Virus Del Riscatto "Intestazione Forze Dell'Ordine"

[Carlo]

 
Sono sempre più gli utenti che si ritrovano ad avere il proprio PC bloccato all'avvio da un virus che, con le insegne delle forze dell'ordine, chiede di pagare. Si tratta dei cosiddetti "virus del riscatto", in inglese Ransomeware, che si nascondono niente meno che dietro i blasoni della Guardia di Finanza, della Polizia Postale, della Polizia di Stato e dei Carabinieri.
Il meccanismo psicologico con cui carpiscono la fiducia - e anche i soldi e i dati personali - dei proprietari dei computer infettati è semplicissimo: dopo aver installato il virus sul nostro sistema in modo fraudolento, compare un messaggio a pieno schermo apparentemente realizzato dalle forze dell'ordine che indica la necessità di pagare una multa per poter continuare a usare il computer. In realtà, cliccando sul link proposto si finisce su siti russi dove non si fa altro che versare denaro ai pirati informatici. Un truffa bella e buona su cui le forze dell'ordine italiane, quelle vere, stanno già lavorando da tempo.

Il consiglio è quello di NON PAGARE ASSOLUTAMENTE e DI NON TELEFONARE A NESSUN NUMERO riportato sulla schermata di blocco.

Questa la procedura per il ripristino del PC in caso di infezione, quando permette l'accesso dalla modalità Provvisoria:

Avviamo il PC infetto in Modalità provvisoria con rete, premendo F8 all'avvio del sistema operativo;
Pulizia ToolBar con Toolbar Cleaner
Pulizia Temp e Registro con CCleaner
Scansione con Malwarebytes o altro anti-malware e anti-spyware se installato sul PC
Scansione con ComboFix
I file usati dall'infezione, dovrebbero esse questi in elenco, ma potrebbero cambiare nome, le scansioni mconsigliate dobrebbero debbellarli.
c:\programdata\NOTEPAD.EXE-X.TXT
c:\programdata\RUNDLL32.EXE-X.TXT

Per starei tranquilli, consiglio di effettuare periodicamente un controllo: antivirale, ricordiandoci di tenere sempre aggiornato l'Antivirus, l' Anti-Malware e l' Anti-spyware

[Carlo]

Mi è stato portato un PC da un collega, rimasto terrorizzato, aveva beccato quello relativo alla finta Guardia di Finanza, come da grabbata allegata presa in rete. In effetti è stato un problema ripulirlo, dalla modalità provvisoria non partiva, solita schermata della morte, i Live CD basati XP non compatibili con l'hardware del portatile, sono riuscito a ripulirlo con un sistema Live su PenDrive basato Win7 trovato in rete, dove ho potuto installargli una versione fresca di MalwareByte, che mi ha permesso di ripulire la macchina ospite. Si tratta comunque solo di tre infezioni, che però bloccano il PC da tutti i possibili accessi, dopo comunque bisogna fargli una passata con Combofix, perchè è presente anche un Rootkit che Malwarebyte non è capace di intercettare e debbellare. Confermo che quasi sempre questa tipologia di virus la si becca navigando tra i siti porno, oppure quando si cercano crack, musica, filmati, o software raro, che a furia di cercare, può capitare di essere portati in qualche trappola. Il PC comunque rimane bloccato anche se è scollegato dalla rete, questo perchè la videata del messaggio, viene caricata dal  PC,  bloccando qualsiasi manovra o richiamo di tasti funzione, senza il bisogno di essere collegato ad internet.

[Carlo]

Le varianti non mancano !

[Carlo]

-----------------------------------------------------------------------------------------------------------------------

Tornano alla carica i Virus Del Riscatto "Intestazione Forze Dell'Ordine", solita infezione che non permette il lancio di alcuna applicazione Antivirus, neanche in modalità provvisoria, per le cure valgono sempre le info date nelle discussioni precedenti, o l'uso di Live CD o PenDrive con a bordo software come Kaspersky Rescue Disk o simili. Di questa ultima infezione, già beccata da molti miei conoscenti, vi propongo parte della schermata, non potevo grabbarla per intero per via della grandezza della finestra originaria. Nel controllare l'ultima vittima di questa particolare infezione, ho scoperto diciamo così una falla o un bug del virus. Praticamente premendo il tasto spegnimento Computer, simulando uno spegnimento del PC, ho provocato il caricamento del request di scelta Spegnimento-Riavvio, questa comparsa mi ha ridato il Desktop e la possibilità di lanciare Malwarebyte, che è riuscito prima a indebbolire e poi dopo un aggiornamento a debbellare l'infezione, non so se la pratica sia fattibile per tutte le infezioni di questo tipo, e per tutti i sistemi operativi, bisogna solo provare. Aggiungo ancora un metodo per sconfiggere questa infezione, naturalmente adatta per chi sa maneggiare Live CD o Pendriver Live, per fixare con un editore di Registro Remoto, le possibili chiavi infette del registro, o tentare di fregargli qualche eseguibile o dll (beccati per data e ora infezione) e poi passare ai software di pulizia e disinfettazione.

Verificare questa chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e Controllare che il valore di DisableTaskMgr, se presente, è impostato a 0;

Controllare queste chiavi, se ci sono voci strane ed eliminarle.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce


Verificare la chiave:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
A destra cercare il valore "Shell" e controllare che ci sia scritto explorer.exe

Sempre nella finestra di destra della stessa chiave, cercare la voce Userinit, che deve avere come valore C:\Windows\system32\userinit.exe, virgola compresa

[Carlo]

Tanto per non farci mancare nulla ...  ecco "SIAE" un'altro ospite che potrebbe sbarcare sui PC in questo periodio, non mi è capitato ancora fra le mani un sistema infettato con questa infezione, pare che lo si becchi navigando sui siti di Streaming poco leciti.

[Carlo]

Continuano senza soste questo genere di infezioni, diventando ancora più invadenti e più difficili da sconfiggere. Dopo qualche caso capitatomi ultimamente, ho sperimentato un un ottimo rimedio per la distruzione di questa seccante infezione. Come dicono dalle mie parti, "lu purpu si cucina cu l'acqua sua stessa", ovvero il polipo si cucina con la sua stessa acqua, quella contenuta nei tessuti.

Una volta capito che l'infezione non permetteva il caricamento di nessun utente, ho pensato di rinominare il file NTUSER.DAT, in modo da generare un grave errore nel caricamento utente. Riavviato il sistema Windows non trovando il file NTUSER.DAT, mi ha generato un nuovo utente provvisorio. Fatto questo tutto è diventato più facile, il nuovo desktop si è caricato normalmente ed è bastato installare Malwarebyte, aggiornarlo e ripulire tutto.


Svolgimento:

- Caricare il sistema con liveCD, Linux, e compagnia bella
- Andare nella cartella dell'utente Inquisisto
- Rinominare NTUSER.DAT (esempio NTUSER2.DAT)
- Riavviare il sistema normalmente con l'Hardisk
- Windows Caricherà un utente provvisorio
- Fare una bella scansione con Malwarebyte prima aggiornarlo, se non presente installarlo ed aggiornarlo.
- Ricaricare il sistema LiveCD, rinominare come in origine NTUSER.DAT
- Riavviare il sistema normalmente con l'Hardisk
- Tutto a posto il sistema ora è pulito come prima, anzi più di prima.