Questo tipo di truffa informatica, in gergo conosciuta come "RANSOMWERE", è un nuovo tipo di malware che si propaga come un e-virus o worm.
Esso blocca il computer mostrando un avviso a pieno schermo, poi, sfruttando la paura delle persone e spacciandosi per la POLIZIA POSTALE (o Carabinieri, o Guardia di Finanza, ecc.), richiede il pagamento di una sorta di multa (ma sarebbe meglio chiamarlo "riscatto") per sbloccare il PC dell'utente (o del potenziale truffato).
Esso blocca il computer mostrando un avviso a pieno schermo, poi, sfruttando la paura delle persone e spacciandosi per la POLIZIA POSTALE (o Carabinieri, o Guardia di Finanza, ecc.), richiede il pagamento di una sorta di multa (ma sarebbe meglio chiamarlo "riscatto") per sbloccare il PC dell'utente (o del potenziale truffato).
Schermata tipica di Virus "Polizia Postale" |
Come segnalato dalla stessa Polizia di Stato un tipico esempio di questo malware mostra ad esempio una schermata che riproduce fedelmente l'intestazione del Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) ovvero l'ufficio di Polizia che si occupa della prevenzione e della repressione dei crimini informatici.
Quando si è attivato il malware non si può uscire dalla schermata nemmeno con la sequenza di tasti CTRL+ALT+CANC e non si riesce ad utilizzare liberamente il proprio PC.
Il malware fa leva sulla paura dell'utente, accusandolo di avere commesso attività illegali (come ad esempio: avere scaricato materiale protetto dal diritto d'autore tipo software o musica, o avere visionato e scaricato materiale pedo-pornografico) e richiede il pagamento di una multa (in genere €100,00) per sanare il presunto illecito.
La schermata principale solitamente mostra l'indirizzo IP del PC dell'utente (in alcuni casi mostra addirittura la foto dell'utente catturata con la webcam del suo stesso PC o notebook).
Inoltre richiede il pagamento della finta multa attraverso siti web (legali) specializzati nell'effettuare pagamenti online senza carta di credito o debito, come www.ukash.com oppure www.paysafecard.com (nelle cui pagine, tra l'altro, un avviso segnala l'esistenza di questo tipo di truffa).
Questo malware, a causa del sistema di pagamento utilizzato, è anche conosciuto come "ukash virus" (ma il sito ukash NON ha niente a che vedere col creatore del virus).
In ambito internazionale questo tipo di virus è indicato col nome "Reveton". Esso ha le stesse basi di progettazione del Trojan Citadel (che a sua volta deriva dal Trojan Zeus).
In altri casi lo stesso tipo di malware mostra invece la schermata di differenti corpi di polizia e autorità italiani (ma anche stranieri):
Come si prende?
Come per molti altri virus i metodi di infezione possono essere molteplici:
Come si previene l'infezione?
Il sistema migliore è tenere aggiornato il software del proprio PC: usare Windows Update per il sistema operativo, effettuare gli aggiornamenti di sicurezza dei browser, del client di posta elettronica e dei principali software utilizzati come Adobre Reader, OpenOffice, Microsoft Office, ecc.
Inoltre è bene installare un buon Antivirus (al limite anche gratuito) e tenerne costantemente aggiornate le firme dei virus con gli update.
Ma come togliere il "virus della Polizia Postale"?
Sul sito del CommissariatodiPS sono presenti le istruzioni su come rimuovere manualmente questo tipo di malware. Si tratta della variante più semplice del "Virus Polizia", ma più avanti in questo articolo ho inserito gli aggiornamenti su come debellare le varianti più pervicaci.
Quando si è attivato il malware non si può uscire dalla schermata nemmeno con la sequenza di tasti CTRL+ALT+CANC e non si riesce ad utilizzare liberamente il proprio PC.
Il malware fa leva sulla paura dell'utente, accusandolo di avere commesso attività illegali (come ad esempio: avere scaricato materiale protetto dal diritto d'autore tipo software o musica, o avere visionato e scaricato materiale pedo-pornografico) e richiede il pagamento di una multa (in genere €100,00) per sanare il presunto illecito.
La schermata principale solitamente mostra l'indirizzo IP del PC dell'utente (in alcuni casi mostra addirittura la foto dell'utente catturata con la webcam del suo stesso PC o notebook).
Inoltre richiede il pagamento della finta multa attraverso siti web (legali) specializzati nell'effettuare pagamenti online senza carta di credito o debito, come www.ukash.com oppure www.paysafecard.com (nelle cui pagine, tra l'altro, un avviso segnala l'esistenza di questo tipo di truffa).
Questo malware, a causa del sistema di pagamento utilizzato, è anche conosciuto come "ukash virus" (ma il sito ukash NON ha niente a che vedere col creatore del virus).
In ambito internazionale questo tipo di virus è indicato col nome "Reveton". Esso ha le stesse basi di progettazione del Trojan Citadel (che a sua volta deriva dal Trojan Zeus).
In altri casi lo stesso tipo di malware mostra invece la schermata di differenti corpi di polizia e autorità italiani (ma anche stranieri):
- "Guardia di Finanza",
- "Polizia Penitenziaria",
- "Carabinieri",
- "Polizia di Stato",
- "CNAIPIC",
- ...persino la "SIAE"!
Come si prende?
Come per molti altri virus i metodi di infezione possono essere molteplici:
- pura e semplice navigazione su siti internet compromessi,
- ricezione di email con allegati infetti o link a siti infetti,
- scambio di chiavette USB infette,
- installazione di software irregolare,
- ecc
Come si previene l'infezione?
Il sistema migliore è tenere aggiornato il software del proprio PC: usare Windows Update per il sistema operativo, effettuare gli aggiornamenti di sicurezza dei browser, del client di posta elettronica e dei principali software utilizzati come Adobre Reader, OpenOffice, Microsoft Office, ecc.
Inoltre è bene installare un buon Antivirus (al limite anche gratuito) e tenerne costantemente aggiornate le firme dei virus con gli update.
Ma come togliere il "virus della Polizia Postale"?
Sul sito del CommissariatodiPS sono presenti le istruzioni su come rimuovere manualmente questo tipo di malware. Si tratta della variante più semplice del "Virus Polizia", ma più avanti in questo articolo ho inserito gli aggiornamenti su come debellare le varianti più pervicaci.
ESPERIENZA PERSONALE:
Purtroppo nel caso che ho verificato personalmente il malware NON è stato rilevato nè dai 2 antivirus attivi, nè dai virus scanner scaricati successivamente e neppure da un paio di scansioni effettuate via internet. Questo è sintomatico della impreparazione di molti antivirus verso questo nuovo tipo di truffa. Tuttavia il malware, nella variante che ho affrontato, non era molto insidioso ed è stato molto semplice rimuoverlo manualmente, ecco le istruzioni:
[Metodo 1 - Con modalità provvisoria funzionante]
[Metodo 1 - Con modalità provvisoria funzionante]
- Avviare Windows in "modalità provvisoria" (premendo F8 all'avvio del PC) e cliccare con il mouse su START (oppure AVVIO o sull'icona di Windows) in basso a sinistra della barra applicazioni.
- All’apertura del menu a tendina verticale cliccare su “Tutti i programmi”.
- Cercare la cartella “Esecuzione automatica” e, una volta individuata, cliccare col mouse sull’icona corrispondente che mostrerà la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer.
- Selezionare i file che hanno nomi "strani", come sequenze di caratteri e numeri(nel caso specifico era fir0.exe oppure WBT0.D), e rimuoverli premendo il tasto “CANC” oppure “DEL”.
- Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” per eliminare definitivamente il malware dal PC.
- riavviare il PC.
[Metodo 2 - Con modalità provvisoria funzionante]
Un metodo alternativo per rimuovere facilmente il file eseguibile dall'esecuzione automatica può essere quello di usare CCLEANER (se è già installato) scegliendo il menù "Strumenti", poi "Avvio" e infine cancellando la riga che contiene l'eseguibile in modo da escluderlo dal successivo avvio.
Nel caso in cui non bastasse la semplice eliminazione del file si può passare ad una azione più radicale utilizzando l'opzione "Ripristina di Configurazione di Sistema" presente in Windows XP, Vista e Seven. In questo caso basta tornare indietro di qualche giorno quando si ritiene che il PC non fosse ancora infetto.
N.B. Naturalmente per eliminare "fisicamente" il virus bisogna anche cancellare il file responsabile del malfunzionamento (avendo l'accortezza di segnarsi il percorso completo) e non soltanto limitarsi alla sola esclusione del file dalla esecuzione automatica, altrimenti il malware risulta inattivo ma comunque presente del disco fisso!
Inoltre ho letto di varianti più tenaci che si attivano già in "modalità provvisoria", tuttavia non avendo ancora affrontato tali varianti posso solo suggerire i metodi che adotterei (già utilizzati per altri virus) e indicati in questo approfondimento:
E-virus (parte III): Ho il PC infetto! Adesso come lo pulisco?.
[Metodo 3 - Con modalità provvisoria funzionante]
Scaricare CCleaner e Malwarebytes e copiarli su una chiavetta USB da inserire a PC avviato.
Avviare il PC in “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI” tenendo premuto il tasto “F8” in fase di accensione.
Giunti al Prompt dei Comandi premere CTRL+ALT+CANC per avviare il Task Manager .
Inserire la chiavetta USB con i software precedentemente caricati.
Andare su File – Nuova Attività Esegui.... Individuare la memoria USB ed installare entrambi i programmi
Installare CCleaner avviarlo ed effettuare una pulizia accurata dei file di sistema. Poi analizzare il Registro e procedere alla riparazione delle voci trovate. In Strumenti – Avvio disattivare TUTTE le voci.
Installare e Lanciare Malwarebytes (sempre da Nuova Attività Esegui... e cercando nella cartella Programmi il relativo percorso) ed effettuare una scansione completa. Al termine riavviare il PC.
Una volta eliminata la minaccia il desktop ritorna normale e permette di effettuare una “pulizia” più approfondita.
Disattivare il Ripristino Configurazione di Sistema(XP)/Protezione Sistema(Vista, 7, 8) ed eliminare tutti i punti di ripristino creati in precedenza – Passo fondamentale per evitare che il virus riesca a riproporsi in quanto presente in qualche file di ripristino
Individuare la cartella dei file temporanei :
XP – C:\Document and Settings\<nome utente>\Impostazioni Locali\Temp
Vista, 7, 8 – C:\Utenti\<nome utente>\AppData\Local\Temp
...ed eliminare TUTTI i files presenti
Svuotare il cestino immediatamente
Eseguire nuovamente CCleaner (Pulizia Files e Registro)
Eseguire Malwarebytes nuovamente – Scansione Completa
Riavviare
Eseguire nuovamente CCleaner e in Stumenti – Avvio riattivare le voci che si desiderano e riavviare. Il PC è ora pulito!
N.B. Naturalmente per eliminare "fisicamente" il virus bisogna anche cancellare il file responsabile del malfunzionamento (avendo l'accortezza di segnarsi il percorso completo) e non soltanto limitarsi alla sola esclusione del file dalla esecuzione automatica, altrimenti il malware risulta inattivo ma comunque presente del disco fisso!
Inoltre ho letto di varianti più tenaci che si attivano già in "modalità provvisoria", tuttavia non avendo ancora affrontato tali varianti posso solo suggerire i metodi che adotterei (già utilizzati per altri virus) e indicati in questo approfondimento:
E-virus (parte III): Ho il PC infetto! Adesso come lo pulisco?.
[Metodo 3 - Con modalità provvisoria funzionante]
Scaricare CCleaner e Malwarebytes e copiarli su una chiavetta USB da inserire a PC avviato.
Avviare il PC in “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI” tenendo premuto il tasto “F8” in fase di accensione.
Giunti al Prompt dei Comandi premere CTRL+ALT+CANC per avviare il Task Manager .
Inserire la chiavetta USB con i software precedentemente caricati.
Andare su File – Nuova Attività Esegui.... Individuare la memoria USB ed installare entrambi i programmi
Installare CCleaner avviarlo ed effettuare una pulizia accurata dei file di sistema. Poi analizzare il Registro e procedere alla riparazione delle voci trovate. In Strumenti – Avvio disattivare TUTTE le voci.
Installare e Lanciare Malwarebytes (sempre da Nuova Attività Esegui... e cercando nella cartella Programmi il relativo percorso) ed effettuare una scansione completa. Al termine riavviare il PC.
Una volta eliminata la minaccia il desktop ritorna normale e permette di effettuare una “pulizia” più approfondita.
Disattivare il Ripristino Configurazione di Sistema(XP)/Protezione Sistema(Vista, 7, 8) ed eliminare tutti i punti di ripristino creati in precedenza – Passo fondamentale per evitare che il virus riesca a riproporsi in quanto presente in qualche file di ripristino
Individuare la cartella dei file temporanei :
XP – C:\Document and Settings\<nome utente>\Impostazioni Locali\Temp
Vista, 7, 8 – C:\Utenti\<nome utente>\AppData\Local\Temp
...ed eliminare TUTTI i files presenti
Svuotare il cestino immediatamente
Eseguire nuovamente CCleaner (Pulizia Files e Registro)
Eseguire Malwarebytes nuovamente – Scansione Completa
Riavviare
Eseguire nuovamente CCleaner e in Stumenti – Avvio riattivare le voci che si desiderano e riavviare. Il PC è ora pulito!
Aggiornamento 26-07-2012:
Come già indicato vi sono numerose varianti di questo malware. Ad esempio ho recentemente incontrato la variante del virus che mostra una videata, con il logo della "Polizia di Stato", simile a questa:
In questo caso specifico il file in avvio automatico era "ctfmon.lnk" (i file con estensione .lnk sono dei collegamenti o link ad altri file e ne agevolano l'apertura o esecuzione). Esso puntava al file eseguibile "C:\windows\system32\rundll32.exe" il quale mandava in esecuzione il malware. In questo caso si trattava probabilmente di una variante di "Trojan.Win32.FakeGdf" e gli effetti indesiderati erano (task bar inutilizzabile e alcuni servizi di sistema disabilitati). Anche dopo la rimozione dall'Avvio automatico ci sono stati problemi nella riparazione di alcuni servizi (in particolare Windows Update). L'utilizzo di Malwarebytes Anti-Malware ha permesso di scoprire e rimuovere automaticamente ulteriori servizi "malware" che erano stati installati sempre in avvio automatico. Un altro software antivirus da utilizzare con varianti "resistenti" è sicuramente Combofix. In genere il nome del file presente in "avvio automatico" è un nome casuale numerico (ad esempio in un altro caso era: 0.751225951242083.exe.lnk nome quantomeno sospetto!).
Aggiornamento 15/02/2013:
L'Europol ha sgominato la banda di cybercriminali che aveva progettato (almeno) un tipo di malware RAMSOMWARE (con parecchie varianti). Fonte: Europol
Aggiornamento 17/03/2013:
Chi ha il PC infettato dalla variante Tojan-Ransom-.Win32.Rannoh la quale cifra alcuni files in modo che non possano essere più legittimamente aperti e modificati, può tentare di recuperarli utilizzando un software apposito realizzato da Kaspersky. Si tratta di RannohDecryptor.exe ed è uno strumento che tenta di decifrare i file affetti da questa variante di ransomware.
Aggiornamento 30/04/2013:
a) Il software antimalware HitmanPro.Kickstart possiede un modulo specifico contro il Ransomware della Polizia. E' possibile creare una chiavetta USB avviabile con HitmanPro.Kickstart ed utilizzare per disinfettare il PC.
Aggiornamento 15/02/2013:
L'Europol ha sgominato la banda di cybercriminali che aveva progettato (almeno) un tipo di malware RAMSOMWARE (con parecchie varianti). Fonte: Europol
Aggiornamento 17/03/2013:
Chi ha il PC infettato dalla variante Tojan-Ransom-.Win32.Rannoh la quale cifra alcuni files in modo che non possano essere più legittimamente aperti e modificati, può tentare di recuperarli utilizzando un software apposito realizzato da Kaspersky. Si tratta di RannohDecryptor.exe ed è uno strumento che tenta di decifrare i file affetti da questa variante di ransomware.
Aggiornamento 30/04/2013:
a) Il software antimalware HitmanPro.Kickstart possiede un modulo specifico contro il Ransomware della Polizia. E' possibile creare una chiavetta USB avviabile con HitmanPro.Kickstart ed utilizzare per disinfettare il PC.
b) Un nuovo RANSOMWARE Trojan.ArchiveLock.20 (Dr.Web) colpisce soprattutto le reti aziendali infettando il sistema e rimanendo invisibile. Una volta attivato a distanza, il malware cifra e comprime con WinRAR numerosi file attraverso password complesse e poi mostra una schermata (che blocca l’interfaccia) con le istruzioni per riavere i propri dati in cambio di denaro. Inoltre il ransomware può cancellare gli eventuali backup presenti nel sistema.
Aggiornamento 17/07/2013:
Anche gli Apple MAC OS X sono bersagliati dal Ramsomware (Fonte Malwarebytes).
Aggiornamento 10/10/2013
Anche la software house PANDA security (produttrice di antivirus) ha realizzato un tool specifico per il "Virus Polizia" si chiama PANDA RescueDISK. E' un file con estensione .ISO (ovvero è l'immagine di un CD) e deve essere masterizzato su un CD e fatto partire al boot di windows.
Aggiornamento 14/10/2013
Questo tipo di ransomware è conosciuto anche come Trojan:Win32.Urausy e può essere individuato ed eliminato ad esempio attraverso Microsoft Security Essential.
La software house BitDefender, produttrice di Antivirus, ha creato gratuitamente uno specifico Removal Tool (Vedi: "How to remove FBI Ransomware infection").
Aggiornamento 02/12/2013
TrendMicro ha rilasciato un removal tool gratuito appositamente studiato per rilevare e rimuovere i software dannosi di tipo ransomware: TrendMicro AntiRansomware Tool 3.0
Aggiornamento 07/05/2014
Android-Trojan.Koler.A è un tipo di Ramsomware che attacca gli Smartphone e i Tablet Android. Usa il GPS per comprendere dove si trova la vittima e simulare le autorità locali più plausibili. Android-Trojan.Koler.A non è pericoloso, in quanto non blocca completamente il dispositivo, ma tiene solo in primo piano una finestra del browser con un messaggio minaccioso. Bogdan Botezatu di Bitdefender spiega che il malware si può disinstallare manualmente con la procedura standard, precisando - "ma solo se l'icona dell'applicazione è nella prima riga. Altrimenti non si avrebbe il tempo necessario di trascinarla sull'icona per disinstallare".
[Fonte] ArsTecnica
Il Blog Malware don't need Coffee illustra con dovizia di particolari la tecnica di propagazione e il funzionamento di questo tipo di Ramsomware.
[Fonte] Malware don't need Coffee: Police Locker land on Android Devices
Aggiornamento 28-07-2014:
Kaspersky ha analizzato il funzionamento del virus Android-Trojan.Koler.A è ne ha realizzato un report che ne illustra il comportamento e le tecniche di infezione.
[Fonte] Securlist
Aggiornamento 05/06/2014
ESET ha scoperto un nuovo pericoloso tipo di malware (Android/Simplocker.A) che riesce a cifrare i dati/file contenuti nelle schede SD di espansione dei dispositivi Android e successivamente chiede un "riscatto" per la decifrazione.
[Fonte] ESET Blog
Aggiornamento 27/10/2014:
Adaptivemobile ha analizzato una nuova variante del ransomware per Android (Koler) che si diffonde attraverso messaggi SMS.
[Fonte] Adaptivemobile: "Koler 'Police' Ransomware Gets its Worm On"
Approfondimenti:
🏴☠️Ransomware - WannaCry - come proteggersi e recuperare i dati.
Aggiornamento 17/07/2013:
Anche gli Apple MAC OS X sono bersagliati dal Ramsomware (Fonte Malwarebytes).
Fortunatamente la soluzione è semplice, basta fare il reset del browser SAFARI.
Aggiornamento 10/10/2013
Anche la software house PANDA security (produttrice di antivirus) ha realizzato un tool specifico per il "Virus Polizia" si chiama PANDA RescueDISK. E' un file con estensione .ISO (ovvero è l'immagine di un CD) e deve essere masterizzato su un CD e fatto partire al boot di windows.
Aggiornamento 14/10/2013
Questo tipo di ransomware è conosciuto anche come Trojan:Win32.Urausy e può essere individuato ed eliminato ad esempio attraverso Microsoft Security Essential.
La software house BitDefender, produttrice di Antivirus, ha creato gratuitamente uno specifico Removal Tool (Vedi: "How to remove FBI Ransomware infection").
Aggiornamento 02/12/2013
TrendMicro ha rilasciato un removal tool gratuito appositamente studiato per rilevare e rimuovere i software dannosi di tipo ransomware: TrendMicro AntiRansomware Tool 3.0
Aggiornamento 07/05/2014
Android-Trojan.Koler.A è un tipo di Ramsomware che attacca gli Smartphone e i Tablet Android. Usa il GPS per comprendere dove si trova la vittima e simulare le autorità locali più plausibili. Android-Trojan.Koler.A non è pericoloso, in quanto non blocca completamente il dispositivo, ma tiene solo in primo piano una finestra del browser con un messaggio minaccioso. Bogdan Botezatu di Bitdefender spiega che il malware si può disinstallare manualmente con la procedura standard, precisando - "ma solo se l'icona dell'applicazione è nella prima riga. Altrimenti non si avrebbe il tempo necessario di trascinarla sull'icona per disinstallare".
[Fonte] ArsTecnica
Il Blog Malware don't need Coffee illustra con dovizia di particolari la tecnica di propagazione e il funzionamento di questo tipo di Ramsomware.
[Fonte] Malware don't need Coffee: Police Locker land on Android Devices
Aggiornamento 28-07-2014:
Kaspersky ha analizzato il funzionamento del virus Android-Trojan.Koler.A è ne ha realizzato un report che ne illustra il comportamento e le tecniche di infezione.
[Fonte] Securlist
Aggiornamento 05/06/2014
ESET ha scoperto un nuovo pericoloso tipo di malware (Android/Simplocker.A) che riesce a cifrare i dati/file contenuti nelle schede SD di espansione dei dispositivi Android e successivamente chiede un "riscatto" per la decifrazione.
[Fonte] ESET Blog
Aggiornamento 27/10/2014:
Adaptivemobile ha analizzato una nuova variante del ransomware per Android (Koler) che si diffonde attraverso messaggi SMS.
[Fonte] Adaptivemobile: "Koler 'Police' Ransomware Gets its Worm On"
Approfondimenti:
🏴☠️Ransomware - WannaCry - come proteggersi e recuperare i dati.
E-virus (parte I): Come riconoscere i sintomi di un E-INFLUENZA ovvero quando il nostro PC si è preso un E-VIRUS?
E-virus (parte II): Forse il PC è infettato... come accertarne la presenza?
E-virus (parte III): Ho il PC infetto! Adesso come lo pulisco?
E-virus (parte IV): Prevenire infezioni da Virus e malware
E-virus nuove modalità di infezione e nuovi obiettivi. (Cryptolocker e CryptoDefense)
PRIVACY E SOCIAL NETWORK: consigli per un uso consapevole sui rischi che puoi correre!
P.S.: se non riesci a risolvere seguendo queste indicazioni lasciami un commento indicando gli ulteriori problemi riscontrati.
E-virus (parte II): Forse il PC è infettato... come accertarne la presenza?
E-virus (parte III): Ho il PC infetto! Adesso come lo pulisco?
E-virus (parte IV): Prevenire infezioni da Virus e malware
E-virus nuove modalità di infezione e nuovi obiettivi. (Cryptolocker e CryptoDefense)
PRIVACY E SOCIAL NETWORK: consigli per un uso consapevole sui rischi che puoi correre!
P.S.: se non riesci a risolvere seguendo queste indicazioni lasciami un commento indicando gli ulteriori problemi riscontrati.
©RIPRODUZIONE RISERVATA