Ukash Politievirus verwijderen

Het zogenoemde politievirus maakt in Nederland steeds meer slachtoffers. Geïnfecteerde computers worden geblokkeerd en het enige dat nog te zien is op het scherm is een melding die zogenaamd van de politie komt. De genoemde boete betalen is geen oplossing, maar wat helpt dan wel? Let op: Deze tips zijn geschreven voordat Windows 8 uitkwam. De tips hebben dus betrekking op Windows-versies van voor Windows 8.

Wat is het Ukash/politievirus?

Het politievirus, ook bekend als het Ukash virus, is een vorm van ransomware. Dit type virus, dat computers en bestanden gijzelt tot er een geldbedrag betaald wordt, is niet nieuw. Sinds 2008 zijn er al meerdere virussen uitgebracht die lijken van Windows zelf te komen en bijvoorbeeld claimen dat het antiviruspakket van de gebruiker niet meer werkt of hun Windows licentie verlopen is. Slachtoffers moeten dan geld betalen om hun computer weer te kunnen gebruiken.

Onlangs maakte het politievirus voor het eerst in Nederland slachtoffers. Internetgebruikers kregen een melding, met daarop het logo van de politie, dat de computer wegens illegale activiteiten werd geblokkeerd, zoals het bezit van kinderporno of illegaal verkregen films/muziek. Om een strafzaak te voorkomen moet er €100 worden betaald. Daarna zou de computer gedeblokkeerd worden en heeft de eigenaar van de computer zeven dagen de tijd om alle overtredingen te corrigeren.

Het Ukash/politievirus geanalyseerd

Wie deze melding eens goed onder de loep neemt zal zien dat er maar weinig logica in zit. Naast de spelling- en grammaticafouten (“U kunt betalen een boete of PaySafeCard Ukash.”) maakt de melding gebruik van meerdere artikels van het Wetboek van Strafrecht, waarvan er geen een echt klopt. Het feit dat een boete via PaySafe of Ukash betaald moet worden en dat deze ‘maar’ €100 bedraagt is nog een reden om op je hoede te zijn.

Toch hebben zo’n 5% van de Nederlandse slachtoffers daadwerkelijk deze scammers betaald. Veiligheidsonderzoekers hebben statistieken gevonden van de criminelen zelf, waar te zien is dat op 18 mei, 2012, in totaal 1427 computers geïnfecteerd waren en daarvan 72 mensen hebben betaald. Binnen heel Europa had het virus op die datum zelfs €43.570 binnengehaald.

Drive-by virus

De ransomware verspreidt zich via drive-by downloads. Internetgebruikers die verouderde software van bijvoorbeeld Java of Flash gebruiken, kunnen via een gehackte of kwaadaardige site geïnfecteerd worden. Het virus installeert zichzelf op de computer via een lek in verouderde software en is dan vrij om de computer te blokkeren.

Ukash/politievirus verwijderen

Ten eerste is het belangrijk dat je zeker de ‘boete’ niet betaalt. Het beste is natuurlijk om deze zaken te voorkomen. Zorg dat de nieuwste versies van Java, Adobe, Flash en andere software geïnstalleerd zijn en vergeet zeker niet om ook je virusscanner bij te houden. Indien het te laat is en de computer al geïnfecteerd is, kun je met behulp van zogenaamde Rescue CD’s de ransomware verwijderen. Wij gebruikten de AVG Rescue CD.

Belangrijk: Na het verwijderen van dit virus wordt het aangeraden om de computer opnieuw met een andere virusscanner te controleren. Het virus kan namelijk via een ander gevaarlijk virus geïnstalleerd zijn. Een goede aanvulling op anti-virus is bijvoorbeeld MalwareBytes of HitmanPro

Deze video legt uit hoe je een AVG Rescue disc maakt.

1.       Download de AVG Rescue CD/USB op een niet-geïnfecteerde computer of laptop en sla deze op

2.       Open het bestand en klik op Alle bestanden uitpakken

3.       Klik op Uitpakken

4.       Steek een USB-stick in de USB poort. Zorg dat er minstens 320MB vrije ruimte beschikbaar is.

5.       Klik op Setup in de map met de uitgepakte bestanden.

6.       Klik op Uitvoeren

7.       Kies de drive waar je USB-stick is ingeplugd (vaak is dit F: ) en klik op Install

8.       Klik op Ok wanneer de installatie compleet is

In deze video zie je hoe je met deze USB ransomware en andere besmettingen van je PC verwijdert.

1.       Start de geïnfecteerde computer opnieuw op (powerknop inhouden als afsluiten op een andere manier niet werkt) en zorg dat de USB in de computer ingeplugd is bij het opstarten. Ook moet de computer een internetaansluiting hebben

2.       Bij het opstarten is kort een keuze menu te zien. Druk op de toets die bij Boot Menu hoort. Vaak is dat F8, maar dit kan per computer verschillen. Kijk op het scherm welke toets bij de computer hoort maar wacht niet te lang met drukken

3.       Gebruik de pijltjestoetsen op je toetsenbord om voor Removable Devices te kiezen en druk op Enter.

4.       Druk op de F1 toets en typ “arl”, druk dan op Enter om de installatie te beginnen

5.       Lees de User agreement door met de pijltjestoetsen naar beneden te scrollen en accepteren met Enter

6.       Kies Yes om de nieuwste update van AVG te installeren (aanbevolen)

7.       Kies Update from the Internet, kies Priority 2 en druk nogmaals op Enter om de update te starten

8.       Druk op een toets wanneer de update voltooid is en druk op Return om door te gaan naar het menu

9.       Kies voor de Scan optie en kies dan voor Scan selected volume

10.   Kies je harde schijf in de lijst en kies Scan inside archives

11.   Druk op een toets wanneer de scan voltooid is. Je krijgt een melding als er iets gevonden is

12.   Kies Handle all files seperately

13.   Kies Delete file and go to next one om de virussen te verwijderen. Let op dat je geen essentiële Windows bestanden verwijdert

14.    Wanneer alle bestanden zijn verwijderd kies je voor Return. Kies dan nogmaals voor Return

15.   Kies in het hoofdmenu voor Exit en bevestig

16.   Haal de USB-stick uit de computer en start opnieuw op

[Update 05-12-2012] We zien ook nieuwe oplossingen op de markt verschijnen die gijzelvirussen als het Ukash politievirus tegen moeten gaan. Zo biedt HitmanPro nu een optie om een HitmanPro.kickstart usb-stick te maken waarmee de gebruiker de computer op een gebruiksvriendelijke manier kan ontgrendelen.

Ook Bitdefender heeft een tool voor het verwijderen van het virus. De nieuwe tool van BitDefender Labs kan bepaalde varianten van dit virus, ook wel Ukash virus genoemd, verwijderen. Gebruikers zetten de tool op een usb-stick vanaf een schone computer en starten vervolgens de geïnfecteerde computer opnieuw op in ‘Veilige modus met opdrachtprompt’. Vanaf daar kan de tool gedraaid worden en, aangezien ransomware alleen in bepaalde delen van Windows actief is, de malware in 5 seconden worden verwijderd. De tool is hier te downloaden