Virus Guardia di Finanza che modifica tutti i documenti salvati nel PC


Da qualche settimana sta circolando un virus che blocca il computer dei malcapitati che lo contraggono spacciandosi per un fantomatico messaggio della guardia di finanza. Il messaggio che appare a video, scritto in Italiano, indica che il computer è stato bloccato dalla Guardia di Finanza in quanto sono stati visualizzati siti pornografici, e che per sbloccarlo bisognerebbe pagare una multa di 100 euro (ovviamente tramite pagamenti poco tracciabili come UKash, Paysafecard e simili) .

Le prime versioni di questo virus erano abbastanza semplici da eliminare in quanto bastava eliminare il virus togliendolo dall’esecuzione automatica. Purtroppo recentemente sono comparse altre versioni del molto più aggressive e difficoltose da eliminare, alcune delle quali passano in rassegna tutti i tuoi documenti e li rendono completamente illeggibili. In questo articolo non mi soffermerò sulla rimozione del virus, ma più che altro sul ripristino di tutti i documenti resi illeggibili dal virus.

COME SI PRESENTA IL VIRUS:

Potrebbe presentarsi una schermata che blocca il PC simile a questa:

Virus guardia finanza

Per far sparire la schermata che blocca il computer riavviate windows in modalità provvisoria e cerca di eliminare il virus che si è messo in esecuzione automatica come indicato qui, successivamente ti consiglio una scansione approfondita con l’antivirus, da fare sempre in modalità provvisoria. Non è detto che appaia sempre la suddetta schermata, nel caso esaminato da me il virus è passato subito alla fase più devastante, la modifica di tutti i documenti.

TUTTI I DOCUMENTI RINOMINATI E BLOCCATI DAL VIRUS (locked-):

Il virus passa in rassegna tutti i documenti che hai all’interno del computer: File Word; Excel; pdf; immagini; disegni di autocad; e svolge le seguenti azioni:

  • Rinomina tutti i file inserendo il prefisso “locked-” davanti al nome originale.
  • Aggiunge alla fine del nome una estensione fittizia e casuale composta da 4 lettere o numeri.
  • Modifica i file applicando loro una crittazione, in questo modo nessun programma sarà più in grado di leggerli correttamente.

Praticamente se hai un file chiamato Rapporto.doc il virus lo può rinominare ad esempio in locked-rapporto.doc.oooo. Visto che viene modificata anche l’estensione dei file, non li vedrai più con le classiche icone dei programmi deputati alla loro apertura, e chiaramente non basta rinominare il file con il nome originale in quanto la crittazione lo rende comunque illeggibile.

COME RIPRISTINARE I FILE CORROTTI DAL VIRUS:

Come prima cosa assicurati di aver eliminato il virus, successivamente si può cercare di ripristinare lo stato originale dei file. Per farlo ci vengono in aiuto dei tool rilasciati dalle software house che producono gli antivirus; al momento ne esistono due, ma non è detto che entro breve anche altre software house renderanno disponibili altri tool simili.

I due tool che puoi utilizzare per ripristinare i file sono:

RannohDecryptor.exe (rilasciato da Kaspersky).

Matsnu1decrypt.exe (rilasciato da DrWeb).

Ad entrambi i programmi bisogna fornire un file corrotto ed il corrispettivo file originale prima che venisse modificato dal virus; a questo punto le utility, dopo aver visto le differenze tra il file originale e quello modificato tenteranno di cercare automaticamente tutti i file modificati dal virus e di ripristinarli allo stato originale; in sostanza bisogna avere almeno il backup di un file precedente alla comparsa del virus. Se precedentemente non ti sei salvato nessun file all’esterno del computer infettato, pensa ai documenti che hai inviato via posta negli ultimi tempi, eventualmente puoi farteli rimandare in modo da avere almeno un file “buono” ed il suo corrispettivo corrotto. I due file in questione non devono essere di dimensione troppo piccola.

Prima di ripristinare i file nel computer infetto, consiglio di effettuare una prova su un altro computer portandovi qualche file corrotto, in questo modo scoprirai in modo abbastanza rapido se il tool è in grado di ripristinare i file. Purtroppo esistono diverse versioni e, al momento, i tool indicati non riescono a ripristinare i file di alcune varianti del virus.

 


10 Commenti

  1. Luca 24 maggio 2012
  2. Web Experiments 24 maggio 2012
  3. michela 25 maggio 2012
  4. Web Experiments 25 maggio 2012
  5. sirargo 24 giugno 2012
  6. Web Experiments 1 luglio 2012
  7. Roberto 19 luglio 2012
  8. happydread 3 agosto 2012
  9. Web Experiments 3 agosto 2012
  10. Adri 20 gennaio 2013