Menù principale
 Notizie
 Grafica
 Forum
 Links
 Retro Trailer
 Recensioni
 Modelli Amiga
 Storia Amiga
 Retro-Gamers
 Lista Utenti
 Contatti
 Policy sito
Ricerca Google

Login

Nick


Password


25 Aprile 2012 Postato da: carlo
Virus Del Riscatto "Intestazione Forze Dell'Ordine"

Immagine




Sono sempre più gli utenti che si ritrovano ad avere il proprio PC bloccato all'avvio da un virus che, con le insegne delle forze dell'ordine, chiede di pagare. Si tratta dei cosiddetti "virus del riscatto", in inglese Ransomeware, che si nascondono niente meno che dietro i blasoni della Guardia di Finanza, della Polizia Postale, della Polizia di Stato e dei Carabinieri.
Il meccanismo psicologico con cui carpiscono la fiducia - e anche i soldi e i dati personali - dei proprietari dei computer infettati è semplicissimo: dopo aver installato il virus sul nostro sistema in modo fraudolento, compare un messaggio a pieno schermo apparentemente realizzato dalle forze dell'ordine che indica la necessità di pagare una multa per poter continuare a usare il computer. In realtà, cliccando sul link proposto si finisce su siti russi dove non si fa altro che versare denaro ai pirati informatici. Un truffa bella e buona su cui le forze dell'ordine italiane, quelle vere, stanno già lavorando da tempo.

Il consiglio è quello di NON PAGARE ASSOLUTAMENTE e DI NON TELEFONARE A NESSUN NUMERO riportato sulla schermata di blocco.

Questa la procedura per il ripristino del PC in caso di infezione, quando permette l'accesso dalla modalità Provvisoria:

Avviamo il PC infetto in Modalità provvisoria con rete, premendo F8 all'avvio del sistema operativo;
Pulizia ToolBar con Toolbar Cleaner
Pulizia Temp e Registro con CCleaner
Scansione con Malwarebytes o altro anti-malware e anti-spyware se installato sul PC
Scansione con ComboFix
I file usati dall'infezione, dovrebbero esse questi in elenco, ma potrebbero cambiare nome, le scansioni mconsigliate dobrebbero debbellarli.
crogramdataNOTEPAD.EXE-X.TXT
crogramdataRUNDLL32.EXE-X.TXT

Per starei tranquilli, consiglio di effettuare periodicamente un controllo: antivirale, ricordiandoci di tenere sempre aggiornato l'Antivirus, l' Anti-Malware e l' Anti-spyware
Commenti: 19  Aggiungi  - Leggi

Indice: forum / Windows


AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
79.53.72.*** Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28
Commento 1
carlo 25 Aprile 2012    20:13:27

Immagine




Mi è stato portato un PC da un collega, rimasto terrorizzato, aveva beccato quello relativo alla finta Guardia di Finanza, come da grabbata allegata presa in rete. In effetti è stato un problema ripulirlo, dalla modalità provvisoria non partiva, solita schermata della morte, i Live CD basati XP non compatibili con l'hardware del portatile, sono riuscito a ripulirlo con un sistema Live su PenDrive basato Win7 trovato in rete, dove ho potuto installargli una versione fresca di MalwareByte, che mi ha permesso di ripulire la macchina ospite. Si tratta comunque solo di tre infezioni, che però bloccano il PC da tutti i possibili accessi, dopo comunque bisogna fargli una passata con Combofix, perchè è presente anche un Rootkit che Malwarebyte non è capace di intercettare e debbellare. Confermo che quasi sempre questa tipologia di virus la si becca navigando tra i siti porno, oppure quando si cercano crack, musica, filmati, o software raro, che a furia di cercare, può capitare di essere portati in qualche trappola. Il PC comunque rimane bloccato anche se è scollegato dalla rete, questo perchè la videata del messaggio, viene caricata dal PC, bloccando qualsiasi manovra o richiamo di tasti funzione, senza il bisogno di essere collegato ad internet.

Amigo

Post inviati: 301

Visulizza profilo Messaggio Personale
94.167.91.*** Mozilla/5.0 (Windows; U; Windows NT 6.1; it; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28
Commento 2
Amigo 25 Aprile 2012    20:55:49

io me lo sono beccato a lavoro mentre cercavo di scaricare un programma per trasformare le Query Linq in SQL, ma non mi sono preoccupato + di tanto, per fortuna era la versione che si elimina facilmente dalla modalità provvisoria, ho semplicemente eliminato il riferimento di quel file all'avvio tramite msconfig e eliminato anche fisicamente il file, e al riavvio sparito tutto.

Ho paura che ci sarà comunque gente che avrà pagato :S


- Commodore Amiga 600 - 1mb - ks37.350 - SDHD 2GB

- Commodore 64

- Commodore 64 C

- Commodore 128 (2)

- Commodore 1541-II + Oceanic OC-118N

- Commodore 1530 originale + 3 cloni

AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
79.53.72.*** Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28
Commento 3
carlo 25 Aprile 2012    21:16:09

Citazione

io me lo sono beccato a lavoro mentre cercavo di scaricare un programma per trasformare le Query Linq in SQL, ma non mi sono preoccupato + di tanto, per fortuna era la versione che si elimina facilmente dalla modalità provvisoria, ho semplicemente eliminato il riferimento di quel file all'avvio tramite msconfig e eliminato anche fisicamente il file, e al riavvio sparito tutto.

Ho paura che ci sarà comunque gente che avrà pagato :S




Sicuramente, è probabile che qualcuno abbia realmente visitato qualche sito porno e sentendosi in colpa abbia pagato per paura, con la speranza che gli rimettano a posto il PC, quindi dopo la beffa anche la fregatura. Ho conosciuto gente che ha pagato Italia-Programmi.net, ultimamente Oscurato .


Ultima modifica avvenuta il 25/04/2012 alle ore 21:17:02

AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
212.14.142.*** Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.26) Gecko/20120128 Firefox/3.6.26
Commento 4
carlo 26 Aprile 2012    18:31:11

Le varianti non mancano !

Immagine


Immagine

Ultima modifica avvenuta il 30/04/2012 alle ore 17:08:01

Amigo

Post inviati: 301

Visulizza profilo Messaggio Personale
94.167.125.*** Mozilla/5.0 (Windows; U; Windows NT 6.1; it; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28
Commento 5
Amigo 26 Aprile 2012    19:44:07

ecco, la mia era quest'ultima che hai postato XD


- Commodore Amiga 600 - 1mb - ks37.350 - SDHD 2GB

- Commodore 64

- Commodore 64 C

- Commodore 128 (2)

- Commodore 1541-II + Oceanic OC-118N

- Commodore 1530 originale + 3 cloni

Enzo45s

Post inviati: 1700

Visulizza profilo Messaggio Personale
151.10.242.*** Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0
Commento 6
Enzo45s 26 Aprile 2012    20:04:44

Pessimi...


AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
212.14.142.*** Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
Commento 7
carlo 11 Agosto 2012    16:44:35

Tornano alla carica i Virus Del Riscatto "Intestazione Forze Dell'Ordine", solita infezione che non permette il lancio di alcuna applicazione Antivirus, neanche in modalità provvisoria, per le cure valgono sempre le info date nelle discussioni precedenti, o l'uso di Live CD o PenDrive con a bordo software come Kaspersky Rescue Disk o simili. Di questa ultima infezione, già beccata da molti miei conoscenti, vi propongo parte della schermata, non potevo grabbarla per intero per via della grandezza della finestra originaria. Nel controllare l'ultima vittima di questa particolare infezione, ho scoperto diciamo così una falla o un bug del virus. Praticamente premendo il tasto spegnimento Computer, simulando uno spegnimento del PC, ho provocato il caricamento del request di scelta Spegnimento-Riavvio, questa comparsa mi ha ridato il Desktop e la possibilità di lanciare Malwarebyte, che è riuscito prima a indebbolire e poi dopo un aggiornamento a debbellare l'infezione, non so se la pratica sia fattibile per tutte le infezioni di questo tipo, e per tutti i sistemi operativi, bisogna solo provare.


Immagine

AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
212.14.142.*** Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
Commento 8
carlo 8 Settembre 2012    09:05:34

Immagine




Tanto per non farci mancare nulla ... ecco "SIAE" un'altro ospite che potrebbe sbarcare sui PC in questo periodio, non mi è capitato ancora fra le mani un sistema infettato con questa infezione, pare che lo si becchi navigando sui siti di Streaming poco leciti.

Post inviati: 2956

Visulizza profilo Messaggio Personale
80.180.188.*** Mozilla/5.0 (AmigaOS; AmigaOS 53.34 PowerPC; rv:2.0.1) Gecko/20120904 Firefox/4.0.1
Commento 9
Amiga Supremo 8 Settembre 2012    12:57:25

Mi sono sempre chiesto come si faccia a "impestarsi" così...


...A good friend of flew on the Commodore Jet to Irving Gould's house in the Bahamas in about 1996. At that time Irving Gould was alive and well living in retirement and was believed to still be a Canadian citizen. Go CANADA!!!

Enzo45s

Post inviati: 1700

Visulizza profilo Messaggio Personale
151.50.9.*** Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1
Commento 10
Enzo45s 8 Settembre 2012    21:35:18

Citazione

Mi sono sempre chiesto come si faccia a "impestarsi" così...


Quoto, mai visto un virus in 5 anni che navigo in internet.


Post inviati: 2956

Visulizza profilo Messaggio Personale
80.180.188.*** Mozilla/5.0 (AmigaOS; AmigaOS 53.34 PowerPC; rv:2.0.1) Gecko/20120904 Firefox/4.0.1
Commento 11
Amiga Supremo 8 Settembre 2012    21:42:45

Io è dal 1996...


...A good friend of flew on the Commodore Jet to Irving Gould's house in the Bahamas in about 1996. At that time Irving Gould was alive and well living in retirement and was believed to still be a Canadian citizen. Go CANADA!!!

cpiace64

Post inviati: 4685

Visulizza profilo Messaggio Personale
93.70.121.*** Opera/9.80 (Windows NT 5.1; U; it) Presto/2.10.289 Version/12.02
Commento 12
cpiace64 8 Settembre 2012    22:05:10

io ne ho collezzionati tanti, mi chiamavano per rimuoverli e me ne facevo una copia per testare gli antivirus

uno lo trovai in un floppy da edicola, dentro Game Machine, gli era scappato ed era anche pericoloso.

AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
79.52.72.*** Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28
Commento 13
carlo 8 Settembre 2012    23:22:53

Citazione

Mi sono sempre chiesto come si faccia a "impestarsi" così...




Semplice, prova a navigare nei siti porno, oppure ricercare film di prima visione o album di musica rari, e vedrai il tuo antivirus impazzire, se poi lo fai con antivirsus scaduti o non aggioranti l'impestamento è già assicurato. Naturarlmente sto parlando di navigare con Windows, anche se da un po' anche MAC e Linux rischiano qualcosa, ne ho parlato QUI . Neanche io non sono mai stato infettato, nonostante abbia navigato per lungo e per largo, purtroppo quello che manca a molta gente è il buon senso, gli basta un clicca qui per farsi fregare e magari dare i propri dati personali al primo request che gli compare davanti, con la speranza di vedere cio che cercano.














Post inviati: 2956

Visulizza profilo Messaggio Personale
82.58.113.*** Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; BTRS122324; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C)
Commento 14
Amiga Supremo 9 Settembre 2012    18:15:07

Non ci sono più i post di questa mattina, o sbaglio?


...A good friend of flew on the Commodore Jet to Irving Gould's house in the Bahamas in about 1996. At that time Irving Gould was alive and well living in retirement and was believed to still be a Canadian citizen. Go CANADA!!!

AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
87.11.23.*** Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28
Commento 15
carlo 9 Settembre 2012    18:55:24

Citazione

Non ci sono più i post di questa mattina, o sbaglio?



Si in effetti mi pare manchi una mia risposta data questa mattina, qualcuno per sbaglio ha cancellato ? oppure si è intrufolato il virus è si è vendicato Immagine Immagine

Ultima modifica avvenuta il 09/09/2012 alle ore 19:03:07

Post inviati: 2956

Visulizza profilo Messaggio Personale
79.1.145.*** Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Commento 16
Amiga Supremo 13 Settembre 2012    19:45:40

Precisamente manca la mia risposta alla tua, nella quale sottolineavo che appunto l'ANTIVIRUS che "impazzisce", avrebbe almeno dovuto far accendere una lampadina.
Il tuo reply in cui confermavi, ma giustamente facevi notare che nulla si può contro le MALDESTRE accettazioni da parte dell'utente e parlavi bene del NOD 32.
Il mio successivo intervento in cui sulla scorta delle prove da me fatte con gli archivi infetti "Albio VIRUS", riportavo la mia esperienza di come comunque pur essendo veloce, il NOD 32 rivela meno file infetti, rispetto al KASPERSKY AV.

Poi sono andato a pranzo e al ritorno quando sono andato a vedere se ci fossero sviluppi del thread, beh...
quei post erano spariti.


...A good friend of flew on the Commodore Jet to Irving Gould's house in the Bahamas in about 1996. At that time Irving Gould was alive and well living in retirement and was believed to still be a Canadian citizen. Go CANADA!!!

AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
79.51.221.*** Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0
Commento 17
carlo 1 Marzo 2013    11:23:50

Immagine

Continuano senza soste questo genere di infezioni, diventando ancora più invadenti e più difficili da sconfiggere. Dopo qualche caso capitatomi ultimamente, ho sperimentato un un ottimo rimedio per la distruzione di questa seccante infezione. Come dicono dalle mie parti, "lu purpu si cucina cu l'acqua sua stessa", ovvero il polipo si cucina con la sua stessa acqua, quella contenuta nei tessuti.

Una volta capito che l'infezione non permetteva il caricamento di nessun utente, ho pensato di rinominare il file NTUSER.DAT, in modo da generare un grave errore nel caricamento utente. Riavviato il sistema Windows non trovando il file NTUSER.DAT, mi ha generato un nuovo utente provvisorio. Fatto questo tutto è diventato più facile, il nuovo desktop si è caricato normalmente ed è bastato installare Malwarebyte, aggiornarlo e ripulire tutto.


Svolgimento:

- Caricare il sistema con liveCD, Linux, e compagnia bella
- Andare nella cartella dell'utente Inquisisto
- Rinominare [B] NTUSER.DAT [/B] (esempio NTUSER2.DAT)
- Riavviare il sistema normalmente con l'Hardisk
- Windows Caricherà un utente provvisorio
- Fare una bella scansione con Malwarebyte [B] prima aggiornarlo [/B] , se non presente installarlo ed aggiornarlo.
- Ricaricare il sistema LiveCD, rinominare come in origine [B] NTUSER.DAT [/B]
- Riavviare il sistema normalmente con l'Hardisk
- Tutto a posto il sistema ora è pulito come prima, anzi p

Pericle76

Post inviati: 356

Visulizza profilo Messaggio Personale
93.64.17.*** Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0
Commento 18
Pericle76 1 Marzo 2013    11:33:23

Ottima idea anche questa... io mi sono preparato una postazione ad hoc, con dock per tutti i tipi di Hard disk. A meno che non debba intervenire a domicilio, di solito rimuovo il disco e lo ripulisco dalla mia postazione...

AfAOne

Post inviati: 11780

Visulizza profilo Messaggio Personale
79.51.221.*** Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0
Commento 19
carlo 1 Marzo 2013    13:21:18

Citazione

Ottima idea anche questa... io mi sono preparato una postazione ad hoc, con dock per tutti i tipi di Hard disk. A meno che non debba intervenire a domicilio, di solito rimuovo il disco e lo ripulisco dalla mia postazione...


Si va bene, potevi farlo anche da un sistema Live, però poi devi comunque ripulire il registro utente con "MalwareByte ben aggiornnato" cosa che non puoi fare da un sistema ospite.

Ultima modifica avvenuta il 01/03/2013 alle ore 13:23:45


Indice: forum / Windows

Utenti Online
Utenti registrati: 1206 dal 1 Gennaio 2006
di cui online: 0 registrati - 
142 non registrati

Benvenuto all'ultimo utente registrato: zulu

Buon Compleanno a frank62 - Kosmokrator - 

© Amigapage 1998 - 2007 - Sito italiano dedicato alla piattaforma Amiga ed evoluzioni varie.
Struttura del sito interamente ideata e realizzata da Marco Lovera e Alessandra Lovera - Tutto il materiale inserito all'interno del sito è dei rispettivi autori/creatori.
E' assolutamente vietata la riproduzione o la manipolazione di tutti i contenuti o parte di essi senza l'esplicito consenso degli amministratori e degli autori/creatori.

Eseguito in 0.1558301448822 secondi