda ner programmet.

    4. När det är nedladdat så går du till mappen där det sparats och kör programmet.

    5.Glöm inte att kolla OBS för vissa operativsystem. Man måste stänga av återställningsfunktionen annars sparas viruset i detta. Jag behövde dock inte göra detta.

    6. I programmet är det sen bara att trycka på “scan” och du kommer att se att programmet hittar filen och att den är rensad.

  18. Tokio on March 22nd, 2012 11:02

    @Misse

    Stäng av datorn med Power-knappen genom att hålla den intryckt tills datorn stängts av. Tar 8-10 sekunder. Därefter kan ni troligen få igång datorn utan att “spärrbilden” dyker upp på en gång.
    Spara ner på ett USB-minne de bilder och dokument ni vill ha kvar.
    HP-datorer har en inbyggd återställningsfunktion för att få datorn i det skick den levererades ( återställningspartition). HP har säkert skickat med eller kan ge instruktioner på telefon hur ni ska göra återställningen. Det står nog på deras hemsida också.

  19. Jonathan on March 22nd, 2012 12:12

    Hej!
    Min andra dator har drabbats av detta viruset.
    Det är en laptop så det blir lite svår!
    Snälla hjälp.
    Det är en dell och är ganska gammal
    Jag är inte ett geni på datorer.

    Kan ej heller på upp någon sida för länkarna eller start knappen där nere är borta!
    Hur gör jag?

  20. Lura “polis-trojanen”? | Säkerhet & Sånt on March 22nd, 2012 15:17

    […] “Ny” elaking låser datorn och kräver lösensumma […]

  21. per_hellqvist on March 22nd, 2012 15:19

    Hej alla! Stort tack för alla kommentarer! Ursäkta att jag varit frånvarande. Jag tror att det finns ett sätt att lösa detta enkelt. Kolla in detta: http://blog.perhellqvist.se/blog/2012/03/22/lura-polis-trojanen/ Kanske någon har möjlighet att prova och återkomma?

  22. Lennart Alm on March 31st, 2012 01:09

    Hej!
    Jag drabbades av “Polisen” för någon vecka sedan.
    Hade som tur var sett info om eländet och bl a följt länk till denna sida. Var alltså “förberedd”.
    Löste problemet enligt följande:
    Startade i felsäkert läge. Tryckte på startknappen
    och skrev msconfig i sökfältet (W7, i XP skriv det i körfältet). I W7 klickade sedan på “msconfig” som hittades. Under fliken Autostart fanns sedan boven. Avbockade den och startade om datorn vilket gick normalt. Letade sedan reda på argxxxxx-filen enligt ovan och tog bort den.
    Körde för säkerhets skull SpyBot och FSecure men de hittade inget. Har inte märkt något skumt efter detta.

  23. Bosse on April 2nd, 2012 21:45

    hej. tog bort viruset så här
    Gå in i felsäkert läge med nätverk, gå till microsofts sida, gå till Microsoft Security Essentials (detta funkar inte i felsäkert läge) men på samma sida finns ett program som hette microsoft helth care, körde genomgång av hela datorn (3 timmar)8 skadliga filer hittades och togs bort. därefter gjorde jag en diskrensning också för att tömma på allt onödigt trams som sparas på datorn.. det verkar som det är helt borta nu.. körde f-secure efteråt men det hitta inget.. hoppas det funkar för er andra också.. lycka till :)

  24. bosse on April 3rd, 2012 09:45

    RÄTTELSE… jag skrev fel. Microsoft safety scanner ska det vara inte microsoft helth care . Ligger under säkerhet på Microsofts hemsida.

  25. Patrik on April 13th, 2012 17:11

    Eslövs kommun fick ett krav på 60 € enl Svenska Dagbladet vid total stoppet.
    Kan någon tipsa dom om hur man fixar problemet?

  26. Peter on May 1st, 2012 14:32

    Jag använde tipset att starta om i felsäkert läge och sen köra
    Norton Power Eraser
    och försöka få bort trojanen den vägen.

    Det verkar fungera för jag använder datorn utan problem nu….

  27. boben on May 16th, 2012 10:23

    Fick troligen en “polis” på piratebay.

    Har försökt att starta om i felsäkert läge både med och utan nätvek för att lyckas öppna task managern och klicka ur lämplig fil vid uppstart, men hur jag än gär vinner trojanen och jag kommer bara till den vita “polissidan”. Kör windows XP.
    Har testat kodnumret på Pers blog, men det funkar inte på den variant av trojanen som jag fått.

    Vad göra?

  28. boben on May 16th, 2012 10:37

    har testat att starta i felsäkert läge med kommanotolken och skriva tasmmgr.exe och då får jag upp den….återstår bara frågan vilka processer som skall svslutas?? Eller är det något annat jag skall skriva göra?

  29. Tommy on May 20th, 2012 12:57

    Fick “Polisen” och provade Bosses tips, fugerade helt perfekt. Installerde också Malwarebytes och scannade med den och hittade ytterliggare 1 trojan. Rekomenderarar Bosses tips.

  30. Tommmy on May 20th, 2012 13:01

    Fick “Polisen” här om dagen och provade Bosses tips, fungerade perfekt. Installerade också Malwarebyes och hittade ytterliggare en trojan. Min rekomendation är Bosses tips.

  31. boben on May 23rd, 2012 18:36

    Kan inte öppna datorn i flesäkert läge med nätverk. Det är en liten eepc som jag laddar ned lite musik och annat med och därför använder jag den sällan och jag gissar att virus def är gamla. Hur som helst så uppträder en del problem för mig med alla vänliga tips……..

    1. Jag är datoranalfabet…:-(
    2. Windows ligger förinstallerat på HD och inte på någon disk.
    3. Jag kan inte öppna datorn i felsäkert läge med nätverk utan bara med kommandotolken.
    Har testat att boota datorn via ett usb mkinne med resque filer från AVG…hittar inget! ?

    så nu har mina ideer och kunskap tagit slut…
    Vad gör jag?

    Kan iofs tänka mig att blåsa om datorn då jag inte har nått viktigt på den, men vill inte för då “vinner” polacken eller ryssen som skapat skiten….så av princip så SKALL det besegras?

    HJÄLP någon? :-)

  32. Seppo on May 23rd, 2012 20:56

    Är det här en version av “Metropolitan Police Ukash”? Den verkar ju fungera på ett likartad sätt, fast den senare är på engelska, enligt vad jag läst i nätet. Själva det skadliga programmet i den ska tydligen heta “[random].exe”.

  33. BeeKay on May 31st, 2012 12:15

    Dottern fick denna igår och hon porrsurfar INTE! =)
    Jag löste det ännu enklare men vet inte om det är optimalt men det funkar.

    Starta om datorn i felsäkert läge och backa till en tidigare återställningspunkt i Windows och vips så är programmet inte installerat längre.

    Jag tror dessa fulingar kamoflerar sej som vanliga länkar när man googlar och man kan inte skydda sej mot dom. Däremot upptäckte jag efter reparationen att Microsoft Security Essentials var avstängt och gick inte starta igen, installerade om det och körde en scan dock. Inga problem hittades =)

  34. %%fokuskw%% on June 9th, 2012 16:00

    %%fokuskw%%…

    Säkerhet…

  35. Richard on June 10th, 2012 10:54

    Min dotter fick också detta “virus”. Vi har PC med Win7. Jag startade om i felsäkrat läge och backade till en äldre systemåterställning. Startade om PC:n och allt verkar funka. Därefter uppdatering av “alla” program (windows update, Microsoft Security Essentials). Följt av scanning, som inte hittade något. Sedan kollade jag igenom alla Temp kataloger och på min dotters användarkonto i Tempkatalogen för IE hittade jag filen “superfish.args[1].js” med datum som sammanfaller med tiden då PC:n låste sig. Ingen aning om vad detta javascript med okänd utgivare är för något eller vad det gör. Men skriptet är i alla fall nu raderat.

    Nu verkar allt vara funkis, men jag vet ju inte om det finns kvar något på datorn. Någon som har några tips eller rekommendationer?

    /R

  36. Jörgen on July 3rd, 2012 19:07

    Jag blev av med “Polisjäveln” genom att starta WindowsVista i felsäkert läge, och göra en systemåterställning. WindowsVista föreslog en tidpunkt bara två dagar innan jag blev infekterad. Efter systemåterställningen sökte jag av datorn med Malwarebytes Anti-Malware, och hittade en liten plitjävel som heter “Trojan.FakeAlert” som raderades. Har sedan kört uppdatering och full genomsökning med Microsoft Security Essentials, kliniskt rent blev svaret. Lycka till alla andra!

  37. Meppe on July 3rd, 2012 19:13

    Den har kommit i finsk variant också *morr*

    Har virusscanning på och internet borta, får se om det hjälper.

  38. Keijo on July 6th, 2012 14:03

    Jag har fått denna fruktansvärda inte överhutaget starta datorn, det kommer upp följande “Det gick inte att starta Windows eftersom följande fil saknas eller är skadad: \WINDOWS\SYSTEM32\CONFIG\SYSTEM” Hur kan man gå vidare, har försökt starta upp med Windows XP skivan utan att lyckas, kommer ett felmeddelande. Är det bara att kasta datorn eller… Tacksam för alla förslag för att kunna starta upp eller formatera om.

  39. Mats Lembäck on July 11th, 2012 11:35

    Jag fick detta virus i datorn jag har Vista, när jag fick det hade jag ett flertal olika sidor uppe eftersom jag satt och jobbade hemifrån. Det som löste det hela för mig var jag loggade om och använde felsäkert läge klickade på startknappen och gick till Tillbehör, systemverktyg och drog ut en genväg till systemåterställning på skrivbordet.Jag gjorde också datorn “trög” genom att plugga in något i alla USB portar så att jag skulle få lite mer tid vid omstart att hinna klicka på systemåterställnings ikonen, jag hann precis få igång processen så bilden dök aldrig upp. Sen återställde jag ett par veckor tillbaka. Jag vet dock inte om filerna finns kvar i datorn har gjort ett flertal viruscheck och hittat 18 olika virusfiler hitills??!! Ingen av de tipps som nämndes här ovan funkade för mig tyvärr. En riktigt jobbig trojan den här men den verkar bestå av ett flertal filer. Ja har ändrat alla lösenord för säkerhets skull.

  40. Gunnar on July 12th, 2012 09:38

    Satt och letade på nätet efter bra bilder för vår hemsida i pensionärsföreningen då datorn plötsligt blockerades. Inget av det de påstår har jag gjort.

    Vad kan jag göra nu???

  41. Mattias on July 12th, 2012 19:39

    Fick nyss den jäkeln. Medan jag satt och leta på via annan dator hitta “säker surf” den och tog bort den. Startade om och allt verkar funka. Krävs det något mer?

  42. Engan on July 14th, 2012 12:25

    Jag laddade ner mcaffes stinger på en annan dator la filen på ett usb startade den infekterade datorn i felsäkert läge pluggade in usbet och scannade med stinger tog bort infekterade filer nu funkar allt igen men tar nog bakupp och formaterar om för säkerhets skull.

  43. Nikita on July 18th, 2012 13:24

    Jag provade tipset att systemåterställa till ett datum före problemet och det fungerade!!! Tack till alla som tipsat om åtgärder för denna polisjävel som inget viruprogram verkar komma åt.

  44. Freddan on July 24th, 2012 10:42

    Fick denna för några timmar sedan och efter många om och men och ett antal svordomar lyckades jag till slut få bort det på följande sätt:

    (Windows 7)
    1. Startade upp datorn i Felsäkert Läge (F8 i bootup)
    2. Körde igång msconfig.
    3. Hitta en väldigt misstänksam fil i Autostart: topctfewketknea (C:\ProgramData\topctfew.exe).
    4. Tog bort ovannämnda fil och startade om burken.

    Hittills funkar allt perfa, skannar igenom hela datorn med diverse anti-virus och anti-malware progam för att få bort eventuella rester/kopior.

    Hoppas det här hjälper de som fortfarande har problem med det här förbenade virusf*nskapet!!!

  45. Noob on July 25th, 2012 04:45

    Ett sätt som jag fixade detta var via återställning. Tryckte F8 innan windows symbolen kom (jag har windows 7). Återställde datorn till en tidpunkt innan jag installera en java uppdatering (det visade sig vara denna som var infekterad lr nåt) och sedan var det bara att ladda ner secunia, Comodo, och x-antal andra antimalware program.

  46. Conny on August 1st, 2012 00:04

    Fick skiten idag när jag googlade på “mercedes”, tror nog att det ligger latent en stund för att inte avslöja källan. Provade all typ av städning med litet resultat. Återställning till 10/7 tycks funka. Frågan nu är vad skit finns kvar, vågar jag gå till banken eller andra konton? Måste jag byta allt?

  47. Mads Enlille on August 6th, 2012 09:11

    Jag har lyckats få bort detta. Jag kör W7 64-bit och efter lite surfande på “vuxensidor” drabbades jag av den här trojanen. Så här fixade jag det:
    När datorn låste sig och det fejkade polismeddelandet visades tryckte jag Ctrl-Alt-Del och valde i högra nedre hörnet att logga ut. Windows börjar då att stänga ner all programvara inkl. trojanen. Samtidigt brukar en del processer ta tid och Windows frågar då om man vill forcera logout. Då tryckte jag Cancel och kunde sedan komma in i Windows utan att trojanden var aktiv. Dock krävdes det att jag dödade explorer.exe i task managern och sedan startade upp den igen. Slutligen laddade jag ner både Norton Power Eraser och Malwarebytes Anti-Malware då varken Forefront Client Security eller Microsofts malicious software removal tool lyckades skydda mig eller ta bort eländet. Nu fungerar min dator perfekt igen.

  48. Carl Berg on August 8th, 2012 18:50

    Jag har också råkat ut för problemet, jag skrev ihop en blog post om hur jag löste det:
    http://www.carl-berg.se/post/fighting-ransomware

  49. Fredrik on August 12th, 2012 18:14

    Hur kan man fastställa ifall man fortfarande har kvar trojanen eller om man lyckats tagit bort den 100%?
    När jag fick upp skärmen bootade jag direkt om datorn och drog en scan. Jag har sedan dess inte fått upp skärmen som låster datorn någon mer gång. Jag använde mig även av #17 Benny’s förslag och körde http://www.mcafee.com/us/downloads/free-tools/stinger.aspx som inte hittade något. Så kan jag med 100% säkerhet säga att jag har lyckats rensat datorn från denna trojan eller finns det yttligare steg kan jag vidta för att säkert säga att trojan är borta?

  50. Robert on August 14th, 2012 02:44

    Till alla drabbade av detta skadliga datavirus.

    Börja med att slappna av. Ta ett djupt andetag… andas ut… och följ sedan nedanstående 17 enkla steg så kommer ni att bli av med detta “Ukash”-virus från er dator. Att drabbas av ett Malware-virus kan vara stressande, speciellt om man aldrig drabbats tidigare och/eller inte har någon större erfarenhet av datorer och virus. “Polisen-viruset” är ganska lätt att bli kvitt.

    Okej. Är ni med? Då kör vi.

    Steg 1: Se till att få tillgång till en dator som inte är smittad.
    Steg 2: Sätt i ett USB-minne i den datorn.
    Steg 3: Gå till sidan http://www.malwarebytes.org.
    Steg 4: Ladda ned gratis-versionen av “Malwarebytes Antimalware” till Skrivbordet.
    Steg 5: För över detta nedladdade program till ditt USB-minne.
    Steg 6: Ta bort USB-minnet från datorn.
    Steg 7: Starta den infekterade datorn i “Felsäkert läge med nätverk” (så att man får tillgång till Internet). Detta gör du genom att klicka på F8 upprepade gånger strax efter start av datorn (möjligen någon annan F-knapp på vissa datorer, se manualen). Upplösningen på skärmen vid “Felsäkert läge” kommer att se tokig ut, detta är normalt och inget att oroa sig för.
    Steg 8: När du är inne i “Felsäkert läge” sätter du i ditt USB-minne.
    Steg 9: Leta upp filen på USB-minnet och för över filen “mbam-setup…” till skrivbordet och dubbelklicka sedan på den. Låt programmet installeras och uppdateras. Följ anvisningarna och godkänn det som kommer upp.
    Steg 10: När programmet har installerats, klickar du på programmets röda ikon på skrivbordet, ett vitt “M” i en röd ruta.
    Steg 11: Välj “Utför en fullständig skanning”.
    Steg 12: Gå nu och gör några goda smörgåsar, nåt gott att dricka, sätt dig framför datorn, se Antimalware-programmet jobba och koppla av. Låt programmet arbeta och rensa de skadliga filerna.
    Steg 13: När programmet arbetat klart, det brukar ta ca 45 min till 120 minuter, får du ett meddelande om att trojaner (eller nåt annat lika irriterande) hittats. Låt programmet ta bort dem.
    Steg 14: Ta bort USB-minnet och starta om datorn i normal-läge (ej “Felsäkert läge” denna gång).
    Steg 15: Kör “Malware Antimalware”-programmet en gång till, “Fullständig skanning”.
    Steg 16: Om programmet hittar virus, låt det ta bort det.
    Steg 17: Grattis! Nu har du återställt din tidigare infekterade dator och den är fri från Malware.

    (Gjorde detta på flickvännens dator senast igår, med lyckat resultat. Det tog ca en timme att söka igenom den och få bort viruset.)

    Mvh Robert
    Datanörd sedan 1993

  51. Petter on August 14th, 2012 08:37

    Förts och främst ett tack till alla som postat tips på att lösa detta!

    Löste det genom Peter´s tips att använda Norton Power Eraser.
    Startade i felsäkert läge och körde Norton.

    tack

  52. Ola on August 22nd, 2012 15:10

    Blev drabbad av samma virus/trojan som ni beskriver. Försökte först med McAfee enligt #17. Gick in i fail safe läge via F8 och installerade ner filen från internet (annan dator) till USB. Stinger plockade bort 8 av 9 infekterade filer. Den sista låg under C:Documents and settings/local servce/local settings/temp.internet files content.IE5/ som någon random kod ( i mitt fall OXIVG5IV/upgrade(1).cab/UPGRADE.EXE

    Stinger identifierade filen som trojan “Artemis!57A50A34E5AF” men kunde inte plocka bort den.

    När jag letade lite i filerna hittade jag ett “ferrari”-liknande emblem med en gul bakgrund och en svart häst på. Det stod MS under. Jag klickade på den för att kunna plocka bort den men då kickade “Ucash” filen igång igen… Klicka med andra ord inte på dylik symbol!

    Försökte sedan med #50 förslag och laddade ner MalwareBytes via USB. Det verkade funka. Efter en quick scan lyckades jag rensa bort “Ucash” i fale safe läget och kunde sedan starta om i vanligt läge.

    Just nu kör jag en full scan och hittintils har programmet hittat 12 upptäckta objekt. Flera scanning omgångar är med andra ord att rekommendera.

    B.T.W. så kör jag med Windows XP professional.

    Tack alla ni som bidragit med tips.

  53. “Polistrojanen” i ny tappning | Säkerhet & Sånt on August 29th, 2012 12:55

    […] “Ny” elaking låser datorn och kräver lösensumma […]

  54. hue on September 19th, 2012 07:15

    Fick viruset också. Jag gick först in på felsäkert läge. Sen försökte jag leta efter program som tar bort det men hittade inte, men så hittade jag “Norton Power Eraser” och där tog det bort nån cccccccc.exe fil tror jag och “sumo paint” fil. Sen gick jag in på “Felsäkert läge” och skannade efter virus med “SpyHunter” och då fanns inte Polis-viruset kvar men det var nån “pop-up” virus (kommer inte ihåg namnet) som var kvar och jag hade typ 564 virus och jag tror att polis-viruset är borta men vågar inte kolla för jag tror att den kanske kommer upp igen. Vad ska jag göra? Hade egentligen tänkt att ta med den till polisen om viruset var kvar men nu vet jag inte om den är kvar. Ska jag fortfarande ta med den till polisen då?

  55. Jesper on September 27th, 2012 02:06

    tackar som fan ! är helt iq-bad boll på datorer och sånt här ! men starta datan i fel läge nätverk eller vad det stod gick i oh sökte på google fick upp denna sidan ! läste kommentar 26 ( peter ) gjorde som han och nu funkar de ! tusen tack !

  56. Ricky carlson on September 28th, 2012 02:04

    hejsan. jag fick en dator från skolan ja går på för 2 dagar sedan och det har kommit upp en exakt sådanruta och det går inteklicka någon stans förutom nån kod som ska skrivas in. sen startar jjag datorn i felsäkert läge då måste ja logga in (som varje gång) med mitt användar namn o lösenord men ja kommer inte in på mitt rätta namn o lösenord, vad gör jag? tackar för svar i förväg.

  57. Anders T on October 2nd, 2012 07:36

    Min dotter fick detta virus igår, hon hade surfat runt med googlechrome då helt plöstligt IE öppnade sig med en himla massa flikar. Hon stängde ned dom sedan låste sig datorn med polisvirusbilden. Det mest oroväckande är att jag var inne på blocket imorse då jag helt plötsligt fick en “virus varning” från Microsoft Security Essentials. Jag har inte detta program installerat och blev misstänksam. Högerklickade på bilden visade egenskaper och det visade sig vara en .PNG bild med en länk under. Tryckte CTRL-ALT-DELETE och stängde ned bilden från aktivitetshanteraren. Klarade mig undan med hjärtat i halsgropen från att med största sannolikhet drabbas av viruset.

  58. Erik on October 14th, 2012 18:45

    Fick upp en nyskapad version utav detta virus idag… For fort som attan in till affären och köpte ett paysafecard…. THANK GOD FOR kvittot… Står med stora bokstäver, om det handlar om att låsa upp datorn, kontakta kundtjänst.. Skönt att man har 1000kr att spendera på annat.. Men den nya bilden är oerhört mycket bättre gjord. Blev väldigt fundersam när det stod Polismyndigheten, anklagelserna och att om jag ej betalar inom 24h kommer det väckas åtal emot mig… Hm.. Känns inte alls bra att få ett sådant virus… Vilket jag verkligen hoppas att det är… Som tidigare person nämnt. google chrome verkar inte alls säkert ..

  59. GHooST on October 15th, 2012 15:48

    Fick detta ihelgen.. men jag fick nog en annan variant av detta virus.. för jag kunde ej starta i felsäkert läge utan bara i normalt.. så jag tog xp installations skiva och tänkte installera om på en annan pattion på disken men då visade c: som okänd pattion och då gick det inte att installera på D: i mitt fall. men lyckas få igång scandisk och reparede C: så till sist kunde jag installera och gå in och rensa C: disken

  60. Margaretha G on October 23rd, 2012 06:05

    Helt klart är det ett nytt virus ute. För omkring 2-3 v sen fick jag in ett virus i en av våra datorer hemma, trots uppdaterade brandväggar och virusskydd. Var på Blocket när ett, till synes, program Win 7 (sen stod nåt mer) rasslade fram många infekterade filer. Blev misstänksam när bilden var så pixlig och amatörmässig ut. Stängde ner. Sambon har slitit sitt hår utan att få bort eländet.

    Förra veckan satt jag på jobbet, som har ordentliga virusprogram, men fick samma sak på Blocket, dock en annan version. I båda fallen kunde man kryssa för och betala en summa. På jobbet fick man ominstallera hela datorn.

    Idag fick jag höra att min väninna råkat ut för samma sak. Hon fick tyvärr ett dåligt råd av en support, att återställa datorn till ett tidigare datum och sen virusscanna. Hon gjorde detta men naturligtvis får man inte bort virus på det sättet. Förra veckan gick hon igenom datorn och upptäckte då att man länsat hennes konton på Swedbank. Min väninna är sjukskriven sen ett år och man har nu tagit rubb och stubb. Enligt banken har man sett att attacken skett från hennes dator, inte via bankservern, och man har kunnat leda detta till Polen, men sen säger de att man inte kan följa pengarna längre.

    Det måste alltså betyda att Swedbanks system har hackats? Man ska ju ha en säkerhetsdosa med nya koder varje gång…hur har de lyckats plocka ut pengar flera gånger utan bankdosa? Det finns flera som kan vittna om att min väninna inte fanns hemma vid aktuellt tillfälle. Ersätter banken en sån här gång..?

  61. Josue on November 22nd, 2012 20:28

    Nummer 4 fungerade perfekt. Tack för hjälpen. Nu snurrar mina datorer igen rena och utan virus.

    //Josue

  62. Emma on November 26th, 2012 23:40

    Drabbades av polis viruset för 1 vecka sen och försökte först med Norton men sen när jag startade om så vart Polis grejen kvar på skärmen så jag körde förslag nummer 50 med Malwarebytes anti virus och det FUNKADE :) har blivit av med Polis viruset…..Jippieee..tack för rådet Robert aka ” datanörd sen 1993 “

  63. Nicklas on December 5th, 2012 22:38

    Fick det alldeles nyss och jag körd ctrl alt delete precis när jag logga in. Fick upp rutan och hann ta bort processen på mitt 10e försök. Körde virusscan, ccleaner, en systemåterställning och avmarkera processen på msconfig och radera filen. Den har inte kommit tillbaka än iaf.

  64. Tacksam on December 22nd, 2012 03:45

    Råkade ut för skiten ikväll på en Win7 64bit HP laptop. Tog fram en gammal Win98 laptop och började söka lösningar. Hittade hit. Lyckades lösa problemet genom att återställa datorn 9 timmar. Håller nu på med alla andra åtgärder som rekommenderas här. Ett stort tack till alla hjälpsamma och kunniga som tillhandahållit lösningar.

  65. Lättsamt on December 22nd, 2012 20:53

    Hej! Jag fick skiten för någon dag sedan och blev vansinnig då jag hört talas om den och nu fick den. Jag provade ctrl, alt del men de funka inte. starta om med samma resultat… sen kom jag den brilijanta iden att använda mig av datorns egen “säkerhetsbackup” så jag startade med win7 skivan i och valde att reparera till den senaste backupen som gjordes några dagar tidigare. DET GICK! Som tur var hade jag olika diskar för arbete och operativ… =)

  66. Lättsamt on December 22nd, 2012 20:57

    Hittade detta när jag surfade runt och bekräftar mina åtgärder….

    Polisen varnar för IT-bedrägerier
    HALLAND

    Hallandspolisen har i år fått in ett 80-tal anmälningar från personer som har uppmanats att betala en avgift för att få sin dator upplåst. Nu går polisen på nytt ut med en varning.
    Relaterat

    – Vi vill än en gång informera så att inte folk tror att polisen ligger bakom, säger Thomas Tell, förundersökningsledare vid Hallandspolisen.

    En stor mängd personer i hela landet har råkat ut för att ett meddelande visas på datorskärmen där de uppmanas att betala 100 euro för att få sin dator upplåst. I meddelandet står det att datoranvändaren har besökt webbplatser ”som innehåller pornografi, barnpornografi, tidelag och våld mot barn”. Det står också att ”videofiler som innehåller pornografi, våld och inslag av barnpornografi har installerats”. Polisen och regeringskansliet påstås vara avsändare till meddelandet.

    Men det hela är bara en bluff, något som Hallandsposten tidigare har berättat.

    – Det finns ingen anledning att betala några pengar, säger Thomas Tell och uppmanar folk att polisanmäla alla sådana här bedrägeriförsök.

    Den som har fått ett sådant här meddelande på sin dator kan behöva ”låsa upp datorn”. Thomas Tell uppmanar alla datoranvändare att se till att operativsystem och antivirusprogram är uppdaterade.

    För att få bort meddelandet kan en ordentlig rensning behöva göras. Ett tips från polisen är att starta om datorn i felsäkert läge och återställa systemet till en tidpunkt då man vet att att datorn inte var smittad av något datavirus eller annan skadlig kod. Det är också bra om man sedan kör ett antivirusprogram från felsäkert läge.

    – Det brukar oftast räcka med dessa åtgärder, säger Thomas Tell.

  67. Andreas on December 28th, 2012 14:39

    Råkade ut för ukashvarianten av viruset för någon dag sen. Gjorde först en systemåterställning (från annan användare) som fick bort låsningen och körde sedan igenom med diverse antivirusprogram.

    Först F-secure som inte hittade något, sedan Microsoft Security Essentials som fann 7-8 program, MalwareBytes som fann 3 och slutligen Norton Power Eraser som hittade noll.

    Så ett tips är att prova med flera olika antivirus för att va säker på att ni får bort allt av skräpet från datorn.

  68. Jan on December 29th, 2012 19:59

    Jag råkade ut för eländet i går när jag sökte efter en adress på hitta. Sök resultatet blev helt tokigt, när jag skulle backa till baks till sök fönstret igen så kom det upp ett popup fönster. Som jag inte han med att läsa.
    Jag har försökt med de flesta knep och knåp från den här sidan och andra. Utan att få bort trojanen. När jag försöker att starta i felsäkert läge så kommer sidan upp där också.
    Jag har bra en användare på datorn så det går inte med det häller.
    Någon som har ett tips!!

  69. andreas on January 1st, 2013 19:32

    när datorn starta tryck F8 hela tiden tills det kommer upp en meny där väljer du starta i felsäkert läge med comando tolken “cmd”

    när du sen får upp denna så skriver du
    explorer.exe
    sen kommer du in i datorn i felsäkert läge!
    då kan du installera nåt av dom programen som finns angivet i domma kommentarena.

    jag rek malwarebytes

    ladda ner här
    http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

    sen spara du den på en cd eller usb minne och sätter in den i den smittade datorn och installera programet och väljer full ständig scan!

    sen när den är klar så starta du om och det ska funkar!

  70. hans söderström on January 3rd, 2013 11:27

    kommer inte ens in i felsäkert läge. Trycker f8 men kommer efter det bara till en bild där dwr hävdas att windows skall fixa säkerheten men sen händer inget. Hjälp!!!

  71. Jonathan on January 9th, 2013 21:05

    Måste medge att jag vart lite rädd när rutan ploppade upp och jag såg ”Din dator är låst på gtund av…” Sen såg jag alla sjuka påståenden som jag vet att jag aldrig har gjort. Då visste jag på en gång att det var något skumt med det. Så jag gick in på våran andra dator och hittade din sida, Ville bara titta in och säga tack!

    Det jag gjorde för att få bort det var att gå in i felsäkert läge och köra en Återställning några timmar bak i tiden sen var det klart. Installerade uppdaeringarna och ska köra en noggrann Virussökning.

    hans söderström, vad har du för operativ system på datorn?

  72. Marlean on January 19th, 2013 01:21

    Vill bara varna för att trojanen just nu finns på youtube2mp3.com

  73. Ariana on February 13th, 2013 17:43

    Hej!

    Min son råkade precis ut för detta och blev riktigt rädd. Tur jag hade läst om detta och kunde lugna honom.

    Stakarn hade inte öppnat sin dator på evighet och så startar han upp den idag och en vit ruta slår upp med polisvarning samt att han säger att det blixtrar till och nån fotar honom och säger han måste betala 100 euro.

    Han stänger ner datorn när han kommer ner till oss och berättar. Vi startar upp den och får bara upp en blank vit sida och inget mer.

    Nu ska vi försöka installera om hela windows för honom och hoppas vi slipper detta. Tråkigt med sådan när man har senaste Norton uppdateringen av virusprogram.

    Någon mer som råkat ut för detta och att en bild tas samtidigt?

  74. Camilla on February 18th, 2013 18:09

    Tack som fasen #50 / Robert!!!

    Dock uppstod ännu ett litet problem, när jag nu för andra gången skannar datorn i vanligt läge så fastnar den och rör sig inte alls och efter en stund så poppar det upp en ruta från “microsoft. NET framework” att ett fel är i vägen och så får jag välja mellan att antingen ignorera felet eller avbryta hela grejen? Vad gör jag nu?

    Mvh sjukt oteknisk (:

  75. Ted Johansson on April 30th, 2013 01:39

    Hejsan !!

    Jag försökte att formatera hårdisken med det kom bara en blue screen ?? Varför blev det så ??

  76. Olof on May 7th, 2013 17:32

    Jag håller på att kriga mot polisens utpressningsvirus just nu. Med Guds hjälp kommer jag nog att fixa allt så småningom men det går ganska trögt.

    Jag har tittat runt lite och det finns en hel del variationer av viruset eller trojanen. Koden funkade ej så jag valde att starta om datorn i felsäkert läge. Men så fort jag startade upp windows så slocknade det igen. Jag löste detta genom att starta om med felsäkert läge och kommandoprompten. Sedan startade jag windows manuellt därigenom.

    Därefter lokaliserade jag i /TEMP filer som var förknippade med viruset och raderade dem. Det gjorde inget såklart.

    Nu håller jag på att scanna igenom datorn med mcaffes STINGER och hoppas att det skall göra susen.

    MvH
    Olof

  77. Olof on May 8th, 2013 09:52

    Spyhunter 4 är inte gratis alls. Spyhunter hittar infektionen direkt man börjar scanna datorn som om det visste precis vars man skall börja leta. Känns nästan som om viruset och spyhunter sammarbetar eftersom så fort genomsökningen blev klar så ombads jag betala för programmet för att få ta bort infektionen. Detta är bara spekulationer.

    Nu kör jag Norton Power Eraser och dessförinnan raderade jag firefox och skype totalt emedan de verkade vara de program genom vilket angreppet spred sig.

    Herrens Frid
    Olof

  78. stefan on May 15th, 2013 11:49

    Om polisbilden kommer upp direkt i felsäkert läge också, hur göra?

  79. Mårten on June 14th, 2013 12:44

    #69 Andreas: Tack Andreas, lösningen fungerade perfekt!
    Malware hittade två trojaner som jag valde att ta bort, startade om datorn för några minuter sen och det verkar ju funka utan problem

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.