Disclaimer per i contenuti del Blog


DISCLAIMER:Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità . Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L'autore non è responsabile per quanto pubblicato dai lettori nei commenti ad ogni post. Verranno cancellati i commenti ritenuti offensivi o lesivi dell’immagine o dell’onorabilità di terzi, di genere spam, razzisti o che contengano dati personali non conformi al rispetto delle norme sulla Privacy. Alcuni testi o immagini inserite in questo blog sono tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo via email. Saranno immediatamente rimossi. L'autore del blog non è responsabile dei siti collegati tramite link, del loro contenuto che può essere soggetto a variazioni nel tempo ne degli eventuali danni derivanti dall'utilizzo proprio od improprio delle informazioni presenti nei post.

venerdì 11 ottobre 2013

Rimozione Ransomware "Arma dei carabinieri"

Nelle ultime settimane ho notato un curioso aumento di macchine colpite da questo Ransomware (dalla parola inglese ransom, riscatto) che blocca il computer colpito e richiede il pagamento di una multa a seguito di presunti illeciti perpetrati dall'utente.
Questa versione (il file eseguibile è lungo 72192 bytes ed è riconosciuta da NOD32 come una variante di Win32Kryptik.BMBA trojan horse) deve avere qualche piccolo problema in quanto non è sempre in grado di visualizzare l'immagine che serve a terrorizzare l'utente (fig.1, l'immagine è il totale dello scroll del video ) ma si presenta spesso come una schermata bianca che copre l'intero schermo senza dare all'utente la possibilità di fare alcuna operazione (anche il task manager è disabilitato).

Fig.1
Se la schermata del vostro PC è bianca o uguale a quella di fig.1 procedete come di seguito per la rimozione del malware (l'esempio è relativo a Windows XP Pro) :

riavviare il computer e premere ripetutamente il tasto F8 fino alla comparsa del Menu opzioni avanzate di Windows, selezionare Modalità provvisoria con prompt dei comandi e premere INVIO/ENTER...

Fig.2
... accedere digitando l'eventuale password legata all'utente selezionato...

Fig,3
...per avere accesso alla console dei comandi. Al prompt digitare REGEDIT seguito dal tasto INVIO/ENTER

Fig.4
cercare nella sezione di sinistra la chiave

   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

e verificare se nella sezione di destra esiste un valore shell come da fig.4. Quel valore è stato inserito dal malware, serve a farlo eseguire al login dell'utente e può tranquillamente, anzi deve, essere rimosso facendo click con il tasto destro su shell e selezionando Elimina (non prima di essersi annotati il percorso del file indicato dopo explorer.exe), quindi chiudere il REGEDIT, e dare il comando DEL "<percorso_del_file>" (i doppi apici vanno utilizzati quando un path contiene dei spazi) nel mio caso:
 
   DEL "c:\documents and settings\utente\dati applicazioni\data.dat".

Riavviare il sistema.

Per le altre versioni di questo malware sarà mia cura aggiornare il Post come avrò disponibili maggiori informazioni.

Nota del 15/10/2013: In alternativa è possibile utilizzare questo metodo.

Nessun commento:

Posta un commento