Il malware della ''Guardia di Finanza''

Scritto da Riccardo

 

gdf malware''Attenzione!!!
È stata rivelata un’attività illegale. Il sistema operativo è stata bloccata per una violenza delle leggi della Repubblica Italiana!'' Questo avviso è comparso oggi pomeriggio sul pc di un mio cliente; questo falso avviso si presenta come una pagina web (quindi caricata da un browser) viene inserita in ''esecuzione automatica'' in modo tale che ad ogni avvio del pc si carica in automatico.

Come si può vedere dallo ''screenshot'' da me salvato attraverso cellulare (ctrl+alt+canc naturalmente disabilitato dal malware) possiamo notare in alto la scritta ''Guardia di Finanza'' in colore oro e sulla sinistra lo stemma della ''G. di F.''. La prima cosa che salta all'occhio è la traduzione ancora abbastanza spartana in lingua italiana, il riquadro in nero riporta l'indirizzo ip reale della vittima (da me offuscato) per dare maggior credibilità. La minaccia di bloccare ogni operazione sul pc consiste nel disabilitare il task manager e di non permettere di killare il processo, la finestra browser infatti non da la possibilità di essere ridimensionata, chiusa etc etc. Per sbloccare la situazione invitano al pagamento di 100 euro attraverso servizi di pagamento online come ''Ukash'' o ''Paysafe''. Al momento risulta facile eliminare il malware; da modalità provvisoria il worm non riesce a partire, basta eliminare il collegamento presente in '' esecuzione automatica'', poi andare su ''C:\Documents and Settings\(nome_utente)\Impostazioni locali\temp'', all'interno dovrebbe esserci un file exe  ''0.08152945526414868.exe'' ma potrebbe essere un nome random, cancellalo e se non lo lo trovi in ogni caso cancella il contenuto di questa cartella. Per sicurezza dopo fai una bella passata con ''malwarebytes' Antimalware'' per rimuovere eventuali tracce rimaste. Il sito in questione punta ad un IP russo ''83.69.236.38'' ed ho constatato che al momento è anche indicizzato da Google.

AGGIORNAMENTO
poliziapostaleDa qualche settimana gli autori di questa truffa hanno modificato l'aspetto grafico (gli orrori ortografici rimangono) di questo falso avviso, "Centro Nazionale Anticrimine Informatico per la protezione delle Infrattusture Critiche" della Polizia di Stato. Naturalmente valgono le stesse regole di sopra per sbarazzarsi del parassita.

 

Naturalmente l'Italia non è il solo Paese colpito da questo malware, qui sotto vi presentiamo gli screenshoot di altri Stati presi di mira a dimostrazione che il fenomeno è ancora attivo:

austria-polizei belgium-polizei francia-gendarmerie gb-police german-polizei spagna-policia
Austria Belgio Francia Inghilterra Germania Spagna

 

La variante con la pagina della Polizia di Stato inserisce un collegamento in "esecuzione automatica" che fa riferimento ad una DLL che si installa nei temporanei:
%systemroot%\system32\rundll32.exe C:\DOCUME~1\nume_utente\IMPOST~1\Temp\jork_0_typ_col.exe,FQ10.

La procedura per eliminarlo è comunque sempre la stessa (dalla modalità provvisoria infatti non parte).

Persone in questa conversazione
Comments (54)
Ancora nessuna valutazione. Puoi essere il primo a votare!
This comment was minimized by the moderator on the site
Il mio pc non parte in modalità provvisoria, o normale o niente…
Ho provato premendo F8 ma quando chiedo la modalità provvisoria ritorna a chiedermi in che modalità partire xkè la provvisoria non la prende
che faccio???
Gabriella
This comment was minimized by the moderator on the site
Il mio pc non parte in modalità provvisoria, o normale o niente…
Ho provato premendo F8 ma quando chiedo la modalità provvisoria ritorna a chiedermi in che modalità partire xkè la provvisoria non la prende
che faccio???
By Gabriella

Con il tasto F8 ci sono anche altre opzioni, prova a vedere se parte con "ultima configurazione funzionante". Se non riesci dovresti da un PC pulito scaricare una live CD di alcune case antivirus come questo: https://support.kaspersky.com/viruses/rescuedisk#downloads....
Il mio pc non parte in modalità provvisoria, o normale o niente…
Ho provato premendo F8 ma quando chiedo la modalità provvisoria ritorna a chiedermi in che modalità partire xkè la provvisoria non la prende
che faccio???
By Gabriella

Con il tasto F8 ci sono anche altre opzioni, prova a vedere se parte con "ultima configurazione funzionante". Se non riesci dovresti da un PC pulito scaricare una live CD di alcune case antivirus come questo: https://support.kaspersky.com/viruses/rescuedisk#downloads. Poi lo masterizzi su cd e lo avvii sulla macchina infetta facendo partire prima il cd-rom. Fai una scansione e vedi se ti toglie il problema.
Ciao
More
Riccardo
This comment was minimized by the moderator on the site
come fare se mi si blocca anche in modalità provvisoria?
By Guest

Ti scarichi una live-CD tipo [url]http://support.kaspersky.com/viruses/rescuedisk?level=2[/url] e provvedi a bonificare il PC.
Riccardo
This comment was minimized by the moderator on the site
come fare se mi si blocca anche in modalità provvisoria?
Guest
This comment was minimized by the moderator on the site
Salve, sono stato visitato nuovamente dal virus in questione dopo 5 mesi circa. Volevo avere delle spiegazioni più dettagliate possibili per come eliminare l'inconveniente e ripristinare il portatile. Vi ringrazio anticipatamente e buon fine settimana. Gionti
Guest
This comment was minimized by the moderator on the site
Salve, sono stato visitato nuovamente dal virus in questione dopo 5 mesi circa. Volevo avere delle spiegazioni più dettagliate possibili per come eliminare l'inconveniente e ripristinare il portatile. Vi ringrazio anticipatamente e buon fine settimana. Gionti
By Guest

La procedura è quella già descritta:
1)Avviare il PC in modalità provvisoria
2)Eliminare il collegamento al malware presente in "esecuzione automatica"
3)Riavviare il PC e scansionare con un programma antimalware (tipo malwarebyte...
Salve, sono stato visitato nuovamente dal virus in questione dopo 5 mesi circa. Volevo avere delle spiegazioni più dettagliate possibili per come eliminare l'inconveniente e ripristinare il portatile. Vi ringrazio anticipatamente e buon fine settimana. Gionti
By Guest

La procedura è quella già descritta:
1)Avviare il PC in modalità provvisoria
2)Eliminare il collegamento al malware presente in "esecuzione automatica"
3)Riavviare il PC e scansionare con un programma antimalware (tipo malwarebyte antimalware)
4)Eliminare tutti i temporanei con programmi tipo Ccleaner
5)Tenere sempre aggiornato Windows
6)Eventualmente navigare utilizzando Browser alternativi (firefox o Google Chrome)
More
Riccardo
This comment was minimized by the moderator on the site
un'alternativa valida è quella di riavviare il pc in modalità provvisoria e ricaricare l'ultimo snapshot di ripristino di sistema
By Guest

Il ripristino di Sistema è consigliabile solo se per qualche ragione è impossibile andare in modalità provvisoria. Il Ripristino infatti fotografa i file essenziali per l'avvio corretto del sistema operativo, Nel nostro caso il malware rimarrebbe comunque presente anche se molto probabilmente l'avvio automatico sarebbe disattivato. Quindi una scansione...
un'alternativa valida è quella di riavviare il pc in modalità provvisoria e ricaricare l'ultimo snapshot di ripristino di sistema
By Guest

Il ripristino di Sistema è consigliabile solo se per qualche ragione è impossibile andare in modalità provvisoria. Il Ripristino infatti fotografa i file essenziali per l'avvio corretto del sistema operativo, Nel nostro caso il malware rimarrebbe comunque presente anche se molto probabilmente l'avvio automatico sarebbe disattivato. Quindi una scansione completa con tutti gli strumenti antimalware (anche qui consigliati) è cosa saggia per evitare il ripetersi dell'infezione.
More
Riccardo
This comment was minimized by the moderator on the site
un'alternativa valida è quella di riavviare il pc in modalità provvisoria e ricaricare l'ultimo snapshot di ripristino di sistema
Guest
This comment was minimized by the moderator on the site
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissimo di pc ciao fabio
By Riccardo

Hai provato a seguire la procedura scritta nell'articolo? Funziona?
By Guest

ho provato ma mi sa che ho combinato qualcosa xhe non mi carica piu il sistema operativo
Guest
This comment was minimized by the moderator on the site
a mia sorella è arrivato ieri sera sul portatile
il virus la versione aggiornata come faccio a toglierlo? io non sono espertissimo di pc ciao fabio
By Guest

Hai provato a seguire la procedura scritta nell'articolo? Funziona?
By Riccardo

ho provato ma mi sa che ho combinato qualcosa xhe non mi carica piu il sistema operativo
By Guest

ma in modalità provvisoria riparte?
Riccardo
Non ci sono ancora commenti pubblicati qui
Load More
Lascia un tuo commento
Pubblicazione come ospite
×
Vota questo post:
0   / 300   Caratteri
Suggested Locations
Digita il testo presente nell'immagine sottostante
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.