114599 Letture

Rimuovere il virus Guardia di Finanza ed altre minacce simili

Il virus Guardia di Finanza è uno di quei malware, concepiti espressamente per bersagliare gli utenti italiani, che ricade all'interno della categoria dei cosiddetti "ransomware". Si tratta di una particolare categoria di malware che generalmente prende in ostaggio il sistema chiedendo poi il versamento di un riscatto ("ransom", in inglese, significa proprio "riscatto").
Il malware Guardia di Finanza, ovviamente, non ha nulla a che vedere con la forza di polizia italiana: già in circolazione da qualche mese, sembra sia stato sviluppato da un gruppo di criminali informatici di origine russa. Ultimamente ci sono arrivate diverse segnalazioni di utenti che denunciano come il proprio sistema sia stato infettato dal virus Guardia di Finanza. Il malware, una volta insediatosi sul sistema, mostra una schermata che espone in modo illecito stemmi e simboli grafici della Guardia di Finanza. Attraverso l'esposizione di un messaggio fraudolento, si cerca di persuadere l'utente più credulone ad effettuare un pagamento mediante carta di credito. Tale adempimento, si spiega, consentirà di scongiurare l'apertura di un'indagine a seguito del rinvenimento, nel personal computer utilizzato, di materiale salvato in violazione delle vigenti norme. Ovviamente è tutto falso.

Il malware Guardia di Finanza sfrutta infatti alcune tecniche di ingegneria sociale per cercare di indurre l'utente a ritenere che il messaggio visualizzato sia legittimo. Con il termine "ingegneria sociale" si è infatti soliti definire gli studi che hanno come oggetto il comportamento del singolo. Analizzando la sensibilità comune delle persone dei confronti di talune tipologie di messaggi, il "social engineer" riesce ad indurre l'altro a compiere operazioni potenzialmente pericolose carpendone la sua fiducia. È "l'arte dell'inganno", insomma, che in ambito informatico è purtroppo sempre più utilizzata.

Diversamente rispetto alle prime versioni del malware, le "varianti" più recenti del virus Guardia di Finanza, però, sono divenute molto più difficoltose da sradicare. Accanto all'attacco basato sull'ingegneria sociale, infatti, le varianti più pericolose del malware bloccano una serie di funzionalità proprie di Windows inibendo, ad esempio, la possibilità di accedere al task manager o di accedere alla modalità provvisoria. Utilizzando il task manager (CTRL+ALT+CANC) si avrebbe infatti la possibilità di arrestare il processo correlato all'azione del malware Guardia di Finanza e quindi di passare alla completa disinfezione del sistema. L'utilizzo della modalità provvisoria (pressione del tasto F8 al boot del personal computer), invece, così come da istruzioni pubblicate sul sito web ufficiale del Nucleo GAT della Guardia di Finanza (quella vera!), consentiva di rimuovere dall'esecuzione automatica il file eseguibile che veniva invocato ad ogni ingresso in Windows nel caso delle prime versioni del malware.


Purtroppo, il virus Guardia di Finanza si è ulteriormente evoluto nelle ultime settimane e le indicazioni sin qui illustrate non sono più efficaci (risulta impossibile accedere alla modalità provvisoria di Windows).

Come rimuovere le varianti più recenti del malware Guardia di Finanza

Se il vostro sistema Windows, quello di un conoscente o di un collega fosse stato infettato dalle più recenti varianti del malware Guardia di Finanza, vi suggeriamo di applicare una procedura che per i più non dovrebbe essere di difficile applicazione.

Il suggerimento consiste nel prelevare l'ultima versione di Kaspersky Rescue Disk, un software gratuito che vi avevamo già presentato in questo nostro articolo e che include anche Windows Unlocker, uno strumento appositamente realizzato per "neutralizzare" i "ransomware".


Da un sistema sicuramente esente da malware, si dovrà scaricare questo file ISO quindi prelevare il software aggiuntivo Rescue2USB (cliccare qui per il download).
Rescue2USB è un programma che consente di preparare una qualunque chiavetta USB rendendola avviabile e memorizzandovi il file ISO di Kaspersky Rescue Disk. Così facendo, lasciando inserita all'avvio del personal computer la chiavetta, si potrà comodamente avviare Kaspersky Rescue CD.
Una volta scaricato ed avviato Rescue2USB>, si potrà inserire automaticamente il Rescue Disk di Kaspersky in una chiavetta USB: basta selezionare il file ISO di Kaspersky Rescue Disk, precedentemente scaricato, l'unità USB di destinazione quindi fare clic sul pulsante Start:

Diversamente rispetto ad altre utilità (ad esempio YUMI), Rescue2USB non permette l'inserimento di utilità addizionali nella chiavetta USB ed il suo contenuto sarà completamente rimosso.


Dopo aver riavviato il personal computer (ci si dovrà assicurare di aver lasciato inserita la chiavetta USB di Kaspersky), bisognerà effettuare il boot del sistema dal supporto USB. Nel caso in cui ciò non accadesse, è indispensabile controllare che nel BIOS del personal computer sia impostata la corretta sequenza di avvio (unità USB prima, hard disk poi).


Lasciando inserita nel sistema in uso la chiavetta USB, dovrebbe comparire - al boot del personal computer - la schermata che segue:

Premendo un tasto qualsiasi, si accederà ad un menù di scelta mediante il quale si potrà selezionare la lingua preferita (noi abbiamo optato per l'inglese). Prima di procedere, si dovranno accettare le condizioni di licenza d'uso premendo il tasto "1":

A questo punto, si dovrà scegliere Kaspersky Rescue Disk. Graphic mode cosicché l'ambiente di lavoro possa essere usato facendo ricorso ad una comoda interfaccia grafica.

Al termine della fase di caricamento dell'ambiente di lavoro, ci si troverà dinanzi ad una finestra come quella seguente:

In calce alla schermata principale, si noterà una "barra delle applicazioni" simil-Windows sulla quale verranno elencate le finestre e le utilità aperte. Il pulsante posto sulla sinistra consente di accedere ad un menù di scelta che ricorda quello proprio di Windows.


Come primo passo, è necessario verificare che la connessione di rete funzioni correttamente. A tale scopo, è possibile avviare il browser web cliccando sul pulsante in basso a sinistra della barra delle applicazioni e provare accedere ad un qualunque sito Internet:

In alternativa, è possibile aprire una finestra Terminale (Terminal) e digitare, per esempio, ping www.google.it -w 5.
Se si otterranno delle risposte, significa che la connessione di rete è perfettamente funzionante. In caso contrario, è necessario cliccare sulla voce Network setup del menù di avvio quindi selezionare l'interfaccia di rete da impostare (cablata ossia wired o senza fili ovvero wireless):

Facendo clic sul pulsante Edit, si potranno eventualmente assegnare in modo manuale indirizzo IP, indirizzo del gateway, DNS e così via.


I più scaricati del mese

Rimuovere il virus Guardia di Finanza ed altre minacce simili - IlSoftware.it