Na Waszym komputerze pojawiła się informacja, że został zablokowany, bowiem używaliście go do oglądania zabronionych stron internetowych? Zniknęły wszystkie ikony i pasek zadań, a na ekranie widzicie tylko komunikat, opatrzony policyjnym logo? Każą Wam zapłacić 500 złotych, żeby odblokować komputer? Nie płaćcie, chyba, że chcecie nabić kieszenie przestępcom – to wirus.
W ostatnich dniach do CERT.orange.pl trafiają informacje o klientach usług TP, którzy padli ofiarą trojana Weelsof. To tzw. ransomware, czyli złośliwe oprogramowanie, blokujące komputer i wymuszające okup – tutaj akurat w wysokości 500 zł – za jego odblokowanie. Co gorsza, w przeciwieństwie do wielu maili phishingowych, pisanych „na kolanie” przy pomocy internetowego tłumacza, w tym przypadku mamy do czynienia z atakiem przygotowanym ewidentnie pod polskich internautów. Komunikat, informujący o blokadzie, napisany jest poprawną polszczyzną i dodatkowo opatrzony policyjnym logo. Przestępcy, by uwiarygodnić przekaz, umieścili na witrynie równieżlogo jednego z producentów oprogramowania antywirusowego.
Co zrobić, gdy na naszym komputerze pojawiła się widoczna obok witryna? Przede wszystkim nie panikować, nie przeprowadzać rachunku sumienia i nie płacić. Negatywne emocje są złym doradcą, a po spokojnym przeczytaniu komunikatów można łatwo się zorientować, że mamy do czynienia z oszustwem. Choćby dlatego, że w polskim prawie nie ma podstaw do egzekucji jakiejkolwiek płatności na bazie aktu prawnego o enigmatycznej nazwie „Przepis o (...)”. Równie enigmatyczny jest adres e-mail w domenie online-cyber-police.com (naprawdę ktoś wierzy w to, że istnieje światowa cyber-policja?), że nie wspomnę o płatności grzywny za pomocą kupionego w kiosku kodu (!).
Co jednak zrobić, gdy właśnie przed naszymi oczami pojawił się widoczny obok ekran, wiemy, że to oszustwo, ale chcemy dostać z powrotem nasz komputer? Zaawansowani użytkownicy mogą uruchomić komputer w trybie awaryjnym z wierszem poleceń i spróbować usunąć wirusa ręcznie. Pozostałym radzimy... wpisanie wymaganego przez przestępców kodu, ale absolutnie nie kupujcie go w kiosku. Najlepiej kliknąć w generator losowych kodów, stworzony przez naszych kolegów z CERT Polska, zaś na ekranie odblokowania wpisać 633xxxxxxxxxxxxxxxx (gdzie x to cyfry, uzyskane z generatora). Ponieważ Weelsof sprawdza aktualność kodu, wpisując go należy odłączyć komputer od internetu (wyjąć kabel sieciowy lub wyłączyć kartę WiFi). Odblokowany w ten sposób komputer należy przeskanować programem antywirusowym z zewnętrznego źródła, zaś jeśli ten nie wykaże wirusa – niestety, pozostaje jedynie backup najważniejszych danych i ponowna instalacja systemu operacyjnego.
Jak uniknąć zarażenia tym i innymi trojanami? Mawiają, że pechowcowi nawet w drewnianym kościele na głowę spadnie cegła, ale możemy na tę głowę przynajmniej założyć kask :) Jeśli regularnie instalujemy łatki bezpieczeństwa na system operacyjny i używane przez nas programy, mamy na komputerze firewalla i oprogramowanie antywirusowe, a także nie chodzimy po podejrzanych stronach, ryzyko znacznie maleje. Ale – niestety – nigdy w stu procentach. Zawsze może się okazać, że przestępcy wykorzystali dopiero co odkrytą i jeszcze nie załataną lukę w zabezpieczeniach, bądź umieścili złośliwy kod na przejętej przez siebie absolutnie nie podejrzanej witrynie.