domenica 8 luglio 2012

Come Eliminare I Ransomware (Virus Postali)

I virus in questione (Ransomware) si presentano all’avvio del computer, nascondendo il desktop, bloccando l’uso del task manager e visualizzando come unica finestra una pagina in cui è presente, riprodotto molto fedelmente il logo della Cnaipic(Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) e avvisando l’utente che la polizia postale ha bloccato il suo pc perchè era entrato in siti pedopornografici.
Per sbloccare il PC viene chiesto un pagamento di 100 € (da effettuare tramite carta di credito).


Rimozione del Virus
Per rimuovere il virus, basterà riavviare il pc in modalità provvisoria (all’avvio premere F8), andare su Esegui e digitare msconfig ed eliminare il virus all'avvio.
Il blocco del computer è generato dal virus Trojan.Win32.FakeGdf.A che si copia con il nome WPBT0.DLL nella cartella Temp di “impostazioni locali” dell’utente:
%user%\IMPOSTAZIONI LOCALI\TEMP\WPBT0.DLL
Il Trojan.Win32.FakeGdf.A per essere eseguito ad ogni avvio del computer, crea il file wpbt0.dll.lnk nel menu di avvio di Windows. Il file wpbt0.dll.lnk esegue il programma Rundll32.exe di Windows per caricare la DLL del malware:
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE %user%\IMPOST~1\TEMP\WPBT0.DLL,SUPPS

Sono state riscontrate nuove varianti del Trojan.Win32.FakeGdF che usano un nome casuale del file (.exe) con la seguente struttura: 0.[numero casuale].exe
Ecco alcuni esempi:
  • 0.8255788870080162.exe
  • 0.08359725163032683.exe                             
 Il file da eliminare tramite esegui potrebbe essere mascherato anche come utha.exe oppure ch810.exe

Se non riuscite ad eliminarlo manualmente e gli antivirus che possedete non ci riescono, vi consiglio come ultima alternativa di usare ComboFix(Guida)


Riabilitare il Task Manager
Qualora fosse stato disabilitato: Start / Esegui : digita regedit per aprire il registro di sistema.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\system –> DisableTaskMgr e impostate il valore a 0(dovrebbe trovarsi su 1).


Problemi con Internet Explorer
Dopo aver eliminato il virus potrebbe capitare che IE non vi funzioni.
Quindi fate Strumenti/Opzioni Internet/Connessioni/Impostazioni LAN e spuntate Rileva Automaticamente Impostazioni

Nessun commento:

Posta un commento