Virus Guardia di Finanza che modifica tutti i documenti salvati nel PC
Da qualche settimana sta circolando un virus che blocca il computer dei malcapitati che lo contraggono spacciandosi per un fantomatico messaggio della guardia di finanza. Il messaggio che appare a video, scritto in Italiano, indica che il computer è stato bloccato dalla Guardia di Finanza in quanto sono stati visualizzati siti pornografici, e che per sbloccarlo bisognerebbe pagare una multa di 100 euro (ovviamente tramite pagamenti poco tracciabili come UKash, Paysafecard e simili) .
Le prime versioni di questo virus erano abbastanza semplici da eliminare in quanto bastava eliminare il virus togliendolo dall’esecuzione automatica. Purtroppo recentemente sono comparse altre versioni del molto più aggressive e difficoltose da eliminare, alcune delle quali passano in rassegna tutti i tuoi documenti e li rendono completamente illeggibili. In questo articolo non mi soffermerò sulla rimozione del virus, ma più che altro sul ripristino di tutti i documenti resi illeggibili dal virus.
COME SI PRESENTA IL VIRUS:
Potrebbe presentarsi una schermata che blocca il PC simile a questa:
Per far sparire la schermata che blocca il computer riavviate windows in modalità provvisoria e cerca di eliminare il virus che si è messo in esecuzione automatica come indicato qui, successivamente ti consiglio una scansione approfondita con l’antivirus, da fare sempre in modalità provvisoria. Non è detto che appaia sempre la suddetta schermata, nel caso esaminato da me il virus è passato subito alla fase più devastante, la modifica di tutti i documenti.
TUTTI I DOCUMENTI RINOMINATI E BLOCCATI DAL VIRUS (locked-):
Il virus passa in rassegna tutti i documenti che hai all’interno del computer: File Word; Excel; pdf; immagini; disegni di autocad; e svolge le seguenti azioni:
- Rinomina tutti i file inserendo il prefisso “locked-” davanti al nome originale.
- Aggiunge alla fine del nome una estensione fittizia e casuale composta da 4 lettere o numeri.
- Modifica i file applicando loro una crittazione, in questo modo nessun programma sarà più in grado di leggerli correttamente.
Praticamente se hai un file chiamato Rapporto.doc il virus lo può rinominare ad esempio in locked-rapporto.doc.oooo. Visto che viene modificata anche l’estensione dei file, non li vedrai più con le classiche icone dei programmi deputati alla loro apertura, e chiaramente non basta rinominare il file con il nome originale in quanto la crittazione lo rende comunque illeggibile.
COME RIPRISTINARE I FILE CORROTTI DAL VIRUS:
Come prima cosa assicurati di aver eliminato il virus, successivamente si può cercare di ripristinare lo stato originale dei file. Per farlo ci vengono in aiuto dei tool rilasciati dalle software house che producono gli antivirus; al momento ne esistono due, ma non è detto che entro breve anche altre software house renderanno disponibili altri tool simili.
I due tool che puoi utilizzare per ripristinare i file sono:
RannohDecryptor.exe (rilasciato da Kaspersky).
Matsnu1decrypt.exe (rilasciato da DrWeb).
Ad entrambi i programmi bisogna fornire un file corrotto ed il corrispettivo file originale prima che venisse modificato dal virus; a questo punto le utility, dopo aver visto le differenze tra il file originale e quello modificato tenteranno di cercare automaticamente tutti i file modificati dal virus e di ripristinarli allo stato originale; in sostanza bisogna avere almeno il backup di un file precedente alla comparsa del virus. Se precedentemente non ti sei salvato nessun file all’esterno del computer infettato, pensa ai documenti che hai inviato via posta negli ultimi tempi, eventualmente puoi farteli rimandare in modo da avere almeno un file “buono” ed il suo corrispettivo corrotto. I due file in questione non devono essere di dimensione troppo piccola.
Prima di ripristinare i file nel computer infetto, consiglio di effettuare una prova su un altro computer portandovi qualche file corrotto, in questo modo scoprirai in modo abbastanza rapido se il tool è in grado di ripristinare i file. Purtroppo esistono diverse versioni e, al momento, i tool indicati non riescono a ripristinare i file di alcune varianti del virus.
Web Experiments , 14 maggio 2012.
Commenti
10 commenti per “Virus Guardia di Finanza che modifica tutti i documenti salvati nel PC”
Scrivi un commento
Sicuramente io ho a che fare con qualche variante
ho provato piu’ file per fare la comparazione ma niente
Consigli??
Ciao Luca,
hai provato con entrambi i programmi indicati nell’articolo? Che messaggio ti restituiscono?
se non si ha una copia dei file si rimane fregati così???
Ciao Michela, una copia buona di un file solitamente la si riesce a trovare. Quasi sempre c’è un documento che si è inviato via mail (in questo caso si chiede al destinatario di rimandarcelo) o si è precedentemente copiato in una pendrive. visto il danno che il virus provoca, un file buono in un modo o nell’altro bisogna procurarselo.
Ma se in qualche modo si riesce a trovare il file di backup, a cosa serve passarlo nel software per decriptare visto che ce l’ho già bello che pulito?
Sirago serve per decriptare tutti gli altri (che non hai puliti) in automatico.
Sta mattina mi è successo una cosa simile, invece che la guardia di finanza c’era il messaggio di errore di Windows update.
cmq il virus sono riuscito a toglierlo ma i file sono stati compromessi, non riesco più a leggerli. i Nomi non hanno il “Locked” ma sono cambiati completamente “vQJaNDQpOsvTrlQpgeJaN”
Ho provato a usare i programmini qui sopra ma mi dicono che è trojan sconosciuto!
Buona giornata
A me nn esce il sito della finanza ma che xp nn è originale, ma il cambio di nome è il medesimo…
Ciao happydread, ti viene chiesto di pagare una somma didenaro come nel caso del virus della guardia di finanza?
a me, invece, i file e anche le cartelle non sono state rinominate ma è stata cambiata la dimensione e adesso tutti i file e le catelle hanno tutti una dimensione di 32kB.
C’è qualcuno che è riuscito a capirci qualcosa?