lunedì 19 novembre 2012

Blocco PC e multa: non pagate!

Capita di navigare in internet e vedersi minacciati da una sedicente "Polizia di Stato", la quale, in base a un reato non commesso, blocca il pc, intima di pagare una multa entro 48 ore per evitare di essere perseguiti penalmente. Non è un film, ma un virus informatico fastidioso, come l'italiano stentato della schermata lascia intendere. Innanzitutto, se vi capita: non pagate.

A beneficio di chi potesse incappare nello stesso contrattempo, vi racconto la mia esperienza con il virus Ukash. Più precisamente, un ransomware, un programma che - appunto - blocca il pc chiedendo un riscatto per sbloccarlo. Naturalmente scrivo in particolare a favore degli utenti con minore dimestichezza con il  pc e le "fregature" di internet.

Sostanzialmente, durante la connessione sul pc compare, a tutto schermo, un'immagine intimidatoria, intestata alla Polizia di Stato (o in alternativa Guardia di Finanza e simili), che annuncia il blocco del pc e l'obbligo di pagare una multa, a causa di un reato contro il diritto d'autore (altre varianti chiamano in causa ipotesi peggiori), citando una serie di articoli di legge che potrebbero essere stati violati. La schermata riporta l'indirizzo IP dell'utente, il nome del dominio (probabilmente sbagliato), la località, e annuncia  l'attivazione della webcam e della registrazione delle attività dell'utente. 


Ecco come si presenta il simpaticone
 
Viene comunicato l'obbligo di pagare una multa di 100 (o più) euro, tramite - appunto - il sistema di pagamento Ukash, o PaySafeCard: l'unico elemento interattivo della finestra sono le caselle dove inserire i numeri per il pagamento. Come dicevo, la pagina precisa che il pagamento va eseguito entro 48 ore, altrimenti si rischiano conseguenze penali. Ipotesi un po' originale, ma di questi tempi non si sa mai... Per fortuna l'italiano incerto del testo aiuta a capire che non si tratta veramente di un intervento delle Forze dell'ordine, ma di un virus scrocca soldi.

Nel mio caso il problema emergeva all'inizio di ogni connessione. Il virus è particolarmente fastidioso perchè sostanzialmente blocca ogni attività, compreso lo spegnimento del PC (possibile solo tramite lo stand-by). Non funzionano alt-tab, alt-F4,ctrl-alt-canc... nada. In alcuni casi il virus blocca l'apertura di task manager anche in assenza di connessione e relativo avvio della schermata minatoria.




SOLUZIONI

Il problema si è manifestato in giorni in cui l'antivirus segnalava qualche (suo) problema all'avvio. Quindi il primo consiglio è preventivo: antivirus installato, aggiornato e funzionante.

Se il virus Ukash (o "Polizia Di Stato Ukash Ransom") riesce comunque a penetrare le vostre difese: probabilmente il problema si annida nel file lsaass.exe, che di solito sta - correttamente - nella cartella C:\Windows\System32, mentre in questo caso compare anche in altre cartelle, come C:\Documents and Settings\All Users\Dati applicazioni\.

Il file, individuabile abbastanza facilmente, non è stato eliminato egregiamente nè con un programma di rimozione malware, nè con l'antivirus Avira (entrambi probabilmente non aggiornati).

In base ai consigli che ho ricevuto dall'amico Michele e a quanto mi è capitato, vi riporto una serie di indicazioni per risolvere il problema.

1) Scaricamento, da un altro pc, del software necessario
2) Individuazione del file sospetto
Avviare il pc in modalità provvisoria (premendo F8 all'avvio). Tramite una scansione con i Hijackthis e Autoruns, cercare di individuare il file sospetto. Probabilmente si tratta di lsaass.exe o HNS250. 
Hijackthis consente di caricare sul sito http://www.hijackthis.de/it (in questo caso da un altro pc) il risultato della scansione; si ottiene  un responso sulla pericolosità della voci che trova. Autoruns nella finestra logon mostra i file in esecuzione automatica, tra i quali facilmente si troverà quello incriminato

3) Tentativo di rimozione manuale
Provare a rimuovere manualmente il file incriminato, tramite "Task Manager" (ma, come detto, spesso il virus Ukash blocca questo programma; in questo caso seguire le istruzioni per  ripristinarlo, o per utilizzare msconfig)
- ctrl+alt+canc, selezionare “Task Manager”, oppure o tasto destro sull’orologio in basso a destra dello schermo, selezionare  “Task Manager”
- selezionare la scheda processi
- trovare il processo incriminato (es. lsass.exe) e terminarlo (se ce ne sono 2, entrambi); se si tratta del processo "buono" sarà impossibile da eliminare o comunque il sistema segnalerà la criticità dell'operazione
- andare nella cartella (es. C:\Documents and Settings\All Users\Dati applicazioni\) dove si trova il file sospetto (es. lsass.exe) e cancellarlo
-  riavviare il pc

per provare a ripristinare Task Manager (http://www.gdinformaticaline.com/contents/it/d557_NEW_INFORMATICHE.html)

- Start/esegui/digitare "gpedit.msc "/invio
- da "criterio computer locale", cliccare su "modelli amministrativi", su "sistema", su "opzioni ctrl +alt+canc"
-  cliccare sulla voce "rimuovi task manager", si aprirà la finestra  di "proprietà",  spuntare su "disattivata"


Nel caso task manager resti bloccato, eseguire msconfig 
- Start-esegui- digitare msconfig - invio
- dalla finestra "utilità di configurazione" cliccare su "avvio"
- cercare nella lista dei programmi in esecuzione automatica quello incriminato e togliere  la spunta



4) Verifica rimozione ed eventuale utilizzo dei software di individuazione e rimozione
Dopo il riavvio del PC, verificare la scomparsa  del file sospetto dai percorsi non canonici. Nel caso il file si sia ripresentato, utilizzare Autoruns per disabilitarlo, e Hijackthis per "fixarlo". Verificare che, anche dopo il riavvio, il file non si sia riformato. In caso positivo, provare a riconnettersi, sperando di non incappare di nuovo nella schermata minacciosa



Grazie all'amico Michele che se ne intende molto più di me e mi ha aiutato a risolvere il problema.


Massimo

2 commenti:

Fabrizio Giacone ha detto...

grazie Massimo, te lo "rubo".

Massimo Sola ha detto...

Grazie, mi fa piacere :-)

Related Posts Plugin for WordPress, Blogger...