111733 Letture

Rimuovere il virus Guardia di Finanza ed altre minacce simili

Il virus Guardia di Finanza è uno di quei malware, concepiti espressamente per bersagliare gli utenti italiani, che ricade all'interno della categoria dei cosiddetti "ransomware". Si tratta di una particolare categoria di malware che generalmente prende in ostaggio il sistema chiedendo poi il versamento di un riscatto ("ransom", in inglese, significa proprio "riscatto").
Il malware Guardia di Finanza, ovviamente, non ha nulla a che vedere con la forza di polizia italiana: già in circolazione da qualche mese, sembra sia stato sviluppato da un gruppo di criminali informatici di origine russa. Ultimamente ci sono arrivate diverse segnalazioni di utenti che denunciano come il proprio sistema sia stato infettato dal virus Guardia di Finanza. Il malware, una volta insediatosi sul sistema, mostra una schermata che espone in modo illecito stemmi e simboli grafici della Guardia di Finanza. Attraverso l'esposizione di un messaggio fraudolento, si cerca di persuadere l'utente più credulone ad effettuare un pagamento mediante carta di credito. Tale adempimento, si spiega, consentirà di scongiurare l'apertura di un'indagine a seguito del rinvenimento, nel personal computer utilizzato, di materiale salvato in violazione delle vigenti norme. Ovviamente è tutto falso.

Il malware Guardia di Finanza sfrutta infatti alcune tecniche di ingegneria sociale per cercare di indurre l'utente a ritenere che il messaggio visualizzato sia legittimo. Con il termine "ingegneria sociale" si è infatti soliti definire gli studi che hanno come oggetto il comportamento del singolo. Analizzando la sensibilità comune delle persone dei confronti di talune tipologie di messaggi, il "social engineer" riesce ad indurre l'altro a compiere operazioni potenzialmente pericolose carpendone la sua fiducia. È "l'arte dell'inganno", insomma, che in ambito informatico è purtroppo sempre più utilizzata.

Diversamente rispetto alle prime versioni del malware, le "varianti" più recenti del virus Guardia di Finanza, però, sono divenute molto più difficoltose da sradicare. Accanto all'attacco basato sull'ingegneria sociale, infatti, le varianti più pericolose del malware bloccano una serie di funzionalità proprie di Windows inibendo, ad esempio, la possibilità di accedere al task manager o di accedere alla modalità provvisoria. Utilizzando il task manager (CTRL+ALT+CANC) si avrebbe infatti la possibilità di arrestare il processo correlato all'azione del malware Guardia di Finanza e quindi di passare alla completa disinfezione del sistema. L'utilizzo della modalità provvisoria (pressione del tasto F8 al boot del personal computer), invece, così come da istruzioni pubblicate sul sito web ufficiale del Nucleo GAT della Guardia di Finanza (quella vera!), consentiva di rimuovere dall'esecuzione automatica il file eseguibile che veniva invocato ad ogni ingresso in Windows nel caso delle prime versioni del malware.


Purtroppo, il virus Guardia di Finanza si è ulteriormente evoluto nelle ultime settimane e le indicazioni sin qui illustrate non sono più efficaci (risulta impossibile accedere alla modalità provvisoria di Windows).

Come rimuovere le varianti più recenti del malware Guardia di Finanza

Se il vostro sistema Windows, quello di un conoscente o di un collega fosse stato infettato dalle più recenti varianti del malware Guardia di Finanza, vi suggeriamo di applicare una procedura che per i più non dovrebbe essere di difficile applicazione.

Il suggerimento consiste nel prelevare l'ultima versione di Kaspersky Rescue Disk, un software gratuito che vi avevamo già presentato in questo nostro articolo e che include anche Windows Unlocker, uno strumento appositamente realizzato per "neutralizzare" i "ransomware".

Da un sistema sicuramente esente da malware, si dovrà scaricare questo file ISO quindi prelevare il software aggiuntivo Rescue2USB (cliccare qui per il download).
Rescue2USB è un programma che consente di preparare una qualunque chiavetta USB rendendola avviabile e memorizzandovi il file ISO di Kaspersky Rescue Disk. Così facendo, lasciando inserita all'avvio del personal computer la chiavetta, si potrà comodamente avviare Kaspersky Rescue CD.
Una volta scaricato ed avviato Rescue2USB>, si potrà inserire automaticamente il Rescue Disk di Kaspersky in una chiavetta USB: basta selezionare il file ISO di Kaspersky Rescue Disk, precedentemente scaricato, l'unità USB di destinazione quindi fare clic sul pulsante Start:

Diversamente rispetto ad altre utilità (ad esempio YUMI), Rescue2USB non permette l'inserimento di utilità addizionali nella chiavetta USB ed il suo contenuto sarà completamente rimosso.

Dopo aver riavviato il personal computer (ci si dovrà assicurare di aver lasciato inserita la chiavetta USB di Kaspersky), bisognerà effettuare il boot del sistema dal supporto USB. Nel caso in cui ciò non accadesse, è indispensabile controllare che nel BIOS del personal computer sia impostata la corretta sequenza di avvio (unità USB prima, hard disk poi).

Lasciando inserita nel sistema in uso la chiavetta USB, dovrebbe comparire - al boot del personal computer - la schermata che segue:

Premendo un tasto qualsiasi, si accederà ad un menù di scelta mediante il quale si potrà selezionare la lingua preferita (noi abbiamo optato per l'inglese). Prima di procedere, si dovranno accettare le condizioni di licenza d'uso premendo il tasto "1":

A questo punto, si dovrà scegliere Kaspersky Rescue Disk. Graphic mode cosicché l'ambiente di lavoro possa essere usato facendo ricorso ad una comoda interfaccia grafica.

Al termine della fase di caricamento dell'ambiente di lavoro, ci si troverà dinanzi ad una finestra come quella seguente:

In calce alla schermata principale, si noterà una "barra delle applicazioni" simil-Windows sulla quale verranno elencate le finestre e le utilità aperte. Il pulsante posto sulla sinistra consente di accedere ad un menù di scelta che ricorda quello proprio di Windows.


Come primo passo, è necessario verificare che la connessione di rete funzioni correttamente. A tale scopo, è possibile avviare il browser web cliccando sul pulsante in basso a sinistra della barra delle applicazioni e provare accedere ad un qualunque sito Internet:

In alternativa, è possibile aprire una finestra Terminale (Terminal) e digitare, per esempio, ping www.google.it -w 5.
Se si otterranno delle risposte, significa che la connessione di rete è perfettamente funzionante. In caso contrario, è necessario cliccare sulla voce Network setup del menù di avvio quindi selezionare l'interfaccia di rete da impostare (cablata ossia wired o senza fili ovvero wireless):

Facendo clic sul pulsante Edit, si potranno eventualmente assegnare in modo manuale indirizzo IP, indirizzo del gateway, DNS e così via.


  1. Avatar
    Giustino
    15/04/2014 19:59:34
    Citazione: Peccato che il Kaspersky mi abbia messo a soqquadro il pc e abbia dovuto reinstallare windows. Se avete altro antivirus Kaspersky fa copia anche delle sue ultime scritture e poi va in conflitto. Come mai se parte da CD o chiavetta? Un bel taroc!
    Sì ma, hai usato " Windows Unlocker" prima di fare la scansione ? :uazmah: http://www.ilsoftware.it/articoli.asp?tag=Virus-Polizia-di-Stato-rimuovere-il-malware-con-quattro-diversi-metodi_9904&pag=1
  2. Avatar
    Guest
    15/04/2014 15:00:22
    Peccato che il Kaspersky mi abbia messo a soqquadro il pc e abbia dovuto reinstallare windows. Se avete altro antivirus Kaspersky fa copia anche delle sue ultime scritture e poi va in conflitto. Come mai se parte da CD o chiavetta? Un bel taroc!
  3. Avatar
    tommy lee
    26/10/2012 23:47:24
    provo con modalità provvisoria ma non riesce a partire
  4. Avatar
    fabrizio.r
    10/09/2012 20:35:06
    ultimamente ho debellato i due trojan facendo un ripristino di sistema ad una data precedente, questo in pc con s.o. Windows 7, sfruttando il fatto che senza collegamento internet il trojan non partiva, poi pulita dei pc con malwarebites e ccleaner
  5. Avatar
    FDAC
    10/09/2012 14:16:21
    Molto bene, a tutti e tre, grazie per aver postato i vostri feedback! Francesco
  6. Avatar
    paolo 70
    10/09/2012 10:56:06
    Salve a tutti. Anche io sono incappato nel virus Guardia di Finanza. Sono riuscito a rimuovere il virus disattivando la connessione ad internet e lanciando il S.O. in modalità provvisoria: successivamente ho lanciato l'antivirus Avg Free con la scansione completa della macchina. Il problema è stato individuato e per fortuna risolto. Paolo
  7. Avatar
    Clag
    14/08/2012 11:29:40
    Sono riuscito solamente avviando il sistema in "modalità provvisoria da riga di comando" (così non parte il malware) ed eseguire Combofix. Riuscito in pieno!
  8. Avatar
    Chriss
    14/08/2012 08:51:45
    Salve, sono incappato anche io nel virus. Ho provato con tutti i metodi trovati in rete ma non ho ottenuto nessun risultato positivo. Come S.O. ho installato Win 7 64 bit e come antivirus AVG free. Ho risolto il problema inserendo il disco di installazione e nellle opzioni ho selezionato la modalità per riparare il pc. Tra le scelte c'è la possibilità di riportare il pc ad un punto di ripristino precedente. Così facendo il pc è ripartito senza nessun problema. Ho scansionato il pc con l' antivirus aggiornato che non ha restituito risultati di infezione.
  9. Avatar
    FDAC
    13/08/2012 10:22:24
    Delete archive se è l'unica opzione possibile. Skip no perchè altrimenti l'infezione sarebbe ancora attiva.
Rimuovere il virus Guardia di Finanza ed altre minacce simili - IlSoftware.it