Questo tutorial è dedicato ad un problema di sicurezza nocivo causato da un programma maligno che rappresenta la branca del ransomware del cybercrimine contemporaneo. Il termine menzionato sopra, ransomware, denota un’applicazione aggressiva studiata per estorcere denaro dalle sue vittime bloccando l’accesso al sistema operativo sotto false pretese.
Chiamate anche “blocca schermo”, queste applicazioni malware visualizzano messaggi ingannevoli quando una vittima avvia il suo computer, affermando di solito che esiste del contenuto illegale rilevato nel sistema. Tali oggetti corrotti sono rigidamente localizzati per poter apparire più autorevoli agli utenti compromessi che risiedono in parti diverse del globo. Un esempio classico di questa tecnica è rappresentato dal malware Polizia di Stato, noto anche come frode Polizia Penitenziaria or Polizia Postale.
I metodi di proliferazione utilizzati dagli autori di questa infezione si affidano predominantemente agli exploit kit, ossia servizi maligni turnkey che permettono a individui remoti di approfittare delle vulnerabilità software (Java obsoleto, Adobe reader, ecc.) sulle macchine delle potenziali vittime.
L’attacco viene eseguito in silenzio prima che di solito sia troppo tardi per ogni misura preventiva quando appare la schermata blocca schermo. Sotto viene dimostrato l’aspetto e alcune delle attività di base di questo complesso virus. Finge di agire in rappresentanza del corpo di polizia italiano, contenendo il seguente messaggio di notifica:
“Polizia di Stato
Unità di Analisi sul Crimine Informatico
È stata rivelata un’attività illegale, il sistema operativo è stata bloccata per una violenza delle leggi della Repubblica Italiana! È stata fissata una seguente violazione: dal tuo indirizzo IP era eseguito un accesso alle web-pagine contenenti la pornografia, la pornografia minorile, zoofilia, nonchè la violenza dei bambini.”
In parole povere, dice che il sistema operativo è stato bloccato a causa di una violazione delle leggi della Repubblica italiana. Nello specifico, l’utente viene accusato di aver acceduto a contenuto per adulti proibito. Per evitare la persecuzione e sbloccare il computer, viene suggerito alla vittima di pagare una multa di € 100 la quale deve essere inviata tramite servizi prepagati Ukash o paysafecard.
I truffatori non hanno scelto decisamente per caso questo principio per l’elaborazione dei pagamenti: i sistemi di pagamento elettronico citati sopra forniscono maggiore anonimità rispetto le transazioni su carta di credito. Inoltre, per apparire più reale e legittimo, il malware visualizza alcuni dettagli del sistema operativo infettato, inclusa la versione del Web browser, la localizzazione e l’indirizzo IP.
Blocca schermo del virus Polizia di Stato
Un’altra variante diffusa del virus Polizia di Stato è pensata per apparire leggermente più tecnologica: la schermata di blocco contiene un’area che mostra lo streaming video di webcam, indirizzo IP, sistema operativo e nome dello ISP. Il messaggio di notifica recita:
“Polizia Penitenziaria
Polizia di Stato
ATTENZIONE! Il Suo computer è bloccato a causa di uno o più motivi di cui sotto.”
In questo caso, l’utente viene ingiustamente accusato di aver violato un certo numero di leggi italiane in elenco, inclusa la violazione del copyright e la visualizzazione di contenuto per adulti proibito. Il totale della “multa” e i metodi di pagamento sono gli stessi come nell’altra variante del ransomware descritta sopra.
Il ransomware Polizia di Stato ransomware inoltre pone una seria preoccupazione per la privacy degli utenti contaminati perché ovviamente si impossessa di cose piuttosto intime come la webcam così come informazioni utente strettamente personali come la precisa posizione geografica, la versione del sistema operativo e l’indirizzo IP. Come se non bastasse, il virus impedisce agli strumenti di sicurezza di entrare in esecuzione sul PC infettato, rendendo quindi la rimozione altamente problematica. La routine descritta sotto mostra come si può aggirare la persistenza del malware Polizia di Stato per disinstallare in modo efficiente questo fastidio.
Rimuovere il virus Polizia di Stato con un pulitore automatico
Dato che questo ransomware vi impedisce di accedere alla vostro sistema in modo regolare, l’uso del software di sicurezza è possibile solo in Modalità provvisoria con rete. Quindi, prima di applicare veramente una soluzione antivirus è consigliabile seguire questi passaggi:
- Se il vostro computer è acceso, spegnetelo (in realtà, basta un riavvio se potete accedere al pulsante Windows Start, ma il ransomware probabilmente non lo permette). Dopo aver premuto il pulsante di alimentazione per accendere nuovamente il PC, continuate a premere F8 finché non vedrete il menu Opzioni di avvio avanzate. Utilizzate le frecce direzionali sulla tastiera per evidenziare l’entrata chiamata Modalità provvisoria con rete e premete Invio.
- Accedete al account utente infettato dal ransomware e seguite i passaggi sotto:
- Scaricate e installate il software di rimozione Polizia di Stato. Dopo aver lanciato la soluzione, premete il pulsante Esegui la Scansione del Computer Adesso!
-
- Lo strumento presenterà i risultati dell’analisi, riportando il malware rilevato. Selezionate l’opzione Ripara le Minacce per rimuovere tutte le infezioni trovate. Questo porterà allo sterminio completo del ransomware considerato.
Nota: In caso non possiate accedere alla Modalità provvisoria con rete a causa di questo virus, trovate un altro metodo di pulizia basato sulla funzionalità Ripristino configurazione di sistema.
Sbarazzarsi del ransomware Polizia di Stato usando il Ripristino configurazione di sistema
La funzionalità nativa di Windows chiamata Ripristino configurazione di sistema vi permette di ritornare allo stato in cui si trovava il sistema operativo in una data precedente. Da notare che potete beneficiare di questa funzionalità solo se è stata precedentemente attivata. In questo caso, procedete con l’eliminazione del virus.
- Spegnete il vostro computer e, quando lo riaccendete, premete continuamente F8 fino ad accedere al Menu opzioni avanzate di Windows. Selezionate la Modalità provvisoria con prompt dei comandi e premte Invio.
- Non appena appare la schermata di Prompt dei comandi, digitate \windows\system32\restore\rstrui.exee premete Invio. Assicurate di farlo in fretta in modo che il virus Polizia non abbia la possibilità di caricare.
- Vedrete la finestra di Ripristino configurazione di sistema. Utilizzate questa funzionalità per ripristinare il sistema operativo ad un punto precedente quando non era ancora stato colpito dal virus Polizia di Stato. Adesso dovreste essere a posto.
Controllare possibili resti dell’infezione Polizia di Stato
In caso abbiate scelto la tecnica di pulizia manuale, alcuni frammenti del virus potrebbero essere rimasti come oggetti nascosti nel sistema operativo o come voci di registro. Per assicurarsi che non ci siano più componenti nocivi del ransomware Polizia di Stato, analizza del vostro computer con una suite di sicurezza malware affidabile.