''Attenzione!!!
È stata rivelata un’attività illegale. Il sistema operativo è stata bloccata per una violenza delle leggi della Repubblica Italiana!'' Questo avviso è comparso oggi pomeriggio sul pc di un mio cliente; questo falso avviso si presenta come una pagina web (quindi caricata da un browser) viene inserita in ''esecuzione automatica'' in modo tale che ad ogni avvio del pc si carica in automatico.
Come si può vedere dallo ''screenshot'' da me salvato attraverso cellulare (ctrl+alt+canc naturalmente disabilitato dal malware) possiamo notare in alto la scritta ''Guardia di Finanza'' in colore oro e sulla sinistra lo stemma della ''G. di F.''. La prima cosa che salta all'occhio è la traduzione ancora abbastanza spartana in lingua italiana, il riquadro in nero riporta l'indirizzo ip reale della vittima (da me offuscato) per dare maggior credibilità. La minaccia di bloccare ogni operazione sul pc consiste nel disabilitare il task manager e di non permettere di killare il processo, la finestra browser infatti non da la possibilità di essere ridimensionata, chiusa etc etc. Per sbloccare la situazione invitano al pagamento di 100 euro attraverso servizi di pagamento online come ''Ukash'' o ''Paysafe''. Al momento risulta facile eliminare il malware; da modalità provvisoria il worm non riesce a partire, basta eliminare il collegamento presente in '' esecuzione automatica'', poi andare su ''C:\Documents and Settings\(nome_utente)\Impostazioni locali\temp'', all'interno dovrebbe esserci un file exe ''0.08152945526414868.exe'' ma potrebbe essere un nome random, cancellalo e se non lo lo trovi in ogni caso cancella il contenuto di questa cartella. Per sicurezza dopo fai una bella passata con ''malwarebytes' Antimalware'' per rimuovere eventuali tracce rimaste. Il sito in questione punta ad un IP russo ''83.69.236.38'' ed ho constatato che al momento è anche indicizzato da Google.
AGGIORNAMENTO
Da qualche settimana gli autori di questa truffa hanno modificato l'aspetto grafico (gli orrori ortografici rimangono) di questo falso avviso, "Centro Nazionale Anticrimine Informatico per la protezione delle Infrattusture Critiche" della Polizia di Stato. Naturalmente valgono le stesse regole di sopra per sbarazzarsi del parassita.
Naturalmente l'Italia non è il solo Paese colpito da questo malware, qui sotto vi presentiamo gli screenshoot di altri Stati presi di mira a dimostrazione che il fenomeno è ancora attivo:
 |
 |
 |
 |
 |
 |
| Austria | Belgio | Francia | Inghilterra | Germania | Spagna |
La variante con la pagina della Polizia di Stato inserisce un collegamento in "esecuzione automatica" che fa riferimento ad una DLL che si installa nei temporanei:
%systemroot%\system32\rundll32.exe C:\DOCUME~1\nume_utente\IMPOST~1\Temp\jork_0_typ_col.exe,FQ10.
La procedura per eliminarlo è comunque sempre la stessa (dalla modalità provvisoria infatti non parte).