Ricerca

venerdì 29 agosto


Rimuovere il ransomware della polizia e le altre minacce con Hitman Pro Kickstart

di Michele Nasi (29/04/2013)


L'ultima versione di Hitman Pro, software sviluppato dall'olandese SurfRight, particolarmente abile nel rilevamento e nella successiva rimozione di malware e rootkit, porta con sé un'interessante novità. Il modulo Kickstart consente di eliminare i ransomware della polizia (malware sviluppati da criminali informatici che bloccano il sistema in uso chiedendo un “riscatto” in denaro e che spesso mostrano loghi degli organi di polizia o di altre autorità) oltre ad altre minacce che pongono sotto scacco l'intero sistema.

Virus Polizia di Stato, Polizia postale, Guardia di Finanza, Centro Nazionale Anticrimine Informatico: esempi di ransomware pensati per gli utenti italiani

I "ransomware" sono malware che, una volta insediatisi sul sistema, ne prendono completamente il controllo cercando di estromettere l'utente, disattivando alcune delle principali funzionalità di Windows, variando in profondità la configurazione del sistema operativo e bloccando l'accesso allo stesso. I virus Guardia di Finanza, Polizia postale, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) sono solo alcuni esempi di malware che bloccano il sistema in uso visualizzando, ad ogni avvio, un messaggio d'avviso fasullo. Gli autori del malware utilizzano nomi e loghi di autorità ed enti italiani e stranieri (anche questo costituisce già di per sé reato) per incutere timore nell'utente e spronarlo al pagamento di una (falsa) sanzione amministrativa.

Nell'articolo Rimuovere il virus Polizia postale in poche mosse. Le varianti in circolazione abbiamo spiegato come, in genere, si diffonde il virus ed in che modo si può restare infetti. Nel medesimo articolo abbiamo illustrato una procedura che consente di liberarsi dal malware e che fa uso della modalità provvisoria di Windows.

Per eliminare le varianti del virus Polizia postale, di Guardia di Finanza o di altri malware simili che non permettono di accedere alla modalità provvisoria, suggeriamo di applicare le indicazioni riportate nell'articolo Rimuovere il virus Guardia di Finanza ed altre minacce simili. Utilizzando il Kaspersky Rescue Disk, si potrà avviare il sistema da un supporto di avvio sicuro (quale un disco CD/DVD o una chiavetta USB) evitando che l'infezione venga automaticamente richiamata.
Come spiegato, si suggerisce anche di ricorrere a Windows Unlocker, un'utilità basata su riga di comando che consente di ripristinare alcune impostazioni del sistema operativo precedentemente alterate dal "ransomware". Grazie a quest'intervento, si potrà "sbloccare" Windows.


Hitman Pro Kickstart mira a semplificare drasticamente il procedimento da seguire per l'eliminazione dei ransomware. Hitman Pro è infatti un software che viene proposto con una politica di licenza particolare: l'applicazione è infatti in grado di permettere la scansione completa del sistema in uso. Eventuali minacce, però, potranno essere rimosse solo dopo aver versato la quota di registrazione.
Hitman Pro è quindi un utile software che può essere utilizzato per effettuare la classica “prova del nove” ossia per controllare che sul sistema in uso non siano ancora presenti malware od altre tipologie di minacce.

La funzionalità Kickstart, a differenza del programma vero e proprio, invece, può essere utilizzata senza alcun genere di limitazione in ambienti non commerciali a patto che si registri gratuitamente la versione trial dell'applicazione.

Diversamente rispetto ad altri strumenti, Kickstart configura sì una chiavetta USB rendendola automaticamente avviabile all'accensione del personal computer ma non vi installa un ambiente di lavoro personalizzato basato su DOS, Linux o Windows PE. Piuttosto, la prerogativa di Kickstart è proprio quella di lanciare il sistema operativo che si usa tutti i giorni e che risulta bloccato da parte di un ransomware.
Dopo aver configurato il BIOS del computer in modo tale da eseguire il boot dalla chiavetta USB (che verrà preventivamente formattata), quindi, Hitman Pro Kickstart comincerà col caricare alcuni suoi file, prima dell'avvio di Windows, per poi avviare il sistema operativo vero e proprio. È il caricamento preventivo dei file di Kickstart che consentirà il successivo rilevamento ed eliminazione delle minacce.

Hitman Pro è un'applicazione che non necessita d'installazione: per utilizzarla basta scaricarne il file eseguibile da questa scheda.

Per creare la chiavetta USB avviabile di Hitman Pro Kickstart, basta avviare il programma quindi cliccare sull'icona posta a destra del pulsante Impostazioni, in basso:

L'applicazione mostrerà quindi una finestra attraverso la quale si potrà indicare la chiavetta USB da rendere avviabile (tutto il suo contenuto verrà automaticamente rimosso):

Com'è ovvio, la procedura di creazione della chiavetta USB avviabile dovrà essere avviata su un sistema Windows diverso da quello che dev'essere oggetto d'intervento (eliminazione del ransomware).
Cliccando su Installa Kickstart, Hitman avvierà la formattazione dell'unità USB specificata:

Al termine di questa fase, si potrà scollegare la chiavetta USB preparata da Kickstart e collegarla con il personal computer sul quale è presente il ransomware da eliminare. Nel caso in cui, al riavvio di tale macchina, la schermata seguente non dovesse apparire, bisognerà verificare di aver impostato nel BIOS la sequenza di boot corretta (unità USB prima, dischi fissi poi):

Il programma dovrebbe sempre mostrare una versione pari o superiore alla 1.1.
Digitando 1 (scelta consigliata), Kickstart non prenderà in considerazione il contenuto del MBR (Master Boot Record), area frequentemente infestata da rootkit e ransomware, e proverà ad avviare autonomamente la copia di Windows installata.
L'opzione 2 dovrà essere utilizzata solamente nei casi in cui Kickstart non dovesse riuscire a bypassare il MBR dell'hard disk.

Il Master Boot Record (MBR)

Nell'articolo Riparare il Master Boot Record e risolvere gli altri problemi che impediscono l'avvio di Windows, abbiamo tracciato un identikit del Master Boot Record ed illustrato i passaggi per la risoluzione delle principali problematiche collegate al settore di avvio del disco fisso.
Virus che infettavano il MBR erano molto comuni negli anni '90 mentre, successivamente, non sono stati più sviluppati malware del genere. L'infezione del MBR è oggi "tornata di moda" perché i malware sfruttano, contemporaneamente, unzioni mimetiche a livello kernel. Se la strategia che vede l'infezione del MBR è molto vecchia (i primi virus che infettavano il MBR risalgono ai tempi del DOS), i malware moderni le abbinano l'impiego di efficaci e purtroppo pericolose tecniche rootkit. Grazie a questo tipo di approccio, i nuovi malware possono garantirsi l'esecuzione all'avvio del sistema operativo (il MBR è il primo ad essere caricato) senza rischiare di essere smascherati facilmente (uso di tecniche rootkit). L'infezione del MBR è particolarmente gettonata fra i ransomware proprio perché rappresenta una "testa di ponte" per assicurarsi il pieno controllo del sistema ad ogni avvio.


Per rilevare e sradicare eventuali infezioni, Kickstart utilizza contemporaneamente più motori di scansione antimalware (nella prima schermata del programma figurano IKARUS, G Data, BitDefender ed Emisoft), tecniche per l'individuazione di minacce zero-day (analisi comportamentale), crea un punto di ripristino prima di applicare qualsivoglia intervento e si fa cura di sostituire i file infetti con versioni pulite e totalmente legittime.

Sui sistemi ove non risultasse possibile effettuare il boot da una chiavetta USB, è possibile utilizzare l'immagine ISO di Kickstart. Per procedere, è sufficiente scaricare questo file su un sistema certamente libero da infezioni, estrarne il contenuto (basta fare doppio clic sull'eseguibile), e masterizzare su supporto CD il file .ISO.


Come evidenziato nell'introduzione, Hitman Pro può essere comunque sfruttato anche per eseguire normali scansioni del sistema alla ricerca di eventuali malware. Il programma combina l'impiego di strumenti di analisi di tipo tradizionale con meccanismi basati sullo studio comportamentale dei software, sull'uso della filosofia "cloud" e sull'"intelligenza collettiva".

Hitman Pro
Download: ilsoftware.it
Compatibile con: Windows XP, Windows Server 2003, Windows Server 2008, Windows Vista, Windows 7, Windows 8
Licenza: trial (le scansioni possono essere effettuate liberamente, senza alcuna limitazione).

Articolo seguente: Annullare modifiche in Windows con Toolwiz Time Machine: riportare il sistema ad una data precedente
Articolo precedente: Bloccare chiamate e SMS indesiderati su Android con l'applicazione Calls Blacklist
37362 letture
Ultimi commenti
Nessun lettore ha inviato un commento.
Vuoi essere il primo? Clicca su Inserisci il tuo commento!


Leggi tutti i commenti

Commenta anche su Facebook

Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2014

Pubblicità | Contatti | Informazioni legali | Cookies | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS