Il malware della ''Guardia di Finanza''

Scritto da Riccardo

 

gdf malware''Attenzione!!!
È stata rivelata un’attività illegale. Il sistema operativo è stata bloccata per una violenza delle leggi della Repubblica Italiana!'' Questo avviso è comparso oggi pomeriggio sul pc di un mio cliente; questo falso avviso si presenta come una pagina web (quindi caricata da un browser) viene inserita in ''esecuzione automatica'' in modo tale che ad ogni avvio del pc si carica in automatico.

Come si può vedere dallo ''screenshot'' da me salvato attraverso cellulare (ctrl+alt+canc naturalmente disabilitato dal malware) possiamo notare in alto la scritta ''Guardia di Finanza'' in colore oro e sulla sinistra lo stemma della ''G. di F.''. La prima cosa che salta all'occhio è la traduzione ancora abbastanza spartana in lingua italiana, il riquadro in nero riporta l'indirizzo ip reale della vittima (da me offuscato) per dare maggior credibilità. La minaccia di bloccare ogni operazione sul pc consiste nel disabilitare il task manager e di non permettere di killare il processo, la finestra browser infatti non da la possibilità di essere ridimensionata, chiusa etc etc. Per sbloccare la situazione invitano al pagamento di 100 euro attraverso servizi di pagamento online come ''Ukash'' o ''Paysafe''. Al momento risulta facile eliminare il malware; da modalità provvisoria il worm non riesce a partire, basta eliminare il collegamento presente in '' esecuzione automatica'', poi andare su ''C:\Documents and Settings\(nome_utente)\Impostazioni locali\temp'', all'interno dovrebbe esserci un file exe  ''0.08152945526414868.exe'' ma potrebbe essere un nome random, cancellalo e se non lo lo trovi in ogni caso cancella il contenuto di questa cartella. Per sicurezza dopo fai una bella passata con ''malwarebytes' Antimalware'' per rimuovere eventuali tracce rimaste. Il sito in questione punta ad un IP russo ''83.69.236.38'' ed ho constatato che al momento è anche indicizzato da Google.

AGGIORNAMENTO
poliziapostaleDa qualche settimana gli autori di questa truffa hanno modificato l'aspetto grafico (gli orrori ortografici rimangono) di questo falso avviso, "Centro Nazionale Anticrimine Informatico per la protezione delle Infrattusture Critiche" della Polizia di Stato. Naturalmente valgono le stesse regole di sopra per sbarazzarsi del parassita.

 

Naturalmente l'Italia non è il solo Paese colpito da questo malware, qui sotto vi presentiamo gli screenshoot di altri Stati presi di mira a dimostrazione che il fenomeno è ancora attivo:

austria-polizei belgium-polizei francia-gendarmerie gb-police german-polizei spagna-policia
Austria Belgio Francia Inghilterra Germania Spagna

 

La variante con la pagina della Polizia di Stato inserisce un collegamento in "esecuzione automatica" che fa riferimento ad una DLL che si installa nei temporanei:
%systemroot%\system32\rundll32.exe C:\DOCUME~1\nume_utente\IMPOST~1\Temp\jork_0_typ_col.exe,FQ10.

La procedura per eliminarlo è comunque sempre la stessa (dalla modalità provvisoria infatti non parte).

Commenti   

#54 Gabriella 2013-10-29 18:14
Il mio pc non parte in modalità provvisori a, o normale o niente…
Ho provato premendo F8 ma quando chiedo la modalità provvisori a ritorna a chiedermi in che modalità partire xkè la provvisori a non la prende
che faccio???
#53 Riccardo 2013-10-29 17:38
Citazione Gabriella:
Il mio pc non parte in modalità provvisoria, o normale o niente…
Ho provato premendo F8 ma quando chiedo la modalità provvisoria ritorna a chiedermi in che modalità partire xkè la provvisoria non la prende
che faccio???

Con il tasto F8 ci sono anche altre opzioni, prova a vedere se parte con "ultima configuraz ione funzionant e". Se non riesci dovresti da un PC pulito scaricare una live CD di alcune case antivirus come questo: https://support.kaspersky.com/viruses/rescuedisk#downloads. Poi lo masterizzi su cd e lo avvii sulla macchina infetta facendo partire prima il cd-rom. Fai una scansione e vedi se ti toglie il problema.
Ciao
#52 Riccardo 2012-08-17 06:23
Citazione Guest:
come fare se mi si blocca anche in modalità provvisoria?

Ti scarichi una live-CD tipo support.kaspersky.com/viruses/rescuedisk?level=2 e provvedi a bonificare il PC.
#51 Guest 2012-08-16 18:38
come fare se mi si blocca anche in modalità provvisori a?
#50 Guest 2012-07-14 07:49
Salve, sono stato visitato nuovamente dal virus in questione dopo 5 mesi circa. Volevo avere delle spiegazion i più dettagliat e possibili per come eliminare l'inconven iente e ripristina re il portatile. Vi ringrazio anticipata mente e buon fine settimana. Gionti
#49 Riccardo 2012-07-14 07:15
Citazione Guest:
Salve, sono stato visitato nuovamente dal virus in questione dopo 5 mesi circa. Volevo avere delle spiegazioni più dettagliate possibili per come eliminare l'inconveniente e ripristinare il portatile. Vi ringrazio anticipatamente e buon fine settimana. Gionti

La procedura è quella già descritta:
1)Avviare il PC in modalità provvisoria
2)Eliminare il collegamen to al malware presente in "esecuzion e automatica"
3)Riavviare il PC e scansionar e con un programma antimalwar e (tipo malwarebyt e antimalwar e)
4)Eliminare tutti i temporanei con programmi tipo Ccleaner
5)Tenere sempre aggiornato Windows
6)Eventualmente navigare utilizzand o Browser alternativ i (firefox o Google Chrome)
#48 Riccardo 2012-06-16 06:04
Citazione Guest:
un'alternativa valida è quella di riavviare il pc in modalità provvisoria e ricaricare l'ultimo snapshot di ripristino di sistema

Il ripristino di Sistema è consigliab ile solo se per qualche ragione è impossibil e andare in modalità provvisori a. Il Ripristino infatti fotografa i file essenziali per l'avvio corretto del sistema operativo, Nel nostro caso il malware rimarrebbe comunque presente anche se molto probabilme nte l'avvio automatico sarebbe disattivat o. Quindi una scansione completa con tutti gli strumenti antimalwar e (anche qui consigliat i) è cosa saggia per evitare il ripetersi dell'infez ione.
+1 #47 Guest 2012-06-15 21:55
un'alterna tiva valida è quella di riavviare il pc in modalità provvisori a e ricaricare l'ultimo snapshot di ripristino di sistema
+1 #46 Guest 2012-04-01 13:07
Citazione Riccardo:
Citazione Guest:
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissimo di pc ciao fabio

Hai provato a seguire la procedura scritta nell'articolo? Funziona?

ho provato ma mi sa che ho combinato qualcosa xhe non mi carica piu il sistema operativo
#45 Riccardo 2012-04-01 12:50
Citazione Guest:
Citazione Riccardo:
Citazione Guest:
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissimo di pc ciao fabio

Hai provato a seguire la procedura scritta nell'articolo? Funziona?

ho provato ma mi sa che ho combinato qualcosa xhe non mi carica piu il sistema operativo

ma in modalità provvisori a riparte?
#44 Guest 2012-04-01 11:25
sto provando ora poi vi faccio sapere ciao fabio
#43 Riccardo 2012-04-01 05:50
Citazione Guest:
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissimo di pc ciao fabio

Hai provato a seguire la procedura scritta nell'artic olo? Funziona?
#42 Guest 2012-04-01 02:03
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissi mo di pc ciao fabio
+1 #41 Riccardo 2012-03-26 06:02
Citazione Guest:
a me parte anche in modalità provvisoria come disinstallo? la scritta è però dei carabinieri, deve trattarsi di una seconda versione più elaborata

In questo caso prova a scaricarti (da un pc pulito) una Live CD come questa http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso ,masterizz ala, inserisci il CD/DVD nella sua unità e riavvia il PC impostando come avvio di boot la tua unità CD/DVD in modo da far partire la LIVE e non il tuo sistema operativo. Fai una bella scansione e vedi se riesce a eliminarti il codice nocivo.
+1 #40 Guest 2012-03-25 22:18
a me parte anche in modalità provvisori a come disinstall o? la scritta è però dei carabinier i, deve trattarsi di una seconda versione più elaborata
#39 Riccardo 2012-03-23 19:05
Citazione Guest:
io ho risolto il problema cancellando la cronologia prima che partisse il malware una seconda volta dopo che l'ho ravviato... , e il malware non è partito , non è che torna ?

beh per essere più tranquillo fai una scansione con malwarebit e antimalwar e e verifica che non ci sia nulla di strano in avvio automatico
#38 Guest 2012-03-23 18:06
io ho risolto il problema cancelland o la cronologia prima che partisse il malware una seconda volta dopo che l'ho ravviato.. . , e il malware non è partito , non è che torna ?
#37 Riccardo 2012-03-22 20:10
Citazione Guest:
Purtroppo ho preso il virus a me capita che si carica la pagina "Polizia postale e delle comunicazioni" ... etc
e non riesco a toglierla ma purtroppo se metto la pagina in alto non si visualizza niente solo l'immagina del desktop.
Lo capisco sono imbranato ma come posso fare per andare almeno in modalità provvisoria?

Riavvia il pc, appena si riavvia premi e tieni premuto F8 sino a quando non ti compare un menu dove puoi scegliere in che modalità avviare. :-)
#36 Guest 2012-03-22 19:21
Purtroppo ho preso il virus a me capita che si carica la pagina "Polizia postale e delle comunicazi oni" ... etc
e non riesco a toglierla ma purtroppo se metto la pagina in alto non si visualizza niente solo l'immagina del desktop.
Lo capisco sono imbranato ma come posso fare per andare almeno in modalità provvisori a?
#35 Guest 2012-03-14 15:06
Ragazzi importante se avete avuto questo virus e poi qualche vostro programma non riparte più una volta ripristina to il pc, è possibile che si sia corrotto qualcosa e vi conviene disinstall are e reinstalla re a me è successo con la tavoletta grafica, ho dovuto disintalla re i driver e reinstalla rli.
#34 Riccardo 2012-03-14 14:50
Citazione Guest:
Ragazzi importante se avete avuto questo virus e poi qualche vostro programma non riparte più una volta ripristinato il pc, è possibile che si sia corrotto qualcosa e vi conviene disinstallare e reinstallare a me è successo con la tavoletta grafica, ho dovuto disintallare i driver e reinstallarli.

Hai fatto benissimo, delle volte può capitare che l'azione repressiva nei confronti di qualche minaccia possa non far funzionare qualche programma, con una semplice reinstalla zione ripristini amo il funzioname nto.
#33 Guest 2012-03-13 19:50
Quando ho detto che ho provato tutto intendevo anche combofix,l 'ho scaricato direttamen te dal pc infetto forse non ha risolto nulla per questo motivo?(gr azie per la sollecitud ine).
#32 Riccardo 2012-03-13 19:21
Citazione Guest:
Quando ho detto che ho provato tutto intendevo anche combofix,l'ho scaricato direttamente dal pc infetto forse non ha risolto nulla per questo motivo?(grazie per la sollecitudine).

fai partire il pc in modalità provvisori a, il malware parte? se non parte hanno inserito la chiave nel registro di configuraz ione; prova a scaricare e lanciare hijackthis e vedere se vedi delle voci strane in avvio
#31 Riccardo 2012-03-13 18:40
Citazione Guest:
aiutatemi...mi sta facendo impazzire.Sono tre giorni che ci combatto ma nulla sembra funzionare.Ho provato tutti (e sottolineo tutti) i maggiori antivirus e antimalware in circolazione,ognuno di questi mi ha trovato di tutto,ma appena riavvio,il virus in questione ricompare.Non ci sono più punti di ripristino,la cartella esecuzione automatica è vuota come quella dei file temporanei.Ah,se può servire, ho windows vista e riesco a navigare se apro velocemente qualche pagina web e la schermata del virus finisce sulla barra delle icone.Grazie a chi vorrà darmi una mano.

prova combofix e vedi se risolvi:
http://www.bleepingcomputer.com/download/anti-virus/combofix
#30 Guest 2012-03-13 17:25
aiutatemi. ..mi sta facendo impazzire. Sono tre giorni che ci combatto ma nulla sembra funzionare .Ho provato tutti (e sottolineo tutti) i maggiori antivirus e antimalwar e in circolazio ne,ognuno di questi mi ha trovato di tutto,ma appena riavvio,il virus in questione ricompare. Non ci sono più punti di ripristino ,la cartella esecuzione automatica è vuota come quella dei file temporanei .Ah,se può servire, ho windows vista e riesco a navigare se apro velocement e qualche pagina web e la schermata del virus finisce sulla barra delle icone.Graz ie a chi vorrà darmi una mano.
#29 Riccardo 2012-03-12 07:04
Citazione Guest:
Scusatemi tanto, ma, se io carico tutti i files sull'hard disk mentre ho il malware si carica anche sull'hard disk?

per salvare i dati presenti nel tuo hard disk? con questa tipologia di infezione non dovresti infettare i tuoi backup, ad ogni modo è sempre sconsiglia bile fare questa procedura durante l'infezion e, prima si risolve il problema e poi si salvano i dati.
#28 Guest 2012-03-11 22:26
Scusatemi tanto, ma, se io carico tutti i files sull'hard disk mentre ho il malware si carica anche sull'hard disk?
#27 Riccardo 2012-03-05 07:01
Citazione Guest:
Mi sono imbattuto in questo malware anch'io ma grazie alla tua pagina sto cercando di eliminarlo. In effetti sulla pagina del virus sono presenti molti errori ortografici, è questo dovrebbe far capire che non è autentica, per tacere dell'irrisoria multa, se confrontata con i reati supposti chiaramente. Certo, mantenere la calma quando si apre improvvisamente una pagina con quella dicitura non è facilissimo, però sarebbe meglio mantenere un pò di sangue freddo e ragionare.

Ti saluto e ti ringrazio per le dritte utilissime !

:roll: saluti e grazie per il feedback
#26 Guest 2012-03-05 00:05
Mi sono imbattuto in questo malware anch'io ma grazie alla tua pagina sto cercando di eliminarlo . In effetti sulla pagina del virus sono presenti molti errori ortografic i, è questo dovrebbe far capire che non è autentica, per tacere dell'irris oria multa, se confrontat a con i reati supposti chiarament e. Certo, mantenere la calma quando si apre improvvisa mente una pagina con quella dicitura non è facilissim o, però sarebbe meglio mantenere un pò di sangue freddo e ragionare.

Ti saluto e ti ringrazio per le dritte utilissime !
+1 #25 Guest 2012-02-29 17:55
Ciao a tutti ho effettuato una scansione con Trojankill er ma devo dire che alla fine me l'ha solo individuat i e non cancellati , alla fine ho seguito i consigli e ho tolto il virus con l'eseguibi le sotto Temp, solo che riavviando mi sono accorta che provava comunque ad eseguirlo e che non trovata l'oggetto e alla fine sono andata nella cartella C:\Users\U tente\AppD ata\Roamin g\Microsof t\Windows\ Start Menu e ho eliminato il link all'eseguibi le. Ora funziona correttame nte, grazie mille per le info mi sono state veramente utili :-)
#24 Riccardo 2012-02-29 17:22
Citazione Guest:
Ciao a tutti ho effettuato una scansione con Trojankiller ma devo dire che alla fine me l'ha solo individuati e non cancellati, alla fine ho seguito i consigli e ho tolto il virus con l'eseguibile sotto Temp, solo che riavviando mi sono accorta che provava comunque ad eseguirlo e che non trovata l'oggetto e alla fine sono andata nella cartella C:\Users\Utente\AppData\Roaming\Microsoft\Windows\ Start Menu e ho eliminato il link all'eseguibile. Ora funziona correttamente, grazie mille per le info mi sono state veramente utili :-)

You are welcome :roll:
#23 Guest 2012-02-26 00:34
il pc del sottoscitt o è stato colpito dal malware con la dicitura della polizia postale,ho preso il telefono in mano,ho chiamato la polizia postale e un operatore gentilissi mo mi ha indicato il sito della guardia di finanza dove esiste la soluzione del problema passo passo. Unico problema bisogna avere un secondo account o un altro pc. Malware eliminato in tre minuti
#22 Riccardo 2012-02-16 06:52
Citazione marina:
stesso problema ma con windows7 non riesco a trovare IL FILE INCRIMINATO (non c'e' neanche Documents ans Settings...aiuto!

no, su windows 7 non esiste quella cartella ma trovi (di solito C) \Users\(il nome del pc). però se scarichi ed installi malwarebyt es' Antimalwar e' sarà lui a cercare le tracce di infezioni sul tuo pc. :-)
#21 marina 2012-02-16 01:11
stesso problema ma con windows7 non riesco a trovare IL FILE INCRIMINAT O (non c'e' neanche Documents ans Settings.. .aiuto!
+1 #20 gionti 2012-02-12 19:33
Ciao, devi attuare la procedura come nell'artic olo. io ho risolto. ciao a tutti- :-)
#19 Libre 2012-02-12 12:35
giorno a tutti io gg ho avuto lo stesso problema di gionti... vorrei sapere come protrei fare per poterlo sbloccare grz in anticipo a tutti
#18 Libre 2012-02-12 12:20
Citazione gionti:
Salve, oggi 11.02.2012 ho ricevuto un avviso di violazione come quello in argomento solamente che hanno cambiato l'intestazione, ora è la Polizia Postale e delle comunicazioni attraverso il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, ma tutto il testo è identico. :cry:

anche io ho il tuo stesso problema volevo chiederti come l'hai risolto???
#17 Riccardo 2012-02-12 11:51
Citazione Libre:
giorno a tutti io gg ho avuto lo stesso problema di gionti... vorrei sapere come protrei fare per poterlo sbloccare grz in anticipo a tutti

Hai provato a seguire la procedura indicata nell'artic olo? Anche cambiando l'aspetto grafico probabilme nte il resto del malware è uguale.. prova e facci sapere.
#16 gionti 2012-02-11 10:09
Salve, oggi 11.02.2012 ho ricevuto un avviso di violazione come quello in argomento solamente che hanno cambiato l'intestaz ione, ora è la Polizia Postale e delle comunicazi oni attraverso il Centro Nazionale Anticrimin e Informatic o per la Protezione delle Infrastrut ture Critiche, ma tutto il testo è identico. :cry:
#15 Riccardo 2012-02-11 10:00
;-) un nuovo look, insomma.
Grazie per la segnalazio ne :-)
#14 Riccardo 2012-02-10 05:50
:-) Però forse non è proprio un bug, il malware infatti tenta di far utilizzare alcuni servizi di pagamento online per truffare, quindi deve permettere la navigazion e per effettuare il versamento attraverso i canali web, ripeto la truffa non è quella solo di bloccare il pc nelle normali operazioni , ma spingere l'utente con una falsa minaccia a versare una somma in denaro.
#13 gianfranco 2012-02-09 23:39
questo malwere ha cmq un punto debole:se cliccate con il dx sul numero ip che compare al centro nel riquadro nero , si accende una piccolo quadratino blù propio li accanto;cl iccateci sopra col sx e si aprirà explorer che vi permetterà . cmq di navigare in rete....
+1 #12 salvo 2012-01-09 12:50
ho avuto lo stesso identico problema stamattina , mi sono messo subito a cercare un centro pagamenti ukash nella mia zona.... :cry: per fortuna nn ne ho trovati. :lol: poi grazie ad un altro portatile mi sono documentat o bene, e ho scoperto la truffa, anke perchè sono un convinto pacifista e nn intendo avviare procedimen ti terroristi ci :D il mezzo più veloce per risolvere il problema è avviare il pc in modalità provvisori a con rete (f8) scaricare e salvare su desktop il software combofix.. lanciarlo e riavviare. tranta min circa e il problema è risolto. alla faccia dei lestofanti :P
+1 #11 Riccardo 2012-01-03 20:07
La procedura cmq era già presente in questa pagina .. no? ;-)
#10 Ocarina 2012-01-03 19:22
Ascoltatem i bene, ho avuto questo problema e ho risolto così, vi consiglio di fare lo stesso.
Sul pc dovete avre scaricato in qualche modo il programma Malwarebyt es.

Avviate in modalità provvisori a, e dovete cercare un eseguibile , cioè un file , che inizia con 0. seguito da una seguenza di numeri. Individuat o ciò aprite Malwarebyt es e fateglielo scansionar e. A quel punto il programma rileverà che il file che vi dicevo è il trojan vero e proprio. Fateglielo cancellare e tornerà tutto come prima.
E' l'unica procedura che abbia funzionato.

Buona fortuna ragazzi, non dategliela vinta mai.
#9 fabio 2011-12-25 10:14
qui stessa faccenda ma: il task manager è completame nte fuori uso ed ora il pc entra senza digitare password.. . chissà quali altri danni avrà fatto?
#8 hitch 2011-12-23 17:59
Io ho questo problema giusto in questo momento... figuratevi che è la seconda volta che mi capita... e la prima, spegnendo forzatamen te il PC, c'è stato un salvataggi o sbagliato delle chiavi di registro (roba del genere) e ho dovuto pure formattare -.-
Adesso mi è ricapitato (il sito che lo scarica nel mio caso è videobb, parecchio usato, 'tacce loro), ma cliccando col destro sui due link ci sono le opzioni di base di internet explorer, con le quali sono riuscito ad aprire questa finestra e informarmi da qui... ve lo segnalo, come trucchetto ... adesso mi scarico sto malware così non devo neanche riavviare il pc in modalità provvisori a :D
#7 Riccardo 2011-12-23 17:40
Il trucchetto però non è proprio affidabile in senso generale, in quanto non possiamo sapere a priori se l'evento ''onContex tMenu'' (che permette il menu a tendina col tasto dx del mouse) sia controllat o da qualche istruzione in javascript (che lo reindirizz a al classico click fatto col tasto sx per esempio). :-)
+1 #6 hypercube 2011-12-19 10:50
un cliente questa mattina mi ha portato un notebook col suddetto problema. capisco il panico ma per rendersi conto che è una bufala basti pensare che a fronte di un presunto blocco software per violazione della legge italiana contro la pedo[censo red]ografi a, ti chiedono 100 euro per lasciarti in pace. per fortuna, se pur la legge italiana fa acqua da tutte le parti, ancora non siamo a questi livelli.
#5 Riccardo 2011-12-19 10:08
Anche il solo leggere quanto presente nell'avvis o con un italiano alla ''google traduttore '' dovrebbe per lo meno far nascere qualche dubbio sull'auten ticità del messaggio.
-1 #4 tony 2011-12-18 16:29
:-* azz.. della serie [censored] ografia minori e attacchi terrorstic i... bhe penso che un esperto haker boccierebb e questa idea di truffa.... minimo nel giro di un ora cn identifica tivo di ind ip la finanza te la dovresti aver trovata gia in casa... poi caso mai nn è il sistema operativo che iene blokkato ma è l'inzirizz o statico stesso.. ultimo mi e appena uscia qst calugnia ma pigiando tasto destro faccio le ricerche tranquilla mente cm in qst momento... bhe, al dir vero pietoso!
#3 Matteo 2011-12-17 21:25
Anche a me è successo un'ora fa .. sono andato in panico! Per fortuna che ho il portatile e da lì ho potuto cercare informazio ni ed ho installato malwarebyt es che mi ha rilevato ben 9 "infezioni " .. ho seguito le procedure e riavviato, ora sembra funzionare ! Speriamo! :)
#2 Riccardo 2011-12-15 16:01
Graficamen te sì, molto simile proprio per indurre in errore il malcapitat o
#1 Antonio 2011-12-15 11:47
sembra quasi vero

You have no rights to post comments

We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.