Kiedy wirus zaatakuje nasz komputer w trakcie serfowania po sieci na ekranie wyświetla się strona zawierająca informacje o tym, że dysk naszego komputera został zablokowany. Wirus zażąda wpłacania 100 euro by wykupić tzw. „Ukash”. Ma to umożliwić odblokowanie sprzętu.

Staranność opracowanej witryny internetowej i precyzja w podszywaniu się nadawcy pod polską policję (opatrzone logiem Policji!) może wprowadzać w błąd wielu internautów.

Jak radzić sobie z wirusem?

Wirusa można usunąć na dwa sposoby. Najprostsza metoda polega na wygenerowaniu i wpisaniu „poprawnego” kodu UKASH. Trudniejsza metoda, wymaga już posiadania specjalistycznej wiedzy informatycznej i polega na ręcznym usunięciu z dysku oraz z rejestru systemowego zmian wprowadzonych przez złośliwe oprogramowanie.
Szczegółowy opis sposobu postępowania w przypadku ataku wirusa Weelsof opracowany został przez CERT Polska i umieszczony na stronie www.cert.pl/news/5483/langswitch_lang/en, gdzie znajduje się również wspomniany powyżej generator kodu UKASH.

Należy dodać, że aby skutecznie zabezpieczać się przed atakiem wirusa, należy pamiętać o legalnym, w pełni funkcjonalnym i aktualizowanym oprogramowaniu antywirusowym, oraz bieżącej aktualizacji systemu operacyjnego Windows, jak i innych używanych programów.

Informatycy, którzy przez ostatnie miesiące pracowali nad unieszkodliwieniem wirusa Weelsof ustalili, że instaluje się on poprzez wejście na stronę z tzw. “exploit-packiem”, który poprzez lukę w niezaktualizowanym oprogramowaniu przejmuje kontrolę nad systemem ofiary i ściąga z sieci oraz uruchamia złośliwe oprogramowanie. Po uruchomieniu dodaje parę wpisów do rejestru systemowego, wyłącza proces Explorera (znika menu „start”), ukrywa wszystkie okna, a następnie wyświetla komunikat proszący o wniesienie opłaty. Z przeprowadzonej w laboratorium CERT Polska analizy wynika, iż malware nie podejmuje żadnych innych działań (tzn. nie infekuje, nie kasuje i nie szyfruje innych plików).