Abbiamo 6 visitatori e nessun utente online

 

gdf malware''Attenzione!!!
È stata rivelata un’attività illegale. Il sistema operativo è stata bloccata per una violenza delle leggi della Repubblica Italiana!'' Questo avviso è comparso oggi pomeriggio sul pc di un mio cliente; questo falso avviso si presenta come una pagina web (quindi caricata da un browser) viene inserita in ''esecuzione automatica'' in modo tale che ad ogni avvio del pc si carica in automatico.

Come si può vedere dallo ''screenshot'' da me salvato attraverso cellulare (ctrl+alt+canc naturalmente disabilitato dal malware) possiamo notare in alto la scritta ''Guardia di Finanza'' in colore oro e sulla sinistra lo stemma della ''G. di F.''. La prima cosa che salta all'occhio è la traduzione ancora abbastanza spartana in lingua italiana, il riquadro in nero riporta l'indirizzo ip reale della vittima (da me offuscato) per dare maggior credibilità. La minaccia di bloccare ogni operazione sul pc consiste nel disabilitare il task manager e di non permettere di killare il processo, la finestra browser infatti non da la possibilità di essere ridimensionata, chiusa etc etc. Per sbloccare la situazione invitano al pagamento di 100 euro attraverso servizi di pagamento online come ''Ukash'' o ''Paysafe''. Al momento risulta facile eliminare il malware; da modalità provvisoria il worm non riesce a partire, basta eliminare il collegamento presente in '' esecuzione automatica'', poi andare su ''C:\Documents and Settings\(nome_utente)\Impostazioni locali\temp'', all'interno dovrebbe esserci un file exe  ''0.08152945526414868.exe'' ma potrebbe essere un nome random, cancellalo e se non lo lo trovi in ogni caso cancella il contenuto di questa cartella. Per sicurezza dopo fai una bella passata con ''malwarebytes' Antimalware'' per rimuovere eventuali tracce rimaste. Il sito in questione punta ad un IP russo ''83.69.236.38'' ed ho constatato che al momento è anche indicizzato da Google.

AGGIORNAMENTO
poliziapostaleDa qualche settimana gli autori di questa truffa hanno modificato l'aspetto grafico (gli orrori ortografici rimangono) di questo falso avviso, "Centro Nazionale Anticrimine Informatico per la protezione delle Infrattusture Critiche" della Polizia di Stato. Naturalmente valgono le stesse regole di sopra per sbarazzarsi del parassita.

 

Naturalmente l'Italia non è il solo Paese colpito da questo malware, qui sotto vi presentiamo gli screenshoot di altri Stati presi di mira a dimostrazione che il fenomeno è ancora attivo:

austria-polizei belgium-polizei francia-gendarmerie gb-police german-polizei spagna-policia
Austria Belgio Francia Inghilterra Germania Spagna

 

La variante con la pagina della Polizia di Stato inserisce un collegamento in "esecuzione automatica" che fa riferimento ad una DLL che si installa nei temporanei:
%systemroot%\system32\rundll32.exe C:\DOCUME~1\nume_utente\IMPOST~1\Temp\jork_0_typ_col.exe,FQ10.

La procedura per eliminarlo è comunque sempre la stessa (dalla modalità provvisoria infatti non parte).

Commenti   

0 #54 Gabriella 2013-10-29 17:14
Il mio pc non parte in modalità provvisoria, o normale o niente…
Ho provato premendo F8 ma quando chiedo la modalità provvisoria ritorna a chiedermi in che modalità partire xkè la provvisoria non la prende
che faccio???
Citazione
0 #53 Riccardo 2013-10-29 16:38
Citazione Gabriella:
Il mio pc non parte in modalità provvisoria, o normale o niente…
Ho provato premendo F8 ma quando chiedo la modalità provvisoria ritorna a chiedermi in che modalità partire xkè la provvisoria non la prende
che faccio???

Con il tasto F8 ci sono anche altre opzioni, prova a vedere se parte con "ultima configurazione funzionante". Se non riesci dovresti da un PC pulito scaricare una live CD di alcune case antivirus come questo: https://support.kaspersky.com/viruses/rescuedisk#downloads. Poi lo masterizzi su cd e lo avvii sulla macchina infetta facendo partire prima il cd-rom. Fai una scansione e vedi se ti toglie il problema.
Ciao
Citazione
0 #52 Riccardo 2012-08-17 04:23
Citazione Guest:
come fare se mi si blocca anche in modalità provvisoria?

Ti scarichi una live-CD tipo support.kaspersky.com/viruses/rescuedisk?level=2 e provvedi a bonificare il PC.
Citazione
0 #51 Guest 2012-08-16 16:38
come fare se mi si blocca anche in modalità provvisoria?
Citazione
0 #50 Guest 2012-07-14 05:49
Salve, sono stato visitato nuovamente dal virus in questione dopo 5 mesi circa. Volevo avere delle spiegazioni più dettagliate possibili per come eliminare l'inconveniente e ripristinare il portatile. Vi ringrazio anticipatamente e buon fine settimana. Gionti
Citazione
0 #49 Riccardo 2012-07-14 05:15
Citazione Guest:
Salve, sono stato visitato nuovamente dal virus in questione dopo 5 mesi circa. Volevo avere delle spiegazioni più dettagliate possibili per come eliminare l'inconveniente e ripristinare il portatile. Vi ringrazio anticipatamente e buon fine settimana. Gionti

La procedura è quella già descritta:
1)Avviare il PC in modalità provvisoria
2)Eliminare il collegamento al malware presente in "esecuzione automatica"
3)Riavviare il PC e scansionare con un programma antimalware (tipo malwarebyte antimalware)
4)Eliminare tutti i temporanei con programmi tipo Ccleaner
5)Tenere sempre aggiornato Windows
6)Eventualmente navigare utilizzando Browser alternativi (firefox o Google Chrome)
Citazione
0 #48 Riccardo 2012-06-16 04:04
Citazione Guest:
un'alternativa valida è quella di riavviare il pc in modalità provvisoria e ricaricare l'ultimo snapshot di ripristino di sistema

Il ripristino di Sistema è consigliabile solo se per qualche ragione è impossibile andare in modalità provvisoria. Il Ripristino infatti fotografa i file essenziali per l'avvio corretto del sistema operativo, Nel nostro caso il malware rimarrebbe comunque presente anche se molto probabilmente l'avvio automatico sarebbe disattivato. Quindi una scansione completa con tutti gli strumenti antimalware (anche qui consigliati) è cosa saggia per evitare il ripetersi dell'infezione.
Citazione
+1 #47 Guest 2012-06-15 19:55
un'alternativa valida è quella di riavviare il pc in modalità provvisoria e ricaricare l'ultimo snapshot di ripristino di sistema
Citazione
+1 #46 Guest 2012-04-01 11:07
Citazione Riccardo:
Citazione Guest:
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissimo di pc ciao fabio

Hai provato a seguire la procedura scritta nell'articolo? Funziona?

ho provato ma mi sa che ho combinato qualcosa xhe non mi carica piu il sistema operativo
Citazione
0 #45 Riccardo 2012-04-01 10:50
Citazione Guest:
Citazione Riccardo:
Citazione Guest:
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissimo di pc ciao fabio

Hai provato a seguire la procedura scritta nell'articolo? Funziona?

ho provato ma mi sa che ho combinato qualcosa xhe non mi carica piu il sistema operativo

ma in modalità provvisoria riparte?
Citazione

Aggiungi commento


Codice di sicurezza
Aggiorna

RGProdesign
Copyright © 2011. All Rights Reserved.