Guida - Riconoscere ed eliminare virus Polizia Postale (ukash)

Il virus è in circolazione già da un po'. Ho trovato qualche segnalazione risalente a Maggio 2011. Ma andiamo per ordine (ultimo aggiornamento 23/07/2013)

All'apertura del browser internet, nel mio caso un Microsoft Internet Explorer 8, appare a tutto schermo un avviso evidentemente falso della Polizia Postale (ci sono anche varianti italiane della Guardia di Finanza, dei Carabinieri, del CNAIPIC e della SIAE) che impedisce, da quel momento in poi, l'utilizzo del PC. La schermata non va più via a meno di spegnere il PC.

[se non leggi bene l'articolo vai sul blog http://vincenzomiccolis.blogspot.it/ o sulla versione mobile http://bit.ly/AeHvgL]

Riconoscere la pagina è piuttosto semplice se ci si prende la briga di leggerla tutta e di ragionarci su un attimo. Di seguito una porzione del testo:

"il tuo sistema operativo è stata bloccata per un'infrazione della legge italiana! Sono state rilevate le seguenti infrazioni: il tuo indirizzo IP è stato fissato in siti illegali del contenuto pornografico destinati alla diffusione della pornografia minorile, della zoofilia, nonchè delle scene di violenza dei bambini! Nel tuo computer sono stati trovati video-file contenenti la pornografia, elementi di violenza e la pornografia minorile! Dal tuo computer era diffuso anche lo spam illegale con un senso terroristico. Il bloccaggio del computer è stato effettuato per bloccare la possibilità di diffondere i materiali sopracitati dal tuo computer nell'internet."

Nel testo vi sono molti errori grammatici tipici dei testi tradotti in automatico. La cosa più eclatante ed inverosimile è la presenza della richiesta di pagamento di una multa via ukash.

twitta: Come si manifesta il virus?

La schermata visualizzata può assomigliare alla seguente pubblicata nell'articolo News - Malware & Hoax - TG Soft Software House 16/05/2012 11.51.13 - Dopo la Guardia di Finanza, la Polizia e i Carabinieri, anche la S.I.A.E. chiede il riscatto!.

Su internet ho trovato anche varianti in altre lingue del medesimo messaggio (vedi Remove BUNDESPOLIZEI Ransomware (Uninstall Guide) [EN]). Recentemente è comparsa anche una versione per Mac (vedi Ransomware Mac, finto messaggio FBI sequestra Safari) di cui parla anche il sito istituzionale dell'FBI (vedi FBI — New E-Scams & Warnings EN) e di cui si trova tracce molto recenti anche su diversi siti internet (ad es. vedi Remove EUROPOL Mac OS X virus (Ukash Scam) EN).

Si tratta di un malware che, attraverso tecniche cosiddette di social engineering prova a convincere l'ignaro utente a risolvere il suo (falso) problema versando una somma di danaro. Questo tipo di malware è detto Ransomware (vedi Ransomware (malware) - Wikipedia, the free encyclopedia [EN]) dall'inglese ransom, riscatto appunto. Queste tipologie di software malevole possono anche criptare il contenuto del disco ed effettivamente "rilasciarlo" (decriptarlo) dietro pagamento del riscatto. Questa versione, almeno quelle di cui ho trovato notizia, è più semplice. Non cripta i dati ma si limita a rendere alcune funzionalità inaccessibili e spaventa (vedi Scareware - Wikipedia, the free encyclopedia) letteralmente l'utente per forzarlo ad eseguire il pagamento per ottenere il codice di sblocco (es. 1029384756).

Nel caso sia collegata ed accesa una webcam "l'inquadrato" è visualizzato in alto a destra nella falsa pagina di notifica. Questo ulteriore stratagemma ha certamente lo scopo di incutere ancora più paura all'ignaro utente che ha ancora di più la sensazione di essere monitorato.

twitta: Come si può eliminare l'infezione?

In alcuni casi è sufficiente eseguire un ripristino del sistema (vedi Virus Malware Ukash | HTML.it forum), ma in altri casi l'operazione potrebbe risultare più complessa. Ricordo che è sempre meglio seguire bonifiche di questo tipo solo se si ha una buona preparazione di base o se si è assistiti da persone esperte. Nell'utilizzo di tool di rimozione si possono provocare danni seri al PC e soprattutto ai dati. Un back-up dei dati periodico è sempre consigliabile. 

Segnalo in particolar modo che anche la stessa Polizia di Stato ha pubblicato un messaggio sull'argomento e in una guida in PDF suggerisce delle operazioni di bonifica (vedi Commissariato di P.S. on-line). Personalmente eviterei questa procedura un po' troppo "semplice". La cancellazione elimina il link al file ma non il file che viene eseguito.

La procedura da seguire non è sempre la stessa. Ripeto che conviene farsi seguire da un esperto.

Per avere indicazioni esatte su come procedere nella rimozione del virus Ukash ho seguito questa procedura.

Mi sono registrato presso un noto forum di tecnici esperti (vedi Olimpo Informatico :: Index) poi sono passato nella sezione di assistenza specifica (vedi Olimpo Informatico :: Guarda forum - Pronto Soccorso Virus) e ho inserito un nuovo topic dal tasto apposito in alto a sinistra. Nonostante comparissero altri argomenti sul medesimo virus è stato necessario aprirne uno apposito, essendo ogni infezione diversa dalle altre. Nell'oggetto del nuovo topic è stato necessario descrivere in poche parole il problema (es."Virus Ukash"). Nel corpo del messaggio invece ho descritto:

• gli effetti notati, 
• indicazioni sulla versione del sistema operativo del PC infetto, 
• i software di protezione utilizzati 

Il problema è stato immediatamente preso in carico (gratuitamente) e risolto. Sottolineo che i tecnici sono bravissimi e le loro indicazioni vanno seguite alla lettera. 

Nel video sotto invece la procedura consigliata da malwarebytes.org (vedi FBI Ransomware Now Targeting Apple's Mac OS X Users | Malwarebytes Unpacked EN) per ovviare all'infezione di Safari su Mac. 

twitta: Come si diffonde il virus?

Non vi sono indicazioni chiare su questo. L'infezione può avvenire via link in messaggi email, sistemi di IM, facebook, siti web in genere, etc Anche la scheda più completa sul malware che ho trovato (vedi Scheda Trojan.Win32.FakeGdF.A - TG Soft Software House) non fornisce informazioni esatte sulla sua diffusione.

Ho trovato alcune informazioni più specifiche (vedi NOD32 #Virus Enciclopedia - Informazioni su ''Win32/LockScreen.AJT'') sul trojan Win32/LockScreen.AJT che probabilmente è stato impiegato per l'attacco. Ma anche quì dati certi non ve ne sono.

L'azienda che sta dietro Ukash, che non è un virus ma un sistema legale di pagamento online, parla espressamente di segnalazioni avute da utenti Facebook (vedi Allarme malware su Facebook - Ukash) ma non vi sono ulteriori riscontri che confermino questo orientamento.

In conclusione devo sottolineare che anche se in tanti chiamano questo virus ukash, di fare attenzione poiché Ukash e Paysafecard sono servizi simili a Paypal. Sono appunto strumenti di pagamento e non hanno nulla a che fare col virus.

Alla prossima!

Se il post ti piace dillo su Facebook

Tieni d'occhio questo post e i suoi commenti: iscriviti nella parte destra del blog.

Per qualsiasi dubbio, critica, segnalazione scrivimi a vm_tempbox-perparlarediweb[at]yahoo.it

Ricevi gratuitamente tutti i miei aggiornamenti del blog direttamente dal feed RSS ed in email.

Visita la mia pagina su Facebook. Segui @vincentmiccolis su Twitter dove oltre ai link agli articoli del blog condivido i link delle mie letture in tempo reale.

Istalla la toolbar del blog... è gratis!

Link utili:
Olimpo Informatico :: Index
Olimpo Informatico :: Guarda forum - Pronto Soccorso Virus
Virus Malware Ukash | HTML.it forum
Remove BUNDESPOLIZEI Ransomware (Uninstall Guide) EN
Ransomware (malware) - Wikipedia, the free encyclopedia EN
Scareware - Wikipedia, the free encyclopedia
Ransomware, il virus che chiede il riscatto - LASTAMPA.it
Commissariato di P.S. on-line
News - Malware & Hoax - TG Soft Software House 
News - Malware & Hoax - TG Soft Software House 16/05/2012 11.51.13 - Dopo la Guardia di Finanza, la Polizia e i Carabinieri, anche la S.I.A.E. chiede il riscatto!
NOD32 #Virus Enciclopedia - Informazioni su ''Win32/LockScreen.AJT''
Scheda Trojan.Win32.FakeGdF.A - TG Soft Software House
Allarme malware su Facebook - Ukash
Come rimuovere il virus centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche | Chicche Informatiche
Pagamenti in Internet sicuri e anonimi - paysafecard.com 

Virus & Spywares: Come rimuovere il virus della Guardia di Finanza
Ransomware Mac, finto messaggio FBI sequestra Safari
FBI — New E-Scams & Warnings EN
[Video] FBI Ransomware On The Mac - YouTube EN
FBI Ransomware Now Targeting Apple's Mac OS X Users | Malwarebytes Unpacked EN 
Remove EUROPOL Mac OS X virus (Ukash Scam) EN

Siti consultati:
forum.zeusnews.com/
forum.html.it/

deletemalware.blogspot.it/ EN
en.wikipedia.org/ EN
lastampa.it/

commissariatodips.it/
tgsoft.it/
ukash.com/
nod32.it/
chiccheinformatiche.com/
paysafecard.com/
youtube.com/
blog.malwarebytes.org/ EN
malwaretips.com/ EN
fbi.gov/ EN
macitynet.it/

Per leggere i post con più chiarezza ed un allineamento adattato agli schermi più piccoli di iPhone e smartphone usa la versione mobile. Vai a http://bit.ly/AeHvgL oppure clicca/scansiona il QR code quì sotto.

DISCLAIMER: Il contenuto dei miei articoli è reso disponibile così com'è. Per Parlare di Web non offre alcuna garanzia sui contenuti che sono forniti a solo scopo di intrattenimento e/o didattico con l'obiettivo di fare da spunto di riflessione per il lettore proponendo idee, concetti e recensioni di prodotti e servizi tecnologici. Il blog Per Parlare di Web non si assume alcuna responsabilità per ogni conseguenza dannosa che possa risultare al lettore dall'adozione di indicazioni descritte nei nostri articoli e nelle nostre guide hardware e software.