MELANI è il prodotto del partenariato tra l’Organo strategia informatica della Confederazione, l’Ufficio federale di polizia e la Fondazione SWITCH.MELANI è il prodotto del partenariato tra l’Organo strategia informatica della Confederazione, l’Ufficio federale di polizia e la Fondazione SWITCH.
"Bundespolizei Achtung! Ein Vorgang illegaler Aktivitäten wurde erkannt". Sovente vediamo il ransomware che colpisce gli utenti di Internet in Germania. Esso comunica che si é visionato pornografia e altre attività illegali. Il cavallo di Troia richiede il pagamento (100 euro) in cambio della chiave di sblocco. Si é invitati ad inviare denaro tramite Ukash o PaySafeCard. It also displays your IP, ISP, location and the version of web browser you're using to make you think you're in big trouble. Visualizza anche il vostro IP, ISP, la posizione e la versione di browser che state usando per intimorirvi. Il Trojan di ricatto blocca praticamente tutto, anche in modalità provvisoria,
"SUISA" (fig.2) Il messaggio pretende provenire dalla cooperativa degli autori ed editori di musica SUISA e accusa l'utente del computer di possedere brani musicali scaricati illegalmente sul proprio PC, richiesta fr. 75
"UKASH" (fig.3), "Guardia
finanza", il messaggio é in un italiano maltradotto, recita più o meno cosi:
"È stata fissata la seguente violazione: dal tuo indirizzo IP: ******** in seguito
ad un accesso alle web-pagine contenenti della pornografia. Nel tuo
computer sono stati trovati video-file contenenti pornografia e musica
scaricata illegalmente ecc.
scritto in rosso più sotto: Dalla posta elettronica é stata effettuata anche la
distribuzione di spam con contenuto terroristico, il blocco del computer serve a
troncare l'attività illegale da parte tua.
per togliere il blocco devi pagare una multa di 100 euro, hai due seguenti
varianti di pagamento: effettuare il pag. tramite l'ukash.
se il sistema segnalerà un errore, allora dovrai mandare il numero per la posta
elettronica Deposito@cyber-gdf-net.
Staccare o spegnere internet, controllare sempre Start, tutti i programmi, esecuzione automatica, ev.cancellare ciò che sembra sospetto(annotandone il percorso) per cancellazione completa
|
Microsoft Windows Defender Offline Beta
Windows Defender Offline Beta consente di rilevare e rimuovere malware e
software potenzialmente indesiderato,in modo particola se il PC non si
avvia più. Per ulteriori informazioni, visitare la seguente pagina Web
Microsoft: |
Pensi che il tuo PC abbia un virus?
Microsoft Safety Scanner è uno strumento di protezione scaricabile gratuitamente
che offre funzionalità di analisi su richiesta e consente di rimuovere virus,
spyware e altro malware. Funziona con il software antivirus esistente.Nota:
Microsoft Safety Scanner scade 10 giorni dopo il download. Per
eseguire nuovamente un'analisi con le ultime definizioni antimalware, scarica ed
esegui di nuovo Microsoft Safety Scanner.Microsoft Safety Scanner non
sostituisce l'utilizzo di un programma software antivirus in grado di garantire
una protezione continua.
lo si può scaricare a questo link
Microsoft Safety Scanner - Strumento gratuito in linea per la
Avviato PC in modalità provvisoria con rete(tasto )F8
Copiato il file setup MALAWAREBYTES e rinominato in cerca.exe (scegliere un nome
qualsiasi per non farlo riconoscere)
Installato, aggiornato, scansione, trovati, corretti OK ha funzionato
Riavviare
il computer è "Modalità provvisoria con prompt dei comandi".
che
dovrebbe portare il "menu Opzioni avanzate di Windows",
Mentre il computer si sta avviando
premere il "tasto F8" di continuo il
usare
i tasti freccia per spostarsi su "Modalità provvisoria con prompt dei comandi" e
premere il tasto Invio.
Aprire
l'Editor
del Registro di sistema di Windows utilizzando il comando Windows Digitando.
Individuare
le voci di registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Winlogon
Nel riquadro di destra selezionare la chiave del Registro di sistema denominata regedit e premere Invio.
L'editor del Registro di sistema si apre."
Shell"
Fare clic destro su questa chiave di registro e scegliere Modifica
per leggere,
il valore giusto che dovrebbe apparire é Explorer.exe, altri
valori creati dal virus potrebbero essere al posto di explorer.exe ("contacts.exe",
"jashla.exe" e "mahmud.exe), prendere nota di queste informazioni
complete del percorso perché ne avremo bisogno in seguito(esempio,
C:\Documents and setting\.....\Desktop\contacts.exe), rimuovere
e rimettere Explorer.exe.
Ora bisogna trovare le altre chiavi di registro intaccate dal virus, sempre nel
registro nel menu MODIFICA,TROVA, digitare il nome di cui si é preso nota (es.
contacts.exe). Trova successivo avviare la ricerca e cancellare (tasto destro
elimina) tutte le voci trovate nel registro di sistema e relative al file,
sempre trova successivo o F3 fino a che non ne trovi più.
Quando é terminato, chiudere il registro di sistema, al prompt dei comandi
digitare shutdown /r /t 0 e premere invio.
Controllare il PC con SUPERAntiSpyware Free Edition o altri come
Malwarebytes, Spybot Search & Destroy .
Altri files e valori di
registro associati al Bundespolizei:
File: [RANDOM]. Exe
I
valori del Registro di sistema:
HKEY_LOCAL_MACHINE \
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Shell = [RANDOM].
Exe"
HKEY_CURRENT_USER \ Software \
Microsoft \ Search Assistant \ ACMru \ 5603 "000 = [RANDOM]. Exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache
"[RANDOM]. Exe"
Il virus cambia continuamente forma, valori del registro nei quali può
risiedere(prendere sempre nota del percorso
C: \ Users \ [nome] \ AppData \
Roaming e mahmud.exe o altri exe, anche
in.......nome\Application Data
Esistono già altre forme tipo, ala
jashla/new/mahmud/3216515.exe, ed anche dei file PDF
QUELLO che blocca la MBR
Che i malware studiati per
prendere in ostaggio il PC fino al pagamento
di un riscatto
costituiscano la nuova tendenza del 2012?
Una volta aver compromesso un sistema,
Seftad.a
sovrascrive il
Master Boot Record
(MBR) con il proprio codice,
impedendo del tutto l'avvio del sistema
operativo.
All'accensione del PC, il virus
mostra unicamente una schermata di avvertimento nella quale il proprietario del
computer viene invitato ad immettere una password per poter procedere
Tale parola chiave può essere
richiesta visitando il sito
safe-data.ru,
controllato dai cyber-criminali, i quali richiedono in cambio
un riscatto da 100 $. Contrariamente a quanto
minacciato nella schermata, i dati sull'hard disk non sono realmente
crittografati: in linea di massima basta quindi collegare il disco ad un
PC "sano", oppure utilizzare un Live CD per poter accedere a tutti i
propri file. In alternativa, gli effetti del
malware possono essere contrastati ripristinando il Master Boot Record
tramite il supporto di installazione di Windows |