Sample Text

questo blog non è una testata giornalistica..... e si vede!

lunedì 21 luglio 2014

il virus della polizia di stato

ATTENZIONE: QUESTO POST E' UN PO' NERD





è qualche anno che gira questo tipo di virus in rete che sfruttando alcune "debolezze" dei browser si installa sul pc, o almeno così credevo, e non ti lascia navigare in pace.

Usando windows quando apri un sito qualsiasi, se si apre...., ti compare un sito fasullo dei carabinieri,
ma a volte è della polizia di stato o della guardia di finanza che ti informa che il tuo "computer personale" è stato bloccato per attività illegali (segue una pappardella di possibili crimini informatici ai quali tutti più o meno partecipiamo). Per lo sblocco ti invita a pagare 100 € con la carta di credito o altro. Novità di quest'anno (pare) è la foto del nostro amato presidente della repubblica così da dare maggiore credibilità all'annuncio (scusate ma cerco di non essere accusato di vilipendio...)

L'annuncio in se è poco credibile già quando dice "computer personale", traduzione letterale di personal computer che in italiano tutti il pc lo chiamano in inglese per cui si capisce già da qui che il sito è fasullissimo anche se ha la faccia di napolitano e gli annunci pubblicitari di grossi marchi italiani.

La rottura è che se cerchi di chiudere la scheda col sito ti compare il pop up che ti invita a non abbandonare la pagina. Tu clicchi su [abbandona pagina] ma lei non se ne va e tu non navighi più.

Siccome io windows lo uso pochissimo non me ne ero mai accorto, tranne per alcune volte su ubuntu che con firefox quando provavo a usare google non partiva e potevo effettuare le ricerche solo usando motore di ricerca alternativo. Oppure provando ad aprire facebook la connessione andava in time out. Risolvevo il problema chiudendo e riaprendo firefox che io con ubuntu il faccione di napolitano non l'avevo mai visto e tutto tornava normale. Altri problemi li avevo con la posta di yahoo che si bloccava spesso e volentieri a causa di un qualche non ben specificato script che bloccava tutto. Anche qui, riavvia firefox e tutto torna normale. Però la cosa non era normale.

Il patatrack è successo perchè i miei famigliari "androidiani" non riuscivano più a facebookare o a instagrammare col telefonino, cosa gravissima e inaccettabile a cui un padre di famiglia deve immediatamente porre rimedio.

.....immediatamente......

avendo (come già sapete) poco tempo ho aspettato fino a domenica prima di mettermi lì e perdere tempo. Ci sono un sacco di tutorial in internet che pretendono di spiegare come rimuovere il virus, io li ho provati un po' tutti perchè non riuscivo mai a levarmelo dai maroni.

 in pratica:

:molti dicevano che il programma andava in esecuzione automatica e di eliminare il file presente nell'apposita cartella e annessi e connessi nel registro. FATTO
ma il virus c'era ancora

altri consigliavano di scansionare il computer con i più disparati software per la rimozione di malware. FATTO
io ho usato questo prodotto (gratuito) che ha scovato ben 71 tra malware e programmi indesiderati che il mio antivirus (Avira free) non aveva nemmeno calcolato.
Con google chrome ho notato di aver molti meno problemi ma su firefox purtroppo il virus era vivo e vegeto.

una valida ipotesi era di fare il reset completo del router. FATTO
non me l'aspettavo ma.... napolitano c'è e non ti lascia usare il browser,

però dopo il reset del router gli androidiani (e i loro ospiti graditissimi) hanno ricominciato a facebookare e instagrammare allegramente col telefonino per cui la crisi era conclusa per quel che mi riguarda. Però windows non andava ancora bene........

altro consiglio: ripristinare a uno stato precedenteil computer. FATTO
il virus c'è e le caprette ti fanno ciao.

Quest'ultimo intervento però mi ha fatto notare una cosa: dopo il ripristino della configurazione di sistema di windows il sistema ha dovuto rifare degli aggiornamenti compresi quelli per internet explorer. In pratica è stata installata l'ultima versione di IE e usandolo mi sono accorto di due cose: non c'era più il virus e che negli anni (non lo uso mai) è piuttosto migliorato. Per cui mi sono deciso a disistallare Firefox e a scaricarlo nuovamente per averlo bello pulito come nuovo (che tanto con SYNC poi ti ritrovi tutto come prima in pochi secondi).

RIEPILOGANDO:

cose da fare:

1) resettare il ROUTER
2) ripristino a uno stato precedente di windows

3) utilizzare IE dopo gli aggiornamenti di windows e provare se è pulito.
4) scansionare il sistema con un antimalware serio
5) disistallare il tuo browser preferito e reistallalo (oppure una IE che tanto se usi windows....)

spero di essere stato utile a qualcuno.

AGGIORNAMENTO 26 luglio:

Il virus è tornato e io l'ho ricacciato. Trovato ennesimo malware nel registro e ho abilitato il firewall del router (....mah... servirà a qualcosa.... boh...)

AGGIORNAMENTO 1 agosto:

alla fine ho scaricato COMBOFIX perchè il virus era tornato. Ora è qualche giorno che non si fa più vivo.

AGGIORNAMENTO 3 agosto:

sto navigando con chromium e ubuntu e mi accorgo di un rallentamento: mah, si saranno svegliati gli utenti con lo smatcoso che guardano fb appena svegli.... do un'occhiata alle info della connessione e mi compare che il DNS primario è 5.175.225.136 che mi pare un poco strano. Lo metto nella barra degli indirizzi del browser ed ecco riapparire il faccione di napolitano :((
Alla fine imposto i DNS del router e dei computer di casa manualmente con quelli di OpenDNS e la connessione è ripresa normalmente

Rospo - Virus 4 - 3

AGGIORNAMENTO 24 settembre:

usando Lubuntu su vecchio pc molto lento ogni tanto do un'occhiata alle informazioni di connessione e mi accorgo che il DNS primario è strano. La navigazione procede senza problemi ma cerco di scoprire da dove viene sto IP su Utrace.de che mi rivela che è legato a un server tedesco di tale Ghostnet e cercando su san gugol trovo che molti affermano che questo reindirizzamento li porta alla famigerata pagina del virus della polizia di stato (almeno quelli che usano windows). Controllo il router e in effetti il dns primario è stato modificato: io lo avevo impostato in automatico, invece il settaggio del dns era su manuale con l'IP incriminato. Ripeto, per quanto riguarda la navigazione sui miei pc con linux non me n'ero nemmeno accorto, mentre qualche smartphone di casa rilevava la connessione instabile. alla fine ho trovato delle istruzioni su QUESTO SITO per impedire dall'esterno le modifiche sul router. Ora è tutto a posto, ma continuerò a monitorare la situazione.

Rospo - Virus 5 - 4

26 commenti:

  1. Tre considerazioni: + conclusione:
    1) Per me (ribadisco, forse solo per me), questo è un post limpido come l'acqua del Tevere;
    2) se al posto del visone di Napolitano lo stronzo avesse messo qualcosa di più appetibile, tipo Calderoli o la Lombardi di M5S, magari avresti abboccato senza fiatare;
    3) avresti fatto prima a sganciare quei 100 euri e te lo toglievi dalle palle (forse). Per dire: proprio ieri, come un coglione qualsiasi, mi sono fatto fregare il portamonete con un'ottantina di euri, e so per certo che quel bastardo che me li ha presi non lo vedrò più; poiché sono un buono per natura spero li spenda in medicine e che non gli bastino per salvarsi da un rapido schiattamento.
    Conclusione: dovesse succedere, passo subito dieci euro a Mattia (il mio tecnico di fiducia, ma solo perché non ne conosco altri), smanetta in tastiera manco fosse un pianista (di pianoforte, non quelli di camera e senato) e dopo qualche minuto tutto torna vergine come un pc neonato. (A onor del vero, una volta mi ha fuso tutti i programmi e per una scheda madre fottuta ho dovuto cambiare l'aggeggio completo; incidente di percorso, con effetti collaterali).
    Ciao, buona settimana.

    RispondiElimina
  2. 1) basta che sia limpido per Mattia... tu prepara i 10 euro ;D
    2) no
    3) ti faresti derubare il portamonete se il ladro te lo chiedesse? forse se ti punta una pistola in faccia. Questo virus non aveva armi.

    RispondiElimina
  3. Mi hai ricordato di passare l'antivirus, Napolitano non ce lo voglio

    RispondiElimina
  4. Mamma mia, che confusione. Io avrei buttato il computer. Sempre stata sbrigativa, su quello di cui non me ne frega niente. Comunque, grazie!

    RispondiElimina
    Risposte
    1. è una questione di principio.... o vinco io o vince lui !!

      Elimina
    2. Anche con i capelli corti lei sta bene signor rospo...so che questa introduzione non ci sta in tutto questo...la saluto signor kermit.

      Elimina
    3. In effetti, devo ammettere che è un gran bel rospo.

      Elimina
    4. XDXDXD troppo buone...

      salve!

      Elimina
    5. Salve, signor rospo. Io non sono buona, dico sul serio. Se quella fosse davvero la sua faccia, potrei fissarla per ore! Ha un'interessantissima faccia da psicopatico! Se non erro, glielo avevo già scritto. Beh, confermo!

      Elimina
    6. ma è la mia faccia, perchè continua a metterlo in dubbio ?

      ....e la smetta di fissarmi.... mi imbarazza!!

      Elimina
    7. Signor rospo, ha dei lineamenti incredibilmente interessanti, anche se irregolari. Anzi, sono interessanti proprio perché irregolari, che ci devo fare? E si consoli, c'è chi ha pensato che gli avessi fatto il malocchio, solo perché lo fissavo perché aveva una faccia interessante. E irregolare, naturalmente! Lo so, non sta bene fissare gli altri. Chi se ne frega!

      Elimina
    8. Questo virus mi è entrato nel cel se sapessi chi l'ha creato gli farei saltare tutti i denti

      Elimina
    9. mi da che dovrai fare un hard reset del cellulare purtroppo!

      Elimina
  5. Cavolate.
    Se parliamo di una pagina Web che viene aperta da uno script all'avvio del browser, basta chidere il browser e cancellare manualmente la/le cartella/e dove il browser conserva la cache. La posizione della cache dipende dalla versione di Windows e da che browser si tratta. Considerato Windows 7 e Firefox, si trova in "utenti/tuo utente/appdata/local/mozilla/firefox/profiles/tuo profilo/"

    Se invece parliamo di un programma "spurio" che interferisce col funzionamento del PC (browser, connessione di rete, altro), in primo luogo bisogna averlo installato. E questo richiede due cose, primo l'autorizzazione manuale (installo? si no) e di passare l'eventuale filtro dell'antivirus. In secondo luogo nella maggior parte dei casi si tratta di un processo visibile nella lista dei processi, in terzo luogo se è una cosa più sofisticata per rimuoverla bisogna avviare il PC da un CDROM, in modo che il programma non sia in esecuzione nel momento in cui si vuole rimuovere, vedi posto successivo e mio commento.

    RispondiElimina
    Risposte
    1. questo "virus" che in rete chiamano di tipo ramsomwer o qualcosa del genere su windows non permette di chiudere normalmente il browser se non utilizzando task manager. Poi non discuto la procedura che si possa fare eliminando la cache, non ho provato.
      di certo so che non ho istallato niente, ho il pc con w7 e ubuntu e di solito uso quest'ultimo per cui mi sarei accorto se avessi messo un programma di mia spontanea volontà.
      con ubuntu e mozilla in effetti venivo reindirizzato a quella pagina ma mi bastava tornare indietro di una pagina perchè tornasse tutto normale.
      Io ho solo descritto quello che mi è capitato e come ho risolto.

      Elimina
    2. Ripeto, bisogna fare chiarezza sui discorsi confusi riguardo i vari inconvenienti.

      Il vero "randsomware" è un software che quando si installa va a criptare parti del disco fisso e poi ti visualizza un messaggio che dice "se vuoi l'aggeggio per decrittare i tuoi dati manda X dollari a questo indirizzo". La serietà della cosa dipende dal fatto che, a meno di non disporre dei mezzi della CIA, per recuperare un contenuto criptato serve conoscere l'algoritmo di criptazione e avere la chiave utilizzata per criptare.

      Ma per fortuna il vero accrocchio che ti cripta i dati non è molto frequente e poi con le normali cautele lo eviti, dato che richiede di installare qualcosa sul PC.

      Invece capita spesso che tu visiti un sito Web, questo contiene un po' di codice Javascript che non fa altro che modificare le impostazioni del browser in modo che ogni volta che lo apri ti compare la pagina (presa dalla cache) che contiene il codice Javascript che ti impedisce di chiudere la pagina e di fare qualsiasi altra operazione. Ma è solo un trucco, in realtà non è stato compromesso nulla, basta andare a cancellare la cache, col browser chiuso (se non riesci a chiuderlo, termina il processo). Al successivo riavvio il browser dovrebbe essere tornato alle condizioni normali. Nella peggiore delle ipotesi, usando Firefox, basta terminare il processo, disinstallare Firefox, controllare che sia stato rimosso il profilo (eventualmente fare piazza pulita a mano) e reinstallare Firefox.

      Torno a dire: se non usi IE non si può installare niente in maniera "silenziosa" sul tuo PC, quindi nessuna "sorpresina" può essere "assorbita" da un sito Web per il solo fatto che lo visiti.

      Ci sono solo due modi, uno è quello di scaricare, eseguire e/o installare la sorpresina, l'altro è che la sorpresina venga introdotta sfruttando una falla di un qualche servizio di rete. Dato che Windows espone verso Internet un certo numero di cose che dovrebbero essere riservate ad una rete "sicura", o si disabilitano questi servizi oppure si usa un firewall, più o meno sofisticato. Ovviamente un ente che ci si metta di impegno può sempre trovare il modo di intrufolarsi ma questo normalmente è riservato a bersagli che valgono l'investimento, altrimenti la minaccia viene da un automatismo che punta sui grandi numeri, un po' come le email tipo "sono la tua banca, mi rimandi per favore gli estremi del tuo conto e la password dispositiva?".

      Elimina
    3. il tuo discorso non fa una piega ed è condivisibilissimo, anzi la tua precisazione mi fa molto piacere.

      Tu però dici che il problema è nella cache di Firefox. Io l'avevo tolto, ripulito e reinstallato ma dopo qualche giorno mi ritrovavo col problema. E mi ero accorto che quando con windows avevo questo problema con ubuntu riuscivo a navigare lo stesso anche se era evidente che qualcosa non andasse (problemi di ricerche con google, connessioni a volte in time out o lente),

      Da Ubuntu cliccando informazioni connessione mi ritrovavo i dns primario e secondario cambiati (per provare li avevo impostati manualmente con quelli di opendns) e inserendo nella barra degli indirizzi l'Ip del dns primario arrivavo alla pagina incriminata!!

      Elimina
    4. Che io sappia è impossibile che qualcosa venga installato su una versione qualsiasi di Linux senza che ti venga chiesto di inserire la password di root. In Ubuntu di solito è la stessa password dell'utente "normale" e questo non è proprio il massimo, comunque l'installazione non può essere silente.

      In Windows 7 idem con patate, quando installi qualcosa ti si dovrebbe aprire un pop-up che ti chiede di autorizzare il software in questione. Quindi ancora l'installazione non dovrebbe essere silente. Penso faccia eccezione l'installazione di componenti activeX da dentro IE e per questo ne sconsiglio l'uso.

      Che io sappia non è possibile cambiare le impostazioni della connessione di rete, più precisamente le impostazioni di TCP/IP di cui gli indirizzi DNS fanno parte, da dentro il browser, ne in Windows ne tantomeno in Linux. Con Windows di solito questa è una delle conseguenze della installazione di una "sopresina", che però rientra sempre nel meccanismo "download - esegui/installa".

      Non capisco poi cosa c'entri il passaggio "con Windows avevo questo problema con Ubuntu riuscivo a navigare". Sono due sistemi completamente indipendenti quindi non possono essere influenzati dallo stesso problema, a meno che non sia un guasto hardware.

      Certo, esiste anche l'opzione che il problema sia nel router. In linea teorica ci sono due opzioni, la prima è che qualcuno riesca a prendere il controllo del router dall'esterno, serve user id e password e serve che il router sia accessibile da Internet. La seconda opzione è che tu installi la sopresina e questa provveda a flashare il firmware del router, dopodiché cambiando il firmware si può fare qualsiasi cosa. Epperò qui siamo a livelli di sofisticazione abbastanza elevati, non il genere di cose che fa un automatismo.

      Elimina
    5. infatti, inizialmente risolvevo il tutto resettando il router ma dopo un paio di giorni ricominciava tutto. alla fine ho risolto con Combofix

      Elimina
    6. Ciao a tutti,
      stesso problema, ma a casa di mia madre.
      Sui miei device android ho risolto con la pulizia della cache del browser.

      Mentre per il suo pc, tablet, etc.. ho risolto seguendo i consigli di questa guida che trovate al seguente link: http://aiuto-pc.forumfree.it/?t=65967390#entry560866639 nel secondo post, quello con titolo: "NUOVO VIRUS INTERPOOL-CARABINIERI-POLIZIA DI STATO ecc."

      Cordiali saluti,
      Gabriele

      Elimina
    7. Eh, il miglior antivirus. Un bel tuffo in piscina.

      Elimina
    8. magari.... quest'estate la piscina l'avrò vista si e no tre volte.

      Elimina
  6. Aiutatemi!
    ho un android e oggi mi si è aperta questa pagina col virus che non mi faceva accedere anche alle altre applicazioni. Ho subito disinstallato l'applicazione scaricata poco prima dal web e cancellato tutti i dati di internet. Inoltre ho scaricato avast e malwarebytes. Bastano?
    Quando ho aperto la pagina sono comparsi il io indirizzo ip, il mio numero e il numero dei miei Genitori. Inoltre c'era scritto che i miei dati e file sono stati criptati e registrati. Cosa potrebbero aver salvato? Credete che abbiano salvato qualcosa? Se ora faccio una telefonata potrebbero sentirla? E possono vedere i messaggi che mando o quel che scrivo?
    Aiutatemi sono disperata

    RispondiElimina
    Risposte
    1. come ti colleghi a internet? via wifi con un router?

      Elimina

commenti? fate vobis