Rimuovere il virus Guardia di Finanza ed altre minacce simili

Il virus Guardia di Finanza è uno di quei malware, concepiti espressamente per bersagliare gli utenti italiani, che ricade all’interno della categoria dei cosiddetti “ransomware“. Si tratta di una particolare categoria di malware che generalmente prende in ostaggio il sistema chiedendo poi il versamento di un riscatto (“ransom“, in inglese, significa proprio “riscatto”).
Il malware Guardia di Finanza, ovviamente, non ha nulla a che vedere con la forza di polizia italiana: già in circolazione da qualche mese, sembra sia stato sviluppato da un gruppo di criminali informatici di origine russa. Ultimamente ci sono arrivate diverse segnalazioni di utenti che denunciano come il proprio sistema sia stato infettato dal virus Guardia di Finanza. Il malware, una volta insediatosi sul sistema, mostra una schermata che espone in modo illecito stemmi e simboli grafici della Guardia di Finanza. Attraverso l’esposizione di un messaggio fraudolento, si cerca di persuadere l’utente più credulone ad effettuare un pagamento mediante carta di credito. Tale adempimento, si spiega, consentirà di scongiurare l’apertura di un’indagine a seguito del rinvenimento, nel personal computer utilizzato, di materiale salvato in violazione delle vigenti norme. Ovviamente è tutto falso.

Il malware Guardia di Finanza sfrutta infatti alcune tecniche di ingegneria sociale per cercare di indurre l’utente a ritenere che il messaggio visualizzato sia legittimo. Con il termine “ingegneria sociale” si è infatti soliti definire gli studi che hanno come oggetto il comportamento del singolo. Analizzando la sensibilità comune delle persone dei confronti di talune tipologie di messaggi, il “social engineer” riesce ad indurre l’altro a compiere operazioni potenzialmente pericolose carpendone la sua fiducia. È “l’arte dell’inganno”, insomma, che in ambito informatico è purtroppo sempre più utilizzata.

Diversamente rispetto alle prime versioni del malware, le “varianti” più recenti del virus Guardia di Finanza, però, sono divenute molto più difficoltose da sradicare. Accanto all’attacco basato sull’ingegneria sociale, infatti, le varianti più pericolose del malware bloccano una serie di funzionalità proprie di Windows inibendo, ad esempio, la possibilità di accedere al task manager o di accedere alla modalità provvisoria. Utilizzando il task manager (CTRL+ALT+CANC) si avrebbe infatti la possibilità di arrestare il processo correlato all’azione del malware Guardia di Finanza e quindi di passare alla completa disinfezione del sistema. L’utilizzo della modalità provvisoria (pressione del tasto F8 al boot del personal computer), invece, così come da istruzioni pubblicate sul sito web ufficiale del Nucleo GAT della Guardia di Finanza (quella vera!), consentiva di rimuovere dall’esecuzione automatica il file eseguibile che veniva invocato ad ogni ingresso in Windows nel caso delle prime versioni del malware.

Purtroppo, il virus Guardia di Finanza si è ulteriormente evoluto nelle ultime settimane e le indicazioni sin qui illustrate non sono più efficaci (risulta impossibile accedere alla modalità provvisoria di Windows).

Come rimuovere le varianti più recenti del malware Guardia di Finanza

Se il vostro sistema Windows, quello di un conoscente o di un collega fosse stato infettato dalle più recenti varianti del malware Guardia di Finanza, vi suggeriamo di applicare una procedura che per i più non dovrebbe essere di difficile applicazione.

Il suggerimento consiste nel prelevare l’ultima versione di Kaspersky Rescue Disk, un software gratuito che vi avevamo già presentato in questo nostro articolo e che include anche Windows Unlocker, uno strumento appositamente realizzato per “neutralizzare” i “ransomware“.

Da un sistema sicuramente esente da malware, si dovrà scaricare questo file ISO quindi prelevare il software aggiuntivo Rescue2USB (cliccare qui per il download).
Rescue2USB è un programma che consente di preparare una qualunque chiavetta USB rendendola avviabile e memorizzandovi il file ISO di Kaspersky Rescue Disk. Così facendo, lasciando inserita all’avvio del personal computer la chiavetta, si potrà comodamente avviare Kaspersky Rescue CD.
Una volta scaricato ed avviato Rescue2USB>, si potrà inserire automaticamente il Rescue Disk di Kaspersky in una chiavetta USB: basta selezionare il file ISO di Kaspersky Rescue Disk, precedentemente scaricato, l’unità USB di destinazione quindi fare clic sul pulsante Start:

Diversamente rispetto ad altre utilità (ad esempio YUMI), Rescue2USB non permette l’inserimento di utilità addizionali nella chiavetta USB ed il suo contenuto sarà completamente rimosso.

Dopo aver riavviato il personal computer (ci si dovrà assicurare di aver lasciato inserita la chiavetta USB di Kaspersky), bisognerà effettuare il boot del sistema dal supporto USB. Nel caso in cui ciò non accadesse, è indispensabile controllare che nel BIOS del personal computer sia impostata la corretta sequenza di avvio (unità USB prima, hard disk poi).

Lasciando inserita nel sistema in uso la chiavetta USB, dovrebbe comparire – al boot del personal computer – la schermata che segue:

Premendo un tasto qualsiasi, si accederà ad un menù di scelta mediante il quale si potrà selezionare la lingua preferita (noi abbiamo optato per l’inglese). Prima di procedere, si dovranno accettare le condizioni di licenza d’uso premendo il tasto “1”:

A questo punto, si dovrà scegliere Kaspersky Rescue Disk. Graphic mode cosicché l’ambiente di lavoro possa essere usato facendo ricorso ad una comoda interfaccia grafica.

Al termine della fase di caricamento dell’ambiente di lavoro, ci si troverà dinanzi ad una finestra come quella seguente:

In calce alla schermata principale, si noterà una “barra delle applicazioni” simil-Windows sulla quale verranno elencate le finestre e le utilità aperte. Il pulsante posto sulla sinistra consente di accedere ad un menù di scelta che ricorda quello proprio di Windows.

Come primo passo, è necessario verificare che la connessione di rete funzioni correttamente. A tale scopo, è possibile avviare il browser web cliccando sul pulsante in basso a sinistra della barra delle applicazioni e provare accedere ad un qualunque sito Internet:

In alternativa, è possibile aprire una finestra Terminale (Terminal) e digitare, per esempio, ping www.google.it -w 5.
Se si otterranno delle risposte, significa che la connessione di rete è perfettamente funzionante. In caso contrario, è necessario cliccare sulla voce Network setup del menù di avvio quindi selezionare l’interfaccia di rete da impostare (cablata ossia wired o senza fili ovvero wireless):

Facendo clic sul pulsante Edit, si potranno eventualmente assegnare in modo manuale indirizzo IP, indirizzo del gateway, DNS e così via.

Avvio della scansione e rimozione delle tracce lasciate dal malware

Dopo aver completato quest’operazione, si dovrà tornare alla schermata iniziale, fare clic sulla scheda My Update Center quindi su Start update:

In questo modo si preleveranno, dai server di Kaspersky, i database delle firme virali aggiornati all’ultima versione. Queste informazioni verranno automaticamente salvate, in diverse sottocartelle, all’interno della directory C:\Kaspersky Rescue Disk 10.0. Così facendo, ogniqualvolta si riutilizzerà il supporto di Kaspersky Rescue Disk, non si sarà costretti a riscaricare manualmente tutte le definizioni antivirus.

Per avviare una scansione antimalware, si dovrà poi tornare alla scheda Objects scan, selezionare tutte le voci in elenco (Disk boot sectors, Hidden startup objects e la lettera identificativa di unità corrispondente al disco C:):

Dopo aver spuntato le caselle corrispondenti, si dovrà avviare la scansione cliccando su Start objects scan.

Al termine della scansione, il rapporto dettagliato potrà essere eventualmente salvato sotto forma di file.

A questo punto, suggeriamo di avviare lo strumento aggiuntivo Kaspersky Windows Unlocker eseguibile cliccando sul pulsante in basso a sinistra, scegliendo Terminal quindi digitando windowsunlocker:

Windows Unlocker è un tool che si rivela particolarmente utile non solanto per la rimozione del malware Guardia di Finanza ma anche per cancellare dal sistema le tracce lasciate da molti altri “ransomware” in circolazione.
L’applicazione Windows Unlocker provvederà, automaticamente, a porre sotto la lente il registro di sistema nella sua interezza rilevando e rimuovendo ogni traccia di eventuali infezioni da malware.
Alla comparsa del menù seguente, si dovrà premere semplicemente il tasto Invio:

Suggeriamo quindi di premere il tasto “2” ed Invio (Save boot sector copies) ed uscire dall’utilità premendo “0” quindi ancora Invio.

A questo punto, dal desktop di Kaspersky Rescue Disk, si dovrà fare doppio clic sull’icona Kaspersky Registry Editor, una comodissima utilità che permette di aprire il registro di sistema di Windows, verificarne la configurazione ed eventualmente modificarne chiavi e valori.

Dalla finestra esposta a video, è necessario aprire il “ramo” corrispondente al nome del sistema operativo Windows installato sul disco fisso e portarsi in corrispondenza delle chiavi seguenti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
Si tratta delle chiavi che vengono usate per avviare automaticamente delle applicazioni all’avvio di Windows. Se fossero ancora presenti delle tracce del malware Guardia di Finanza, è altamente probabile che si trovino qui. In particolare, per ciascuna delle tre chiavi, è bene controllare che nel pannello di destra non siano presenti voci contenenti eseguibili dai nomi sospetti. In tal caso, basterà farvi clic con il tasto destro del mouse e scegliere Delete per eliminarli. È bene comunque accertarsi di ciò che si sta facendo per evitare di rimuovere voci che contribuiscono al corretto funzionamento del sistema operativo e delle altre applicazioni.

Allo stesso modo, è consigliabile portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon e controllare che in corrispondenza del valore Shell, nel pannello di destra, sia riportato explorer.exe e null’altro. In caso contrario, è possibile intervenire manualmente con un doppio clic e specificare explorer.exe in corrispondenza del valore Shell.
La chiave Userinit, invece, deve contenere tassativamente il solo valore C:\Windows\system32\userinit.exe, (attenzione alla virgola finale che dev’essere presente).

Infine, accedendo alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\System, se presente, il valore DisableTaskMgr deve essere impostato a 0 altrimenti non si potrà aprire il task manager di Windows. Se il valore DisableTaskMgr fosse ancora su 1, significa che è ancora in atto la restrizione imposta dal malware Guardia di Finanza. Facendo doppio clic sul parametro DisableTaskMgr quindi digitando 0 nella casella Value data, si dovrebbe risolvere il problema.

A questo punto, riavviando il sistema (pulsante in basso a destra, Restart) ci si dovrebbe essere finalmente sbarazzati del malware Guardia di Finanza così come delle miacce similari.