Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Ohjeet > 2012 > Ohje 1/2012 Kiristyshaittaohjelman poistaminen tietokoneelta

14.03.2012

Ohje 1/2012 Kiristyshaittaohjelman poistaminen tietokoneelta

CERT-FI:lle ei ole resurssisyistä mahdollista auttaa jokaista tartunnan saanutta haittaohjelman poistamisessa. Jos tartunta on työkoneessasi, ota yhteyttä yrityksesi tietohallintoon. Jos se on kotikoneessasi, käänny osaavamman tuttavan, sukulaisen tai tietokoneliikkeen puoleen.

Maaliskuussa 2012 on ollut liikkeellä haittaohjelma, joka lukitsee käyttäjän tietokoneen ja vaatii poliisin nimissä rahaa sen avaamiseksi. Haittaohjelmalla ei todellisuudessa ole mitään tekemistä poliisin kanssa. Kyseessä on niin sanottu ransomware (ransom = lunnaat) eli haittaohjelma, jolla pyritään kiristämään rahaa koneen käyttäjältä. Poliisi on kehottanut haittaohjelmatartunnan saaneita olemaan maksamatta vaadittua summaa. Maksaminen ei poista haittaohjelmaa eikä pura sen tekemää lukitusta.

Lisätietoja haittaohjelmasta löytyy poliisin tiedotteesta.

Päivitys 13.2.2013: Huomaathan myös, että ohjeet eivät välttämättä toimi täsmälleen samalla tavalla eri käyttöjärjestelmissä. Haittaohjelmasta tiedetään myös olevan eri versioita, joiden poistaminen ei onnistu tämän ohjeen avulla. Tietokoneen putsaamisessa avustavia työkaluja on listattu mm. Tietoturva nyt! -artikkelissa 25.1.2013 "Kiristyshaittaohjelmat edelleen käyttäjien riesana".

Ohjeita haittaohjelman poistamiseksi

Nämä ohjeet on tarkoitettu vain tämän kyseisen haittaohjelman poistamiseen tilanteessa, jossa lukitusruutu on näkyvillä. Luethan ohjeet alusta loppuun huolellisesti ennen aloittamista. Niin varmistut, että taitosi riittävät ohjeiden noudattamiseen. Jos et ymmärrä toimenpiteiden ja annettavien komentojen merkitystä, pyydä apua asiantuntijalta.

Jäljempänä kuvattujen toimenpiteiden tarkoituksena on poistaa haittaohjelmatiedosto koneen käynnistyksen yhteydessä automaattisesti suoritettavien ohjelmien kansiosta. Jos poistaminen onnistuu, kone ei enää lukitu käynnistyessään. Itse haitallinen tiedosto on näiden toimenpiteiden jälkeen kuitenkin yhä tietokoneessa.

1. Suljetaan haittaohjelmaikkuna ja avataan komentoikkuna cmd.exe

  • Paina Ctrl+O (Oo-kirjain, ei nolla; avaa uusi ikkuna).
  • Aseta avautuvassa ikkunassa tiedoston tyyppi näyttämään "Kaikki tiedostot *.*" (englanninkielisessä käyttöjärjestelmässä "All files *.*").
  • Siirry ikkunan avulla kansioon c:\windows\system32 (Windowsin järjestelmäkansio.
  • Etsi kansion tiedostoluettelosta tiedosto cmd.exe (Windows-komentokehote), klikkaa sitä hiiren oikeanpuoleisella painikkeella (kakkospainike) ja valitse "Suorita" (englanninkielisessä käyttöjärjestelmässä "Run")

Näytölle tulisi avautua mustapohjainen komentoikkuna.

HUOM: Jos komentoikkunan avaaminen ei näillä ohjeilla onnistu, tietokoneen voi käynnistää myös tilaan "Vikasietotilan komentorivi" (Safe Mode with Command Prompt) painamalla tietokoneen käynnistyksen yhteydessä F8-näppäintä ja valitsemalla oikean käynnistystavan esiin tulevasta valikosta.

2. Siirrytään kansioon, jossa ovat automaattisesti käynnistyvät ohjelmat

Kirjoita äsken avatussa komentoikkunassa komento

cd %USERPROFILE% (painamalla ENTER siirryt käyttäjäkohtaiseen kansioon)

Seuraavaksi annettava komento riippuu käyttöjärjestelmän versiosta ja kielestä. Tarkoitus on siirtyä kansioon, jossa ovat automaattisesti käynnistyksen yhteydessä ajettavat ohjelmat. Haittaohjelma on lisännyt sinne itseensä osoittavan linkkitiedoston joka tullaan poistamaan kohdassa 4.

HUOM: Joissakin suomenkielisissä tai ruotsinkielisissä Windows-versioissa voi joutua käyttämään englanninkielistä polkua.

a) Suomenkielinen Windows XP

cd "Käynnistä-valikko\Ohjelmat\Käynnistys"

b) Ruotsinkielinen Windows XP

cd "Start-meny\Program\Startup"

c) Englanninkielinen Windows XP

cd "Start Menu\Programs\Startup"

d) Suomenkielinen Windows 7 tai Vista

cd "AppData\Roaming\Microsoft\Windows\Käynnistä-valikko\Ohjelmat\Käynnistys"

e) Ruotsinkielinen Windows 7 tai Vista

cd "AppData\Roaming\Microsoft\Windows\Start-meny\Program\Startup"

f) Englanninkielinen Windows 7 tai Vista

cd "AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"

3. Lopetetaan haittaohjelman suoritus

taskkill /F /FI "imagename eq rundll32.exe"

4. Poistetaan haittaohjelmaan osoittava linkki

del *.exe.lnk *.dll.lnk

5. Käynnistetään Windows uudelleen

shutdown -r -t 0

Tämän jälkeen kone käynnistyy uudelleen ja sen pitäisi olla taas käytettävissä.

Päivitetty 23.3.2012: Kohdan 5 voi ohittaa myös käynnistämällä tietokoneen uudelleen virtakytkimestä.

Päivitetty 25.6.2012: Vaihdettu kohtien 3 ja 4 järjestystä.

Päivitetty 26.6.2012: Lisätty tieto, ettei ohjeen avulla voi poistaa kaikkia eri versioita ja linkki Tietoturva nyt! -artikkeliin.

Päivitetty 28.6.2012: Lisätty linkki Tietoturva nyt! -artikkeliin.

Päivitetty 13.2.2013: Lisätty linkki Tietoturva nyt! -artikkeliin

Tulee kuitenkin huomioida, että itse haitallinen tiedosto on vielä kiintolevyllä ja se kannattaa poistaa. Ensimmäinen askel koneen hallinnan palautuksen jälkeen on virustorjuntaohjelmiston päivittäminen ja koko tietokoneen tutkiminen haittaohjelmien varalta.


Lisätietoja

Poliisin tiedote haittaohjelmasta
Tietoturva nyt! - Haittaohjelma vaatii rahaa Suomen poliisin nimissä - älä maksa
Tietoturva nyt! - Kiristyshaittaohjelmasta liikkeellä eri versioita
Tietoturva nyt! - CERT-FI on tutkinut yhden version uudesta kiristyshaittaohjelmasta

Sivua päivitetty 13.02.2013   Tulostusversio Tulostusversio