Ricerca

mercoledì 16 aprile


Rimuovere il virus Polizia postale in poche mosse. Le varianti in circolazione.

Rimuovere il virus Polizia postale in poche mosse. Le varianti in circolazione.

di Michele Nasi (10/09/2012)


Gli utenti italiani, come quelli residenti in altri Paesi europei, sono da mesi bersagliati da malware che si spacciano come software distribuiti dalla Polizia postale, dalla Guardia di Finanza, dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) o da altre Autorità. Generalmente si tratta di componenti nocivi che appartengono alla categoria dei "ransomware": una volta insediatisi sul sistema, tali malware lo "prendono in ostaggio", insieme con i dati in esso memorizzati, chiedendo il versamento di un riscatto. "Attenzione, è stata rilevata un'attività illegale", si legge nella schermata che – dopo l'avvenuta infezione – appare ad ogni ingresso in Windows. "È stata fissata una seguente violazione: dal tuo indirizzo IP era eseguito un accesso alle pagine web contenenti pornografia, pornografia minorile (...)" prosegue il messaggio d'avviso, redatto utilizzando un italiano piuttosto stentato.

Una finestra a tutto schermo recante il logo del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, come quella che riproduciamo, viene esposta sui sistemi infetti dal virus "Polizia postale". Per liberarsi del malware, l'utente viene invitato a versare un importo pari a 100 euro a titolo di sanzione. Ovviamente precisiamo subito che tale richiesta di denaro è assolutamente illecita e non ha nulla a che vedere né con la Polizia postale né con la Guardia di Finanza né con altre forze di polizia od autorità di controllo. Il primo consiglio è quindi quello di non versare mai alcun importo e di armarsi di un po´ di pazienza per procedere all'eliminazione manuale del "ransomware".

Da dove proviene il virus Polizia postale?

Il virus Polizia postale non proviene, generalmente, da siti pornografici. Anzi, può arrivare da qualunque pagina web allestita con lo scopo di infettare l'utente, da siti Internet vittima di attacchi oppure effettuando il download di software di "dubbia provenienza" utilizzando i principali programmi di file sharing.

Minacce come il virus Polizia postale od il virus Guardia di Finanza (che abbiamo precedentemente conosciuto nell'articolo Rimuovere il virus Guardia di Finanza ed altre minacce simili) molto spesso sfruttano la mancata installazione degli aggiornamento di sicurezza del sistema operativo, del browser web, dei plugin in esso installati e degli altri componenti software in uso.
Purtroppo la necessità di installare gli aggiornamenti per tutti quei software e quei plugin che non sono gestiti dalla procedura di update del sistema operativo (i.e. Windows Update) non è ancora considerata come tale da molti utenti italiani. Eppure l'installazione degli aggiornamenti via a via rilasciati dai produttori resta un adempimento che non dovrebbe mai essere trascurato neppure sulle più recenti versioni del sistema operativo di Microsoft (Windows 7) e molto probabilmente continuerà ad esserlo anche in Windows 8. Ancora oggi, infatti, le applicazioni sviluppate da terze parti (i programmi che non sono direttamente supportati dei servizi di aggiornamento di Microsoft; ad esempio da Windows Update) non sono spesso, purtroppo, percepite come uno dei vettori d'attacco preferiti da parte dei malintenzionati. Vulnerabilità irrisolte nei vari programmi che si impiegano a cadenza giornaliera restano il "tallone d'Achille" che può esporre l'utente comune come il professionista o la grande azienda a rischi d'infezione.
Non si tratta di sciocchi timori: basti pensare che anche famose aziende a livello internazionale sono bersaglio di attacchi che sfruttano, molto spesso, vulnerabilità presenti sui sistemi client connessi in rete locale. Spesso un browser non aggiornato, una vecchia versione di Flash Player, una release obsoleta di Java, possono fungere da "testa di ponte" per sferrare un attacco capace di sottrarre informazioni personali od installare malware (abbiamo affrontato il problema anche nell'approfondimento "Rogue software": cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce).
La diffusione della consapevolezza circa le problematiche che potrebbero nascondersi nei software utilizzati quotidianamente e l'adozione di una valida strategia che permetta di evidenziare eventuali "punti deboli" consentono di ridurre drasticamente i rischi derivanti dall'utilizzo di un sistema non adeguatamente aggiornato. A trarne vantaggio, nel caso delle imprese di piccole e di più grandi dimensioni, sarà l'intera infrastruttura IT.

Rimuovere il virus Polizia postale

Sebbene le indicazioni proposte nell'articolo Rimuovere il virus Guardia di Finanza ed altre minacce simili restino valide ed applicabili anche nel caso del virus Polizia postale, è possibile distruggere immediatamente lo scheletro del malware ricorrendo ad uno specifico intervento.

Dopo aver riavviato il personal computer, si dovrà premere ripetutamente il tasto F8 sino alla comparsa della finestra che permette l'avvio di Windows in modalità provvisoria. Alla comparsa della finestra del prompt dei comandi, si dovrà digitare regedit e premere Invio.

Apparirà immediatamente l'Editor del registro di sistema. L'obiettivo è quello di eliminare dapprima il riferimento al file che, ad ogni ingresso in Windows, invoca l'esecuzione del malware Polizia postale.

Per procedere, quindi, si dovranno aprire, in sequenza, i vari rami dell'albero del registro di Windows seguendo il percorso HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Dopo aver selezionato l'ultima voce Winlogon, nel pannello di destra dell'editor, si troverà il parametro Shell. La sua impostazione corretta dovrebbe essere explorer.exe, così come riportato in figura:

Se il contenuto del valore Shell fosse diverso da explorer.exe, è altamente probabile che il virus Polizia postale si sia qui insediato.

La migliore cosa da fare, a questo punto, è annotarsi il percorso indicato nel valore Shell, fare doppio clic su Shell e modificare il campo Dati valore indicando solo ed esclusivamente explorer.exe e facendo clic sul pulsante OK.

Il contenuto del parametro Shell del registro di sistema è infatti utilizzato da Windows (insieme con altre chiavi) per stabilire quali applicazioni avviare ad ogni ingresso nel sistema operativo. Il virus Polizia postale sfrutta tale locazione proprio perché è solitamente più difficoltosa da scovare e così da prendere il "sopravvento" sugli altri programmi.

Dopo aver chiuso l'Editor del registro di sistema, sempre dal prompt dei comandi in modalità provvisoria, si dovrà digitare Explorer seguito dalla pressione del tasto Invio.

Si aprirà la tradizionale interfaccia di Windows. Da qui bisognerà portarsi in corrispondenza del percorso precedentemente annotato (contenuto nel parametro Shell) ed eliminare il file corrispondente.

Adesso, è bene portarsi all'interno delle cartelle seguenti (il percorso completo andrà digitato nella finestra di Explorer):
%systemdrive%\users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (Windows Vista e Windows 7)
%systemdrive%\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup (Windows Vista e Windows 7)
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica (Windows XP)
C:\Documents and Settings\%USERNAME%\Menu Avvio\Programmi\Esecuzione automatica (Windows XP)
All'interno di queste cartelle, è bene verificare che non vi siano riferimenti al file WPBT0 od altre voci sospette. In caso affermativo, si dovrà provvedere a rimuoverle.

A questo punto, eseguendo il seguente comando si cancellerà l'intero contenuto della cartella dei file temporanei di Windows sbarazzandosi degli altri file eventualmente correlati all'azione del malware:
rd %temp% /s /q

Ripristinare i file che sono stati bloccati dal virus Polizia postale

Alcune varianti del virus Polizia postale, da veri e propri esemplari di "ransomware", bloccano gran parte dei file personali dell'utente (documenti, fogli elettronici, presentazioni,...) rendendoli inutilizzabili e del tutto illeggibili. I file vengono crittografati utilizzando una chiave non nota e rinominati come locked-nomedelfile.ext.gdtr. Per sbloccarli è possibile provare ad utilizzare il software sviluppato da Dr.Web e scaricabile da questo indirizzo.
Il problema è che il software di Dr.Web necessita, in input, di una copia "buona" del file cifrato dal malware. In ambiente Windows Vista e Windows 7, è possibile provare ad attingere una copia precedente del documento facendo riferimento alla funzionalità "Versioni precedenti" del sistema operativo. A tal proposito, suggeriamo la lettura dell'articolo Windows 7: a spasso nel tempo con la funzionalità "Versioni precedenti". A meno che il virus non abbia eliminato i precedenti punti di ripristino e gli archivi di "Versioni precedenti" si dovrebbe essere in grado, almeno su Windows Vista e Windows 7, di effettuare un ripristino dei file personali. In altre parole, dopo aver fatto clic con il tasto destro del mouse, ad esempio, sulla cartella Documenti, cliccando sulla scheda Versioni precedenti quindi su Apri si potrà aprire una precedente copia del contenuto della directory:

- Nota: nel caso in cui il malware Polizia postale continuasse a far mostra di sé sul sistema in uso, suggeriamo, da modalità provvisoria con supporto di rete, di scaricare ed avviare il software gratuito Combofix già presentato nell'articolo Guida all'uso di Combofix, il programma che elimina i malware più pericolosi e radicati.

- Una volta che si sarà completata la procedura di rimozione del virus Polizia postale, suggeriamo di effettuare una scansione antivirus completa del sistema in uso.

ATTENZIONE! Altri suggerimenti, più aggiornati, per rimuovere il virus Polizia Postale ed altri ransomware similari sono contenuti nell'articolo Virus Polizia di Stato: rimuovere il malware con quattro diversi metodi.

Articolo seguente: Windows 7: un unico DVD per le versioni a 32 bit e 64 bit del sistema operativo
Articolo precedente: Condividere file online allestendo un web server con XAMPP
127497 letture
Ultimi commenti
inviato da Michele Nasi > pubblicato il 31/01/2014 14:21:06
Hai seguito queste indicazioni? http://www.ilsoftware.it/articoli.asp?t ... etodi_9904
inviato da Andreatta Paolo > pubblicato il 31/01/2014 13:56:56
ciao,ho provato tante istruzioni oltre le vostre,ma non ho ottenuto risultati.C'è di buono che io non ho bloccato niente,in maniera grave<<<<,per ccciarlo devo spegnere il pc,Con tutti i software usati ,non ho tracce di virus,ho sistemato anche Cftmon e Cftmon.exe.Non so più che fare,devo riposare la mente e poi ripartire,rifare i soliti e cercarne di nuovi.Se avete suggerimenti più recenti,vi sarei grato;ho Windows XP Sp3,ciao paolo :confuso:
inviato da marketto11 > pubblicato il 03/12/2013 19:23:11
fate f-11 all' avvio e riconfigurate il sistema a data precedente,un quarto d' ora ed è ok
inviato da Alessiof > pubblicato il 01/07/2013 15:38:36
Ho seguito alla lettera i comandi ma quando digitò 'Explorer' mi dice che non è riconoscibile come comando interno e esterno. Cosa faccio? Aiutatemi vi prego
inviato da davidedave > pubblicato il 02/03/2013 20:37:09
Ciao a tutti, io nel file shell trovo tutto a posto e non riesco a togliere questo virus... come devo fare? a me la schermata bianca mi si proprone sempre, anche in modalità provvisoria, e nno ho mai tempo per fare molte cose...per esempio installare qualsiasi programma, aiutatemi vi prego !!! grazie
inviato da Sergio S. > pubblicato il 26/02/2013 16:15:00
Ad oggi il virus in oggetto ha modificato gli attacchi e non da' piu' nessun link in "esecuzione automatica" e si avvia (e quindi blocca il pc) anche senza una connessione di rete. Inoltre la modalita' provvisoria va' in crash o si arresta senza possibilita' di digitazione.Questo su Win 7 - win vista e XP .L'unico sistema che ho trovato veramente efficace e' kaspersky rescue disk 10 .Consiglio , una volta fatto partire in boot, aggiornare il database e fare la scansione di tutte le unita'
inviato da M.B. > pubblicato il 22/01/2013 13:35:05
Problema risolto con combifix. Ci ha messo 20 min. ma ho risolto.
inviato da giovanni maria > pubblicato il 03/12/2012 18:11:44
Combofix perfetto: scaricato da altro computer e copiato su chiavetta, fatto partire sul computer infetto da modalità provvisoria, ha risolto il tutto in 10 minuti


Leggi tutti i commenti

Commenta anche su Facebook

Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2014

Pubblicità | Contatti | Informazioni legali | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS