Wirus Pirated software has been detected
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Instrukcje usuwana ransomware "Pirated software has been detected"
Czym jest wiadomość "This computer was automatically blocked. Reason: Pirated software has been detected"?
Wiadomość „Pirated software has been detected" blokuje systemy komputerowe żądając zapłaty grzywny za rzekome posiadanie pirackiego oprogramowania. Jest to oszustwo, wirus ransomware, który infiltruje systemy operacyjne poprzez pobrania drive-by, zestawy exploitów, zainfekowane załączniki e-mail i fałszywe pliki do pobrania (na przykład fałszywe odtwarzacze wideo lub fałszywe aktualizacje Flash). Po udanej infiltracji, ten złośliwy program blokuje ekran komputera, wyświetlając komunikat informujący, że wykryto pirackie oprogramowanie, a użytkownik musi zapłacić grzywnę w wysokości 500 EUR (lub 500 CAD) w Bitcoinach w ciągu trzech dni, aby uniknąć zarzutów karnych i aresztowania. Cyberprzestępcy odpowiedzialni za stworzenie tego oszustwa mają na celu oszukanie użytkowników komputerów PC, aby uwierzyli, że dopuścili się naruszenia prawa i w konsekwencji muszą zapłacić grzywnę. W rzeczywistości żadne organy międzynarodowe (w tym Departament Sprawiedliwości) nie używają komunikatów blokujących ekran do pobierania grzywien za jakiekolwiek naruszenia prawa.
Chociaż ransomware „Pirated software has been detected" twierdzi, że pliki ofiary są zaszyfrowane, w rzeczywistości to złośliwe oprogramowanie ich nie szyfruje. Zmienia jednak pliki graficzne (na przykład pliki .jpg) na pliki wykonywalne, dodając rozszerzenie .exe do nazwy każdego pliku. W czasie badań nie było jasne, czy cyberprzestępcy są w stanie cofnąć te zmiany, nawet jeśli ofiara zapłaci okup. Dobrą wiadomością jest to, że to malware nie uruchamia się w trybie awaryjnym z obsługą sieci ani nie usuwa kopii w tle plików. To sprawia, że usunięcie i przywrócenie plików jest stosunkowo proste.
Zrzut ekranu wiadomości „Pirated software has been detected" skierowanej do użytkowników komputerów z Unii Europejskiej:
| Nazwa | Ransomware VirLocker |
| Typ zagrożenia | Ransomware, wirus szyfrowania, narzędzie blokowania plików |
| Wiadomość z żądaniem okupu | Lockscreen |
| Adres portfela kryptowalutowego cyberprzestępców | 1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW |
| Kwota okupu | 500 €, 500 $, 150 $, 250$ - kwota różni się w zależności od wariantu. |
| Nazwy wykrycia | Avast (Win32:VirLock-B [Trj]), BitDefender (Win32.Virlock.Gen.1), ESET-NOD32 (wariant Win32/Virlock.D), Kaspersky (Virus.Win32.PolyRansom.b), Pełna lista wykrycia (VirusTotal) |
| Objawy | Nie można otworzyć plików przechowywanych na twoim komputerze, poprzednio działające pliki mają teraz inne rozszerzenie (na przykład my.docx.locked). Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle w Bitcoinach) za odblokowanie twoich plików. |
| Dodatkowe informacje | To ransomware blokuje ekran komputera i zapobiega dostępowi do niego przez użytkowników. Blokada ekranu twierdzi, że użytkownik używa pirackiego oprogramowania i otrzyma karę, jeśli nie dokona natychmiastowej płatności. |
| Metody dystrybucji | Zainfekowane załączniki e-mail (makra), witryny torrent, złośliwe reklamy. |
| Zniszczenie | Wszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłaty okupu. Razem z infekcją ransomware mogą zostać zainstalowane dodatkowe trojany kradnące hasła i infekcje malware. |
| Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Inny wariant (zaktualizowany) tego wirusa ransomware o nazwie „Operation Global 3" - szyfruje i infekuje pliki ofiary:
Jeśli masz do czynienia z ransomware Operation Global 3, możesz użyć narzędzia do odszyfrowywania plików stworzonego przez Nathana Scott (aka DecrypterFixer) w celu odszyfrowania zainfekowanych plików. Pobierz narzędzie odszyfrowujące Operation Global 3 tutaj.
Film pokazujący, jak używać tego narzędzia:
Takie infekcje ransomware stanowią silny argument za regularnym tworzeniem kopii zapasowych przechowywanych danych. Pamiętaj, że zapłacenie grzywny, której żąda to ransomware, jest równoznaczne z wysłaniem pieniędzy do cyberprzestępców - będziesz wspierać ich złośliwy model biznesowy i nie ma gwarancji, że kiedykolwiek odzyskasz zmodyfikowane pliki. Aby uniknąć infekcji komputera infekcjami ransomware, takimi jak „Pirated software has been detected", wyraź ostrożność podczas otwierania e-maili, ponieważ cyberprzestępcy używają różnych chwytliwych tytułów, aby nakłonić użytkowników komputerów do otwarcia zainfekowanych załączników wiadomości e-mail (na przykład „UPS Exception Notification''). Dbaj o aktualność systemu operacyjnego i wszystkich zainstalowanych programów (Java, Flash itp.) oraz używaj renomowanego oprogramowania antywirusowego i antyspyware. Badania pokazują, że cyberprzestępcy wykorzystują również sieci P2P i fałszywe pliki do pobrania (zawierające dołączone infekcje ransomware) do rozsyłania ransomware „Pirated software has been detected".
Oto zrzut ekranu kolejnego wariantu tego ransomware (odkrytego 26. stycznia 2017 roku przez badacza bezpieczeństwa Nathana Scotta):
Jeśli twój komputer jest zainfekowany tym wariantem, możesz wpisać 000000000000000000000000000000000000000000000000000000000000 (64 zera) w polu „Transfer ID:". Następnie kliknij "PAY FINE". Spowoduje to odblokowanie komputera, a dwukrotne kliknięcie zainfekowanych plików (z rozszerzeniem .exe) spowoduje ich otwarcie zamiast otwierania wiadomości z żądaniem okupu.
Zrzut ekranu wiadomości „Pirated software has been detected" skierowanej do użytkowników komputerów mieszkających w Kanadzie:
Fałszywa wiadomość prezentowana przez to ransomware (cyberprzestępcy wykorzystują nazwę Departamentu Sprawiedliwości):
This computer was automatically blocked. Reason: Pirated software has been detected
Wilful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 EUR (or 500 CAD) If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years. How to pay a fine? There are two ways to pay a fine: 1. You can pay the fine online through BitCoin. BitCoin is available nationwide. Click the tabs below to find the nearest vendor. You computer will be unblocked after the payment is made. 2. (Offline Option) You can come to your local courthouse and pay the fine at the ‘Cashiers’ window. A special restoration software will be sent to you by mail within a week after payment is made. To regain access now you must make a bitcoin transfer to the Department of Justice address. Note: Files on this computer have been temporarily encrypted. Files will be permanently lost if the fine is not paid or an attempt to remove this message is detected. Operation Stop Online Piracy-Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, U.K., New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.
Jeszcze inny wariant ransomware „Pirated software has been detected":
Tekst prezentowany na tym ekranie blokady:
Unauthorized or pirated software has been detected. System has been blocked under the authority of 17 U.S.C s.506
Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.There are two ways to pay a fine:
1. You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest exchange or an ATM. Your computer will be unlocked after you make your payment.
2. (Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
You will need your personal identification documents and computer ID. You must appear in person.
Your computer will be unlocked within 4-5 working days.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Online fine payments are processed by Chase Paymentech.
Amount Transfer ID:
BTC 1.779
PAY FINE
Note: Hard drive contents, network files on this computer have been encrypted and will be inaccessible until the fine is paid.
Any attempt to remove this message will damage your files, hardware and Windows installation.
View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATM Internet Browser Notepad
Operation Global III Is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.
Wygląd tej blokady ekranu (GIF):
Kolejny wariant okienka pop-up „Pirated software has been detected":
Prezentowany w nim tekst:
This computer contains pirated software and has been blocked by ICE-Homeland Security Investigations.
Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restition (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest,
which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.
How to pay a fine? There are two ways to pay a fine:
1.You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after the payment is made.
2.(Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
A special restoration software will be sent to you by mail within a week after the payment is made.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Amount Transfer ID:
BTC 1.773 [PAY FINE]Note: All files on this computer have been encrypted with a strong symmetric algorithm and a 4096-bit key. Files will be inaccessible until the fine is paid.
Attempt to remove this message will result in irreversible damage to your files, hardware and Windows installation. View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad
Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content and their operators.
Usuwanie ransomware "Pirated software has been detected":
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest wiadomość "Pirated software has been detected"?
- KROK 1. Usuwanie ransomware "Pirated software has been detected" przy użyciu Trybu awaryjnego z obsługą systemu.
- KROK 2. Usuwanie ransomware "Pirated software has been detected" przy użyciu Przywracania systemu.
Krok 1
Użytkownicy Windows XP i Windows 7:
Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Film pokazujący jak uruchomić system Windows XP w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8:
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk „Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w „Menu zaawansowanych opcji uruchamiania." Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na „Ustawienia uruchamiania." Kliknij przycisk „Uruchom ponownie". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij „5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Krok 2
Zaloguj się na konto zainfekowane ransomware „Pirated software has been detected". Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.
Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracanie systemu.
Film pokazujący jak usunąć wirusa ransomware za pomocą „Trybu awaryjnego z wierszem polecenia" i „Przywracania systemu":
1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.
2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.
3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.
4. W otwartym oknie kliknij przycisk „Dalej".
5. Wybierz jeden z dostępnych punktów przywracania i kliknij „Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware „Pirated software has been detected").
6. W otwartym oknie kliknij przycisk „Tak".
7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki „Pirated software has been detected".
Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym.
Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk „Odzyskaj".
Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez ransomware „Pirated software has been detected" możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.
Aby chronić swój komputer przed takim szyfrującym/zmieniającym pliki ransomware, należy używać renomowanych programów antywirusowych i antyspyware.
Więcej informacji na temat korzystania z tego programu można znaleźć tutaj.
Źródło: https://www.pcrisk.com/removal-guides/8460-pirated-software-has-been-detected-virus
Znakomita!
▼ Pokaż dyskusję