Computer bloccato dalla polizia postale [Aggiornato x7]

In questo articolo parleremo di un tentativo di truffa ai danni di quelle persone che involontariamente sono disinformate in materia di virus e truffe. Ho voluto realizzare questo articolo perchè durante una delle solite assistenze che svolgo mi sono imbattuto faccia a faccia con questo virus.

Il virus in questione si presenta all’avvio del computer, nascondendo il desktop, bloccando l’uso del task manager e visualizzando come unica finestra una pagina in cui è presente, riprodotto molto fedelmente il logo della Cnaipic(Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) e avvisando l’utente che la polizia postale ha bloccato il suo pc perchè era entrato in siti pedopornografici.

Adesso vi chiederete : perchè è un tentativo di truffa?
La risposta è semplice: viene chiesto un pagamento di 100 € (da effettuare tramite carta di credito) per lo sblocco del computer!

Ma vi rendete conto! La polizia postale vi blocca il computer dopo essere andati in siti pedopornografici (e quindi aver commesso un reato) e vi chiede 100 € per lo sblocco del pc!
Va bene che l’Italia ha i suoi problemi economici, ma dai! a questo livello non si arriverà mai.

E’ come se commettessi un reato e le forze dell’ordine mi chiedessero di pagare una quota per essere discolpato! Allora visto che ci siamo uccidiamo qualcuno e poi paghiamo in contati!  xD
Rimozione del virus

Per rimuovere il virus, basterà riavviare il pc in modalità provvisoria (all’avvio basta premere F8), andare su Esecuzione Automatica ed eliminare il file. Dopo aver aggiornato il nostro antivirus una scansione non fa male!

Alternativa (23/03/12)

(Non sai cosa è una distro di Linux? Nessun problema! Ho fatto un articolo a riguardo!)

Procuratevi una qualsiasi distro di Linux (es. Ubuntu) , cioè andate sul sito della distro e scaricatela. Masterizzate e inserite il CD/DVD nel lettore. Riavviate ed entrate nel BIOS. Impostate il CD/DVD come boot principale di avvio. Salvate ed uscite. Riavviate e dopo aver avviato il cd all’avvio del computer , utilizzatelo in modalità LIVE (cioè quella che ci permette di provare il sistema senza installare nessun file sull’HDD). Dopo aver montato l’HDD e aver individuato la cartella “esecuzione automatica” eliminiamo il file sospetto.
Riavviamo windows normalmente.

Aggiornamento: Riabilitare il taskmanager (29/03/12)

(Fonte: un nostro utente, Belze)

Un nostro utente ci ha segnalato che il virus disabilita il taskmanger e per poter abilitarlo dopo la rimozione del virus stesso bisogna andare su:

(Start / Esegui : digita “regedit” per aprire il registro di sistema )

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entVersionPoliciessystem –> DisableTaskMgr e impostate il valore a 0.Dovrebbe trovarsi su 1.

Maggiori dettagli sul virus (5/04/12)

Il blocco del computer è generato dal virus Trojan.Win32.FakeGdf.A che si copia con il nome WPBT0.DLL nella cartella Temp di “impostazioni locali” dell’utente:
%user%IMPOSTAZIONI LOCALITEMPWPBT0.DLL
Quindi

  • Nome del file : WPBT0.DLL
  • Esecuzione automatica: dal menu Avvio (%user%Menu AvvioProgrammiEsecuzione automaticawpbt0.dll.lnk

Il Trojan.Win32.FakeGdf.A per essere eseguito ad ogni avvio del computer, crea il file wpbt0.dll.lnk nel menu di avvio di Windows. Il file wpbt0.dll.lnk esegue il programma Rundll32.exe di Windows per caricare la DLL del malware:

C:WINDOWSSYSTEM32RUNDLL32.EXE %user%IMPOST~1TEMPWPBT0.DLL,SUPPS

Sono state riscontrate nuove varianti del Trojan.Win32.FakeGdF che usano un nome casuale del file (.exe) con la seguente struttura:

0.[numero casuale].exe

ecco alcuni esempi:

  • 0.8255788870080162.exe
  • 0.08359725163032683.exe

È possibile rimuovere manulmente il virus con i seguenti passi:

  • Cancellare il file: %user%Menu AvvioProgrammiEsecuzione automaticawpbt0.dll.lnk
  • Cancellare il file: %user%IMPOSTAZIONI LOCALITEMPWPBT0.DLL

Per le altre varianti del Trojan.Win32.FakeGdF:

  • Cancellare il file: %user%Menu AvvioProgrammiEsecuzione automatica.[numero casuale].exe.lnk
  • Cancellate il file: %user%IMPOSTAZIONI LOCALITEMP.[numero casuale].exe

dove %user% :

  • c:documents and settings<nome utente> per Windows 2000/Xp e Server 2003
  • c:users<nome utente> per Windows Vista/7 e Server 2008

(Dettagli teorici)

Una volta che siete stati contagiati, il virus modifica alcuni file di sistema che avviano il processo “explorer.exe” mettendosi al suo posto. In parole povere explorer.exe è quello che carica la barra con il menù avvio,le icone del desktop a altre componenti fondamentali. Il virus in questo modo, con questa mossa strategica non solo si avvia all’avvio del computer ma non permetterà al sistema di utilizzare gli strumenti per sconfiggerlo.

Alternativa  (5/04/12)

Bisogna andare nella cartella C:WINDOWSSYSTEM32 e cercare il file “ch8l0.exe”, rinominarlo o eliminarlo.

Una volta eseguito questo passaggio basta riavviare il PC anche in modalità provvisoria o normale e far eseguire una pulizia con ComboFix (o con un antivirus pur che sia aggiornato) per eliminare altri file dannosi.
Nel caso non riusciate ad entrare in modalità provvisoria, utilizzate una distro di linux per poter entrare nell’HDD(Articolo).

Aggiornamento (8/05/12)

(Fonte: community McAfee – grazie alla segnalazione di un utente, Andi)

La nuova variante di questo virus è in stile Ransomware! Vi trovate con tutti file bloccati? Tipico dei virus Ransomware!
Cioè ogni file ha come prefisso “locked-”, nome del file, estensione originaria del file e un ulteriore estensione da noi non riconosciuta? Bhe, il file è stato criptato con una chiave a noi sconosciuta.

Esiste un modo per poter recuperare il file ma per poter riuscire nell’impresa bisogna avere una copia identica del file bloccato. Cercate nel vostro HDD dove fate i backup, cercate nell’HDD tramite un programma per recuperare i file cancellati se pensate di recuperare una copia cancellata, cercate di farvelo mandare tramite email nel caso l’avrete mandato a qualche cliente o amico…. l’importante è che avete una copia del file. Solo in questo modo (per il momento, poi non si sa se in futuro si riuscirà a trovare una soluzione migliore) si può recuperare il file.

  • Cliccate su “Continue” e selezionate per primo il file originale. Poi selezionate il file bloccato. Infine aspettate che il programma finisca la fase di “Decriptaggio”. Andando nella cartella dove si trovano i file, andrete a trovare il file decriptato.

Per ulteriori chiarimenti commentate.

Aggiornamento (11/06/12)

Scaricare e masterizzare Kaspersky Rescue Disk su un cd/dvd.
Dopo aver masterizzato il file .iso scaricato, con un programma di masterizzazione (es. Nero oppure imageburn), lasciare il cd nel lettore, riavviare il pc.

All’avvio premere il tasto che leggete sullo schermo per entrare nel pannello della bios. Andare nel menu Boot Prioriry e mettere il lettore cd/dvd come dispositivo primario di avvio. Salvare e uscire.

Al riavvio partirà in automatico il cd con Kaspersky.
Terminato il caricamento, scaricare prima l’ultima versione delle definizioni dei virus e poi avviare una bella scansione.
Dopo qualche oretta, eliminate i file infetti, riavviate il computer e tornate al vostro lavoro!

Aggiornamento (20/06/12)

La modalità provvisoria non funziona?  Il pc si blocca dentro la modalità provvisoria?

Hai provato in tutti i modi ma il virus non vuol andare via? Prova quest’altra soluzione…tentar non nuoce! Spesso in base alla variante del virus bisogna procedere in un certo modo piuttosto che in un altro. Questo aggiornamento è rivolto sia al Virus Della Polizia Postale Italiana che quella Tedesca.
Per poter rimuovere il virus bisogna avviare il pc da PROMPT DEI COMANDI e accedere al registro di sistema. Come fare? Avviamo il pc e premiamo ripetutamente F8 e scegliamo la modalità con prompt dei comandi.
Vi allego un video guida che vi spiega quello che dovrete fare ma fate attenzione!

(Il video non è nostro.)

Nel caso in cui lo streaming del video non funzioni ecco cosa fare:

  • Avviate il computer e premete F8. Scegliete la modalità provvisoria con Prompt dei comandi
  • Digitate regedit per aprire il registro di sistema
  • Andate su HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon e modificate la chiave Shell
  • In Value Data vedrete tutto un percorso che fa riferimento al file incriminato! Copiatelo perchè da esso succesivamente risalirete alla posizione del virus! Tornando a noi, al posto del percorso che punta al file maligno mettiamo Explorer.exe
  • Usciamo dal registro di sistema e digitiamo sempre nel prompt explorer ; cosi facendo spunterà la barra di avvio col nostro amato Start! Apriamo risorse del computer e inseriamo la posizione del file(in precedenza copiata) nella barra degli indirizzi. Eliminate il file incriminato. Svuota cestino!
  • Riavviate il computer e tutto dovrebbe partire normalmente. Ovviamente è consigliata una bella scansione.

La tipica schermata di questo virus/truffa:

(Questo articolo è compatibile con il virus della Guardia di finanza!)

Alcune informazioni interessanti su virus simili (Il virus che chiede il riscatto!)

Un saluto a tutti da MakApp.net

Salvo Lentini

Amo l'informatica in tutte le sue forme e sfaccettature! I campi dell'informatica che maggiormente mi affascinano sono quello della sicurezza e della programmazione. Realizzo siti internet e fornisco assistenza tecnica .

You may also like...

544 Responses

  1. Francesco scrive:

    sul mio Mac mi è apparsa una pagina di chrome “Attenzione il suo computer personale è stato bloccato, tutti i suoi dati sono stati reggistrati e crittografati” questo messaggio era riportato + volte in colonna. per riavviarlo ho dovuto staccare la spina. ora mi funziona tutto. secondo voi si tratta del virus?

  2. Cristian scrive:

    a me è venuta fuori non una schermata ma una finistrella che mi diceva che mi bloccavano il pc (non c’era alcun simbolo delle forze dell’ordine) e che il mio traffco sarebbe stato criptografato…ma non ho visitato alcun sito illegale

  3. Matteo scrive:

    Io ne ho una schermata diversa,ma sempre con la polizia di stato che mi dice di pagare 100€ tramite paysafecard .

    è sempre un fake?

    Mi è venuta fuori solo 1 volta, ma il computer non si è bloccato…

Rispondi