Um computador em nossa casa foi atingido pelo vírus "ransomware" do FBI.
Aqui estão os detalhes do que aconteceu (Win 7 Home Premium):
Nós tentamos inicializar no modo de segurança, mas a tela de resgate STILL apareceu. Sim, mesmo no modo de segurança.
Esperava haver uma lista de instruções com etapas rápidas para remover esse vírus. Pensei que eu encontrei com Como remover o FBI Moneypak ransomware? mas essa questão era marcado como duplicado com redirecionamento para Como eu posso remover spywares, malwares, adwares, vírus, trojans ou rootkits mal-intencionados do meu PC? , que contém muitas técnicas gerais para remoção de malware, muitos deles muito complicados e impraticáveis se você estiver tentando para voltar rápido. (Se isso é possível.)
Existe algum conjunto de instruções sobre o que fazer para remover essa infecção ransomware específica, incluindo a impossibilidade de inicializar no modo de segurança?
Faça o download do KAV Rescue Disc e grave em disco ou use um programa como UNetBootin para instalá-lo em uma unidade USB.
O que é isso:
O LiveCD do Antivírus da Kaspersky é executado em um * nix especialmente criado que permitirá a execução de um serviço de verificação e remoção sem o Kaspersky.
Pessoalmente, usei-o muitas vezes com grande sucesso.
Qualquer dúvida, por favor pergunte.
Estou postando uma resposta para minha própria pergunta (por link ) porque, no final, me deparei com uma maneira esperta de tirar o FBI Ransomware da minha máquina. Talvez isso ajude alguém a sair.
Resumo das etapas:
Detalhes:
Eu estava no processo de tentar criar um disco de inicialização do Windows Defender Offline em outra máquina. Eu também recebi uma sugestão para executar o Malwarebytes do nosso grupo de TI no trabalho. Mas isso pressupõe que você pode inicializar sua máquina para executar o Malwarebytes.
Ainda não acreditei que não consegui inicializar no Modo de segurança. Então eu dei outra chance. A máquina é uma DELL e perdi a tecla F12 a tempo de fazer aparecer o menu de opções de inicialização do Windows. Os gráficos do Windows 7 estavam aparecendo e não fazia sentido inicializar o vírus, então desliguei no meio da animação do logotipo do Windows.
Eu liguei novamente. Desta vez eu recebi um aviso dizendo que o Windows não foi reiniciado corretamente e que eu queria tentar resolver o problema? Eu respondi sim. Depois de um minuto ou dois, fui solicitado com a opção de retornar a um ponto de restauração. Eu respondi sim. Depois de talvez uma hora de um indicador de progresso no estilo DOS passando pela tela, o Windows foi reinicializado e o vírus desapareceu.
O ponto de restauração foi criado pelo Windows. Nós nunca criamos um manualmente na máquina. Não fui solicitado a selecionar um ponto de restauração, então não sei o que aconteceria se o ponto de restauração incluísse o vírus.
No meu caso, os passos acima que eu tive sucesso em remover o vírus rapidamente e facilmente sem ter que trazer nenhum outro utilitário ou disco de inicialização para o jogo.
Nota final: Depois de voltar ao Windows, eu corri o Malwarebytes e ele encontrou dois arquivos infectados com o Trojan.Winlock. Baseado no googling, parece ser consistente com vírus de ransomware.
A maneira mais fácil que encontrei de remover o ransomware do FBI é desligar sua máquina e remover o disco rígido. Usando um dos vários adaptadores USB disponíveis, conecte-o a uma máquina que tenha uma versão atualizada do Malwarebytes instalada. Depois que a segunda máquina detectar sua unidade, abra Meu computador no menu Iniciar. Localize o seu disco rígido na lista e clique com o botão direito, em seguida, clique em digitalizar com o Malwarebytes. Isso geralmente encontra o vírus / malware e o remove.
Eu realmente encontrei uma maneira bastante útil para remover esse vírus. Eu percebi que às vezes, a tela do FBI leva um pouco de tempo para aparecer. Nesse tempo, o prompt de comando estava mostrando um caminho para um arquivo .exe estranhamente nomeado. Ao iniciar o computador a partir de um CD inicializável (usei o CD de inicialização do Hiren), consegui navegar até o arquivo mencionado anteriormente e excluí-lo.
Tenho notado que às vezes o arquivo é armazenado na pasta "Meus documentos" (ou seja, C: \ Usuários \ USERNAMEHERE \ Meus documentos). Outras vezes eu notei isso em locais diferentes (C: \ Users \ USERNAMEHERE \ AppData \ Local \ Temp).
Então, eu recomendo dar uma olhada em algumas dessas pastas e talvez até em outras, já que vi algumas variações do vírus. Depois que o arquivo for excluído, instale o Hitman Pro, reinicie e execute uma varredura completa como administrador. Eu também uso Malwarebyetes, Super Anti-Spyware e SpyBot apenas para ter certeza de que não há restos.