Rimuovere il virus Polizia postale in poche mosse. Le varianti in circolazione.

• Antimalware
• Ripristino del sistema

Gli utenti italiani, come quelli residenti in altri Paesi europei, sono da mesi bersagliati da malware che si spacciano come software distribuiti dalla Polizia postale, dalla Guardia di Finanza, dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) o da altre Autorità. Generalmente si tratta di componenti nocivi che appartengono alla categoria dei “ransomware“: una volta insediatisi sul sistema, tali malware lo “prendono in ostaggio”, insieme con i dati in esso memorizzati, chiedendo il versamento di un riscatto. “Attenzione, è stata rilevata un’attività illegale“, si legge nella schermata che – dopo l’avvenuta infezione – appare ad ogni ingresso in Windows. “È stata fissata una seguente violazione: dal tuo indirizzo IP era eseguito un accesso alle pagine web contenenti pornografia, pornografia minorile (…)” prosegue il messaggio d’avviso, redatto utilizzando un italiano piuttosto stentato.

Una finestra a tutto schermo recante il logo del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, come quella che riproduciamo, viene esposta sui sistemi infetti dal virus “Polizia postale“. Per liberarsi del malware, l’utente viene invitato a versare un importo pari a 100 euro a titolo di sanzione. Ovviamente precisiamo subito che tale richiesta di denaro è assolutamente illecita e non ha nulla a che vedere né con la Polizia postale né con la Guardia di Finanza né con altre forze di polizia od autorità di controllo. Il primo consiglio è quindi quello di non versare mai alcun importo e di armarsi di un po´ di pazienza per procedere all’eliminazione manuale del “ransomware“.

Da dove proviene il virus Polizia postale?

Il virus Polizia postale non proviene, generalmente, da siti pornografici. Anzi, può arrivare da qualunque pagina web allestita con lo scopo di infettare l’utente, da siti Internet vittima di attacchi oppure effettuando il download di software di “dubbia provenienza” utilizzando i principali programmi di file sharing.

Minacce come il virus Polizia postale od il virus Guardia di Finanza (che abbiamo precedentemente conosciuto nell’articolo Rimuovere il virus Guardia di Finanza ed altre minacce simili) molto spesso sfruttano la mancata installazione degli aggiornamento di sicurezza del sistema operativo, del browser web, dei plugin in esso installati e degli altri componenti software in uso.
Purtroppo la necessità di installare gli aggiornamenti per tutti quei software e quei plugin che non sono gestiti dalla procedura di update del sistema operativo (i.e. Windows Update) non è ancora considerata come tale da molti utenti italiani. Eppure l’installazione degli aggiornamenti via a via rilasciati dai produttori resta un adempimento che non dovrebbe mai essere trascurato neppure sulle più recenti versioni del sistema operativo di Microsoft (Windows 7) e molto probabilmente continuerà ad esserlo anche in Windows 8. Ancora oggi, infatti, le applicazioni sviluppate da terze parti (i programmi che non sono direttamente supportati dei servizi di aggiornamento di Microsoft; ad esempio da Windows Update) non sono spesso, purtroppo, percepite come uno dei vettori d’attacco preferiti da parte dei malintenzionati. Vulnerabilità irrisolte nei vari programmi che si impiegano a cadenza giornaliera restano il “tallone d’Achille” che può esporre l’utente comune come il professionista o la grande azienda a rischi d’infezione.
Non si tratta di sciocchi timori: basti pensare che anche famose aziende a livello internazionale sono bersaglio di attacchi che sfruttano, molto spesso, vulnerabilità presenti sui sistemi client connessi in rete locale. Spesso un browser non aggiornato, una vecchia versione di Flash Player, una release obsoleta di Java, possono fungere da “testa di ponte” per sferrare un attacco capace di sottrarre informazioni personali od installare malware (abbiamo affrontato il problema anche nell’approfondimento “Rogue software”: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce).

La diffusione della consapevolezza circa le problematiche che potrebbero nascondersi nei software utilizzati quotidianamente e l’adozione di una valida strategia che permetta di evidenziare eventuali “punti deboli” consentono di ridurre drasticamente i rischi derivanti dall’utilizzo di un sistema non adeguatamente aggiornato. A trarne vantaggio, nel caso delle imprese di piccole e di più grandi dimensioni, sarà l’intera infrastruttura IT.

Rimuovere il virus Polizia postale

Sebbene le indicazioni proposte nell’articolo Rimuovere il virus Guardia di Finanza ed altre minacce simili restino valide ed applicabili anche nel caso del virus Polizia postale, è possibile distruggere immediatamente lo scheletro del malware ricorrendo ad uno specifico intervento.

Dopo aver riavviato il personal computer, si dovrà premere ripetutamente il tasto F8 sino alla comparsa della finestra che permette l’avvio di Windows in modalità provvisoria. Alla comparsa della finestra del prompt dei comandi, si dovrà digitare regedit e premere Invio.

Apparirà immediatamente l’Editor del registro di sistema. L’obiettivo è quello di eliminare dapprima il riferimento al file che, ad ogni ingresso in Windows, invoca l’esecuzione del malware Polizia postale.

Per procedere, quindi, si dovranno aprire, in sequenza, i vari rami dell’albero del registro di Windows seguendo il percorso HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Dopo aver selezionato l’ultima voce Winlogon, nel pannello di destra dell’editor, si troverà il parametro Shell. La sua impostazione corretta dovrebbe essere explorer.exe, così come riportato in figura:

Se il contenuto del valore Shell fosse diverso da explorer.exe, è altamente probabile che il virus Polizia postale si sia qui insediato.

La migliore cosa da fare, a questo punto, è annotarsi il percorso indicato nel valore Shell, fare doppio clic su Shell e modificare il campo Dati valore indicando solo ed esclusivamente explorer.exe e facendo clic sul pulsante OK.

Il contenuto del parametro Shell del registro di sistema è infatti utilizzato da Windows (insieme con altre chiavi) per stabilire quali applicazioni avviare ad ogni ingresso nel sistema operativo. Il virus Polizia postale sfrutta tale locazione proprio perché è solitamente più difficoltosa da scovare e così da prendere il “sopravvento” sugli altri programmi.

Dopo aver chiuso l’Editor del registro di sistema, sempre dal prompt dei comandi in modalità provvisoria, si dovrà digitare Explorer seguito dalla pressione del tasto Invio.

Si aprirà la tradizionale interfaccia di Windows. Da qui bisognerà portarsi in corrispondenza del percorso precedentemente annotato (contenuto nel parametro Shell) ed eliminare il file corrispondente.

Adesso, è bene portarsi all’interno delle cartelle seguenti (il percorso completo andrà digitato nella finestra di Explorer):

%systemdrive%\users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

(Windows Vista e Windows 7)

%systemdrive%\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

(Windows Vista e Windows 7)

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica

(Windows XP)

C:\Documents and Settings\%USERNAME%\Menu Avvio\Programmi\Esecuzione automatica

(Windows XP)
All’interno di queste cartelle, è bene verificare che non vi siano riferimenti al file WPBT0 od altre voci sospette. In caso affermativo, si dovrà provvedere a rimuoverle.

A questo punto, eseguendo il seguente comando si cancellerà l’intero contenuto della cartella dei file temporanei di Windows sbarazzandosi degli altri file eventualmente correlati all’azione del malware:

rd %temp% /s /q

Ripristinare i file che sono stati bloccati dal virus Polizia postale

Alcune varianti del virus Polizia postale, da veri e propri esemplari di “ransomware“, bloccano gran parte dei file personali dell’utente (documenti, fogli elettronici, presentazioni,…) rendendoli inutilizzabili e del tutto illeggibili. I file vengono crittografati utilizzando una chiave non nota e rinominati come locked-nomedelfile.ext.gdtr. Per sbloccarli è possibile provare ad utilizzare il software sviluppato da Dr.Web e scaricabile da questo indirizzo.
Il problema è che il software di Dr.Web necessita, in input, di una copia “buona” del file cifrato dal malware. In ambiente Windows Vista e Windows 7, è possibile provare ad attingere una copia precedente del documento facendo riferimento alla funzionalità “Versioni precedenti” del sistema operativo. A tal proposito, suggeriamo la lettura dell’articolo Windows 7: a spasso nel tempo con la funzionalità “Versioni precedenti”. A meno che il virus non abbia eliminato i precedenti punti di ripristino e gli archivi di “Versioni precedenti” si dovrebbe essere in grado, almeno su Windows Vista e Windows 7, di effettuare un ripristino dei file personali. In altre parole, dopo aver fatto clic con il tasto destro del mouse, ad esempio, sulla cartella Documenti, cliccando sulla scheda Versioni precedenti quindi su Apri si potrà aprire una precedente copia del contenuto della directory:

– Nota: nel caso in cui il malware Polizia postale continuasse a far mostra di sé sul sistema in uso, suggeriamo, da modalità provvisoria con supporto di rete, di scaricare ed avviare il software gratuito Combofix già presentato nell’articolo Guida all’uso di Combofix, il programma che elimina i malware più pericolosi e radicati.

– Una volta che si sarà completata la procedura di rimozione del virus Polizia postale, suggeriamo di effettuare una scansione antivirus completa del sistema in uso.

ATTENZIONE!