Ancora un codice nocivo in circolazione che blocca il computer e richiede un pagamento

La Centrale d'analisi e prevenzione per la sicurezza dell'informazione della confederazione è stata informata che al momento circola un codice nocivo che blocca tutte le funzioni del PC. Una finestra si apre sullo schermo e richiede (in tedesco) il pagamento di 75 CHF per sbloccare il computer. Il messaggio pretende provenire dalla cooperativa degli autori ed editori di musica SUISA e accusa l'utente del computer di possedere brani musicali scaricati illegalmente sul proprio PC (vedi fig.2), controlla sempre gli ultimi annunci sul sito della confederazione al seguente indirizzo http://www.melani.admin.ch/

MELANI è il prodotto del partenariato tra l’Organo strategia informatica della Confederazione, l’Ufficio federale di polizia e la Fondazione SWITCH.MELANI è il prodotto del partenariato tra l’Organo strategia informatica della Confederazione, l’Ufficio federale di polizia e la Fondazione SWITCH.

Tre tipi di malaware che colpiscono il PC (2011-2012)

"Bundespolizei Achtung! Ein Vorgang illegaler Aktivitäten wurde erkannt". Sovente vediamo il ransomware che colpisce gli utenti di Internet in Germania. Esso comunica che si é visionato pornografia e altre attività illegali. Il cavallo di Troia richiede il pagamento (100 euro) in cambio della chiave di sblocco. Si é invitati ad inviare denaro tramite Ukash o PaySafeCard. It also displays your IP, ISP, location and the version of web browser you're using to make you think you're in big trouble. Visualizza anche il vostro IP, ISP, la posizione e la versione di browser che state usando per intimorirvi. Il Trojan di ricatto blocca praticamente tutto, anche in modalità provvisoria,

"SUISA" (fig.2) Il messaggio pretende provenire dalla cooperativa degli autori ed editori di musica SUISA e accusa l'utente del computer di possedere brani musicali scaricati illegalmente sul proprio PC, richiesta fr. 75

"UKASH" (fig.3), "Guardia finanza", il messaggio é in un italiano maltradotto, recita più o meno cosi: "È stata fissata la seguente violazione: dal tuo indirizzo IP: ******** in seguito ad un accesso alle web-pagine contenenti della pornografia. Nel tuo computer sono stati trovati video-file contenenti pornografia e musica scaricata illegalmente ecc.
scritto in rosso più sotto: Dalla posta elettronica é stata effettuata anche la distribuzione di spam con contenuto terroristico, il blocco del computer serve a troncare l'attività illegale da parte tua.
per togliere il blocco devi pagare una multa di 100 euro, hai due seguenti varianti di pagamento: effettuare il pag. tramite l'ukash.
se il sistema segnalerà un errore, allora dovrai mandare il numero per la posta elettronica Deposito@cyber-gdf-net.

Staccare o spegnere internet, controllare sempre Start, tutti i programmi, esecuzione automatica, ev.cancellare ciò che sembra sospetto(annotandone il percorso) per cancellazione completa

Microsoft Windows Defender Offline Beta
da CD di avvio(boot)

Windows Defender Offline Beta consente di rilevare e rimuovere malware e software potenzialmente indesiderato,in modo particola se il PC non si avvia più. Per ulteriori informazioni, visitare la seguente pagina Web Microsoft:

Windows Defender Offline Beta

Naturalmente per poter scaricare l'immagine devi usare un'altro PC con accesso a internet, una volta scaricata l'immagine bisogna masterizzarla su di un CD di boot con il quale far ripartire il PC infetto
RIUSCITO a eliminare virus Bundespolizei(2014)

Altro sistema più radicale

Avendo a disposizione un altro pc, dal momento che il mio era bloccato su quella schermata ( quella del virus), ho scaricato ComboFix. E' un'applicazione che si trova facilmente cercandolo su google. L'ho estratta dal file scaricato e l'ho copiata su una chiavetta, ATTENZIONE quando é salvato sulla chiavetta rinominare il programma, in modo che il virus, se blocca gli antivirus, non riesca a percepirlo.
A questo punto ho spento brutalmente il mio pc tenedo premuto il tasti di accensione per 5 secondi, sono entrato in modalità provvisoria (F8), ho inserito la chiavetta, ho copiato e incollato sul desktop Combofix e ho lanciato il programma.
Fà tutto da sè, alla fine ho riavviato il pc e ha ripreso a funzionare normalmente.

La guida a combofix si trova a questo indirizzo:
http://www.bleepingcomputer.com/combofix/it/come-usare-combofix
Scaricarlo dal sito ufficiale, perché sono in circolazione dei falsi che installano spyware e virus, il sito ufficiale é

http://www.bleepingcomputer.com/download/anti-virus/combofix

Combofix perchè è da usare in extrema ratio

ComboFix è un "ripulitore" estremamente "aggressivo".
Va usato sonUltiso di effettiva infezione (è un vero e proprio "tool di rimozione", NON un "analizzatore": dunque, non va usato se PRIMA non si è certi di ospitare un'infezione d'un genere che NON si può rimuovere in modo più "normale").

Una buona possibilità per controllare il PC infetto é di usare

Microsoft Safety Scanner

Pensi che il tuo PC abbia un virus?
Microsoft Safety Scanner è uno strumento di protezione scaricabile gratuitamente che offre funzionalità di analisi su richiesta e consente di rimuovere virus, spyware e altro malware. Funziona con il software antivirus esistente.Nota: Microsoft Safety Scanner scade 10 giorni dopo il download. Per eseguire nuovamente un'analisi con le ultime definizioni antimalware, scarica ed esegui di nuovo Microsoft Safety Scanner.Microsoft Safety Scanner non sostituisce l'utilizzo di un programma software antivirus in grado di garantire una protezione continua.
lo si può scaricare a questo link

Microsoft Safety Scanner - Strumento gratuito in linea per la

Ultimo sistema usato, per virus Bundespolizei che ha funzionato

Avviato PC in modalità provvisoria con rete(tasto )F8
Copiato il file setup MALAWAREBYTES e rinominato in cerca.exe (scegliere un nome qualsiasi per non farlo riconoscere)
Installato, aggiornato, scansione, trovati, corretti OK ha funzionato

Sistemi di rimozione basati sulla modifica del registro:

Riavviare il computer è "Modalità provvisoria con prompt dei comandi". Mentre il computer si sta avviando premere il "tasto F8" di continuo il che dovrebbe portare il "menu Opzioni avanzate di Windows", usare i tasti freccia per spostarsi su "Modalità provvisoria con prompt dei comandi" e premere il tasto Invio.
Aprire l'Editor del Registro di sistema di Windows utilizzando il comando Windows Digitando. Type regedit and press Enter regedit e premere Invio. The Registry Editor opens. L'editor del Registro di sistema si apre.
Individuare le voci di registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Nel riquadro di destra selezionare la chiave del Registro di sistema denominata" Shell" Fare clic destro su questa chiave di registro e scegliere Modifica per leggere, il valore giusto che dovrebbe apparire é Explorer.exe, altri valori creati dal virus potrebbero essere al posto di explorer.exe ("contacts.exe", "jashla.exe" e "mahmud.exe), prendere nota di queste informazioni complete del percorso perché ne avremo bisogno in seguito(esempio, C:\Documents and setting\.....\Desktop\contacts.exe), rimuovere e rimettere Explorer.exe.
Ora bisogna trovare le altre chiavi di registro intaccate dal virus, sempre nel registro nel menu MODIFICA,TROVA, digitare il nome di cui si é preso nota (es. contacts.exe). Trova successivo avviare la ricerca e cancellare (tasto destro elimina) tutte le voci trovate nel registro di sistema e relative al file, sempre trova successivo o F3 fino a che non ne trovi più.
Quando é terminato, chiudere il registro di sistema, al prompt dei comandi digitare shutdown /r /t 0 e premere invio.
Controllare il PC con SUPERAntiSpyware Free Edition o altri come Malwarebytes, Spybot Search & Destroy .

Altri files e valori di registro associati al Bundespolizei:
File: [RANDOM]. Exe
I valori del Registro di sistema:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Shell = [RANDOM]. Exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Search Assistant \ ACMru \ 5603 "000 = [RANDOM]. Exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache "[RANDOM]. Exe"

Il virus cambia continuamente forma, valori del registro nei quali può risiedere(prendere sempre nota del percorso
C: \ Users \ [nome] \ AppData \ Roaming e mahmud.exe o altri exe, anche in.......nome\Application Data
Esistono già altre forme tipo, ala jashla/new/mahmud/3216515.exe, ed anche dei file PDF

↑Torna all'inizio

QUELLO che blocca la MBR (staccare internet)

Che i malware studiati per prendere in ostaggio il PC fino al pagamento di un riscatto costituiscano la nuova tendenza del 2012?
Una volta aver compromesso un sistema, Seftad.a sovrascrive il Master Boot Record (MBR) con il proprio codice, impedendo del tutto l'avvio del sistema operativo.
All'accensione del PC, il virus mostra unicamente una schermata di avvertimento nella quale il proprietario del computer viene invitato ad immettere una password per poter procedere

Tale parola chiave può essere richiesta visitando il sito safe-data.ru, controllato dai cyber-criminali, i quali richiedono in cambio un riscatto da 100 $.

Contrariamente a quanto minacciato nella schermata, i dati sull'hard disk non sono realmente crittografati: in linea di massima basta quindi collegare il disco ad un PC "sano", oppure utilizzare un Live CD per poter accedere a tutti i propri file.
Gli analisti di Kaspersky Lab hanno inoltre scoperto che la password è univoca, e non cambia fra le installazioni: per ripristinare l'MBR originale, basta quindi rispondere aaaaaaciip al ricatto del virus.

In alternativa, gli effetti del malware possono essere contrastati ripristinando il Master Boot Record tramite il supporto di installazione di Windows