Nu mai rulasem de mult un virus asa ca am intrat azi pe un site ce contine linkuri cu virusi noi si am descarcat un executabil a carui descriere era Trojan.Ransom. Am vrut sa-l analizez folosind metoda de aici in interiorul unei masini virtuale. Insa virusul a refuzat sa ruleze in Sandboxie, dand un mesaj de eroare, asa ca a trebuit sa-l rulez simplu in masina virtuala. Timp de cateva momente nu s-a intamplat nimic, dar deodata intreg ecranul a devenit alb si mai apoi mi-a aparut frumoasa pagina de mai jos: 
Pe acea pagina apar o gramada de acuzatii false care mai de care mai diverse si folosesc imaginea mai multor institutii romane (presedinte si servicii din cadrul ministerului de afaceri interne) pentru a parea credibili. Scopul autorilor acestui virus este de a pacali victimele sa plateasca o asa-zisa amenda de 300 de lei prin card bancar, tipic aplicatiilor ransomware. Din pacate, virusul este foarte agresiv: in afara de acea pagina full-screen victima nu poate accesa nimic. Se pare ca lucrurile nu stau chiar asa, la o simpla cautare pe internet am aflat ca in acest timp au mai fost lansate cateva versiuni. Mai mult, peBleepingComputer.com a aparut acum doua zile un articol despre un virus care seamana izbitor cu cel prezentat aici. Probabil ca virusul identifica tara in functie de IP-ul victimei si afiseaza mesajul in limba tarii respective. Detectia pe VirusTotal: 7/47 antivirusi detecteaza acest malware – destul de slab. Virusul nu permite rularea altor programe, nici macar folosirea unor scurtaturi de taste pentru a lansa aplicatii ale Windowsului. Mai mult, daca pornim Windows in Safe-Mode sau in Safe-Mode with Networking, inainte de a aparea Desktopul sistemul se restarteaza automat. Totusi un sistem infectat cu acest virus poate porni in Safe Mode with Command Prompt si acest lucru poate fi folosit pentru a repara problema. Solutii pentru a scapa de acest virus 1. Disc sau USB bootabil: a. Folositi HitmanPro.Kickstart USB – Este un utilitar care se instaleaza pe un stick USB si de pe care puteti boota calculatorul infectat, fara a mai intra in Windows. De acolo veti putea sterge cu usurinta virusul. b. O alta solutie eficienta la acelasi capitol o reprezinta Kaspersky Rescue Disk. Creati un disc bootabil si scanati de pe el. Va sterge cu siguranta infectia. 2. Trojan.Ransom.IcePol Removal de la BitDefender - http://www.bitdefender.com/VIRUS-1000659-en–Trojan-Ransom-IcePol.html 2. Safe Mode with Command Prompt + Malwarebytes Anti-Malware
Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter. Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes. Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat. Faceti rost de la alt computer de kitul de instalare Malwarebytes Anti-Malware, instalati-l si eliminati tot ce gaseste. La final puteti restarta computerul si acesta va porni ca nou. 
3. Safe Mode with Command Prompt + stergerea manuala a virusului Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter. Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes. Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat. Star Menu > Run > %appdata% Stergeti fisierul cache.dat. Gata! cache.dat este o copie a virusului care a patruns in sistem si este perfect executabil daca ii modificati extensia in .exe. Registrul modificat este urmatorul: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell”=”explorer.exe, C:\\Documents and Settings\\Administrator\\Application Data\\cache.dat” In asa fel se injecteaza acel fisier in procesul explorer.exe al Windows de fiecare data cand porniti computerul.
| 
