Il virus della Guardia di Finanza (0 della Polizia Postale, a seconda delle varianti) è tornato a mietere vittime e a “derubare” gli ignari internauti. La nuova versione è stata ben architettata, studiata nel migliore dei modi per consentire ai pirati informatici di prendere letteralmente il controlla totale del nostro sistema.
La nuova infezione virale non può essere debellata utilizzando le modalità classiche che si adottavano con leprecedenti versioni del malware: non è più sufficiente, quindi, riavviare Windows in modalità provvisoria e tanto meno terminare il processo infetto in esecuzione. Ad un utente inesperto l’unica soluzione per “liberare” il computer sembra essere,
purtroppo, proprio quella di pagare il riscatto da 100 euro (con modalità poco tracciabili e assolutamente non sicure) entro 72 ore dalla comparsa dell’infezione.
Non pagate quel riscatto!
Ovviamente si tratta di una cybertruffa ben architettata: la Polizia e la Finanza non si sognerebbero mai di “sequestrare” i PC degli utenti avanzando poi la richiesta di un riscatto per ridarne il controllo ai legittimi proprietari! Non bisogna quindi pagare nulla a meno di non voler regalare il numero della carta di credito ai criminali che si nascondono dietro al virus. Non è facile tenersi alla larga da questa minaccia. La nuova variante del virus, infatti, sfrutta alcune falle presenti nel plug-in Java: pertanto i sistemi con browser non aggiornati sono più vulnerabili degli altri e ricevono finte richieste di aggiornamento che in realtà sono dei vettori usati dal virus per diffondersi velocemente. Il PC può essere infettato anche navigando sul Web e cliccando sui banner che promettono nuovi software in regalo e contenenti un ingannevole tasto Download. Una volta che il virus si è insediata nel computer, il sistema verrà riawiato e comparirà una schermata con la nostra foto (scattata con la Webcam del PC, se presente), una foto del Presidente della Repubblica, il Logo di una delle Forze dell’ordine italiane e infine una sorta di sanzione da pagare, con tanto di motivazione, nella quale ci accusano della diffusione di materiale pornografico o della violazione di alcuni articoli della Costituzione.
Rimozione in corso
La procedura per rimuovere il virus ha una difficoltà variabile, in funzione del sistema operativo installato nel PC. In questa gui-
da analizzeremo le procedure di rimozione per i sistemi operativi più diffusi: Microsoft Windows XP, Vista, 7 e per gli ultimissimi Windows 8 e 8.1. È importante, inoltre, tenere sempre aggiornato il sistema operativo e tutti i software che usiamo quotidianamente installando le patch e gli update rilasciati dai produttori. Non bisogna mai dimenticare, inoltre, di aggiornare costantemente le firme del nostro antivirus (a tal proposito, leggi l’articolo di pagina 42) ed effettuare periodicamente una scansione del sistema cosi da bloccare ogni possibile focolaio di infezione!
Come rimuovere il virus della Guardia di Finanza o della Polizia Postale
Per eliminare il virus useremo uno strumento contenuto airintemo di Hiren’s Rescue Disk, una sorta di mini sistema operativo già configurato con tutti gli strumenti di ripristino. Ecco come usarlo al meglio.
Scarichiamo questo file Hirens.BootCD.15.2.zip. Quindi scompattiamolo in una qualsiasi cartella dell’hard disk. Al suo interno troveremo l’immagine in formato ISO di Hiren’s Boot CD.
Dobbiamo adesso masterizzare l’immagine di Hiren’s Rescue Disk su un CD vergine. Se usiamo Nero Burning Rom, dal menu Masterizzatore clicchiamo su Scrivi Immagine disco. Nella nuova schermata selezioniamo il file ISO, clicchiamo Apri e poi Scrivi.
Riawiamo il PC dal CD appena masterizzato: prima che appaia il logo di Windows premiamo F2 0 Canc (a seconda del modello di scheda madre) per accedere al BIOS. Impostiamo il boot da Boot devices priority (0 equivalente) e premendo Invio per confermare.
All’avvio di Hiren’s Boot CD ci ritroviamo davanti ad un elenco di voci: scorriamolo fino a selezionare Mini Windows XP e premiamo Invio per confermare la nostra scelta. Il computer si avvierà con una versione di Windows XP modificata che ci risulterà molto familiare.
Da HBCD Menu avviamo il file manager Menu Programs/Browser/File Manager/ Total Commander. A sinistra, posizioniamoci in C:l System Volume lnformation\_restore{XXXX}\RPX (al posto della X ci saranno una serie di lettere e numeri), a destra in C:\WINDOWS\system32\config.
In C:\System Volume Information\_ restore{XXXX} avremo una o più cartelle (nominate RP1, RP2 e così via) che rappresentano i punti di ripristino del sistema: scegliamone uno ed entriamo nella cartella con data di creazione più recente, ma sempre antecedente all’infezione.
Dalla cartella Snapshot copiamo i file SAM, SECURITY, SOFTWARE e SYSTEM, incolliamoli in C:\WINDOWS\sistem32\confige rinominiamoli cancellando la dicitura iniziale _REGISTRY_ MACHINE[_. Alla richiesta di sostituzione file clicchiamo OVERWRITE e riavviamo il sistema.
Disattiviamo l’antivirus installato nel PC il tool di rimozione Combofix, avviamolo e attendiamo che faccia il suo dovere. Al termine, scarichiamo anche ADWCleaner. Avviamolo e clicchiamo Scansione, quindi Pulisci.
II computer sembra pulito, ma è meglio essere sicuri: a questo proposito installiamo e avviamo CCleaner, quindi clicchiamo Avvia Pulizia. La procedura può durare anche parecchi minuti: una volta finita, chiudiamo il programma ed effettuiamo una scansione con un buon antivirus.
Vediamo adesso come accedere al rispristino configurazione di sistema di Windows Vista, 7 e 8 per rimuovere l’infezione del virus della Guardia di Finanza. Pochi clic e il nostro PC sarà di nuovo “libero”!
Per avviare il ripristino configurazione di sistema, premiamo ripetutamente F8 all’accensione del PC: ci troveremo davanti una schermata con un elenco di opzioni: scegliamo Ripristina il computer. Dopo alcuni secondi si aprirà la schermata.
Il sistema ci suggerirà un Ripristino consigliata selezioniamo Scegli un punto di ripristino diverso e dall’elenco di punti di ripristino individuiamone uno con data antecedente a quella in cui è avvenuta l’infezione del virus. Ultimata la procedura di ripristino, ii PC si riavvierà.
Come visto per Windows XP, eseguiamo una pulizia approfondita del sistema utilizzando le utility Combofix, ADWcleaner e CCleaner (seguiamo i Passi 5 e 6 del Macropasso B), avendo l’accortezza di disattivare temporaneamente eventuali antivirus installati nel sistema.
Accendiamo il computer, posizioniamoci con il mouse nell’angolo superiore destro, facendo apparire la Charm bare clicchiamo quindi su Impostazioni. Teniamo premuto sulla tastiera il tasto Shift di sinistra e clicchiamo su Arresta, scegliendo però l’opzione Riavvia il sistema.
Scegliamo l’opzione Risoluzione dei problemi e da Opzioni avanzate avviamo l’utility Ripristino del sistema. Scegliamo Avvio Avanzato. Il PC verrà riawiato. Nella successiva schermata selezioniamo l’account da ripristinare, ovviamente occorre inserire una eventuale password.
Ci troveremo davanti alia schermata di Ripristino configurazione di sistema, nella quale selezioniamo un punto di ripristino antecedente all’infezione del virus. Proseguiamo seguendo le istruzioni a video. La procedura durerà diversi minuti e alla fine ii PC verrà riavviato.
Finalmente abbiamo rimosso il virus della Guardia di Finanza o della Polizia Postale