Domanda: Chiedo aiuto per risolvere un problema dal quale non riesco a uscire ovvero il “virus della Polizia”. Da qualche tempo a questa parte quando lancio Firefox, browser che uso abitualmente, dopo qualche secondo appare nell’angolo in alto a destra la freccia animata di scaricamento di un file. Se apro la lista dei download però vedo soltanto i file che ho scaricato io, ma non quest’ultimo. Dopo qualche secondo il browser viene reindirizzato su una falsa pagina della Polizia, con l’immagine di Napolitano, le manette e la solita richiesta di riscatto. Serve a poco chiudere e riaprire il browser, passare a Chrome o Internet Explorer, il risultato non cambia! F-Secure, che uso da anni con soddisfazione, non rileva problemi, anche lanciando una scansione approfondita in modalità provvisoria. Ho masterizzato su un Cd-Rom avviabile l’ultima versione dell’antivirus di Kaspersky ma anche questo non segnala alcunché. Non riuscendo a cavare il classico ragno dal buco ho iniziato a usare Linux Mint 17 come sistema operativo. All’inizio sembrava immune, ma adesso anch’esso manifesta il medesimo comportamento. Ho pensato allora che si potesse trattare di un virus installatosi nel router Adsl ma, dopo diversi azzeramenti dei parametri, reset dello stesso alle impostazioni di fabbrica e l’impostazione di password complicate, il comportamento non è cambiato. Ieri, esasperato, ho sostituito il router Adsl con uno di ultima generazione, un TP-Link dual band, ma dopo nemmeno 24 ore sono al punto di prima. Questo comportamento si manifesta anche negli altri tre computer di casa e sugli smartphone connessi. Nel mio computer principale (quasi al top come componentistica, anche per motivi di lavoro) ho un Ssd da 240 Gbyte con Windows 8.1 e un hard disk da 1 Tbyte con Linux Mint (sempre aggiornati). Non uso boot manager per la selezione del sistema operativo, utilizzo invece il menu di avvio dal Bios della scheda madre. Tutte le connessioni, anche quelle col computer principale, sono Wi-Fi. I computer di casa condividono la linea Adsl ma non si “vedono” tra loro. Non so più cosa tentare, potete darmi una mano?
Risposta: Nelle pagine di PC Professionale abbiamo già trattato i problemi legati alla crescente diffusione del cosiddetto virus Polizia di Stato. Si tratta di un ransomware, ovvero di un virus che richiede il pagamento di un “riscatto” per ripristinare la normale funzionalità del computer. L’infezione si manifesta con la visualizzazione di una schermata in cui si spiega al malcapitato utente che è stata rilevata un’attività illegale tramite il computer e la “Polizia” lo obbliga al pagamento di una multa. Viene inoltre fornito un apposito link che consente di inoltrare il pagamento mediante carta di credito.
Inutile dire che, anche pagando, l’infezione non viene rimossa e diviene dormiente in attesa di mettere in atto una nuova richiesta di riscatto. Purtroppo questo virus viene modificato continuamente e ciò ne rende molto difficile l’individuazione e rimozione dal computer. Anche la schermata che richiede il pagamento è stata più volte sostituita e, oltre alla versione originale “Polizia di Stato”, ora esistono anche richieste di pagamento provenienti dalla Guardia di Finanza, dalla Polizia delle Comunicazioni e chissà quali altri corpi paramilitari.
Le ultime versioni, che sono state diffuse a settembre e ottobre scorsi, utilizzavano uno di questi file:
C:\Users\<nomeutente>\AppData\Local\Temp\f.exe
C:\Users\<nomeutente>\AppData\Local\GDIPFONTCACHEv1.DAT
C:\Users\<nomeutente>\AppData\Local\Temp\EFEE0E09.cpp.
Verificatene quindi la presenza sul vostro computer ed eventualmente provvedete alla loro rimozione. Purtroppo, nel lasso di tempo tra la stesura di questo articolo e la sua pubblicazione, è probabile che il virus sia nuovamente mutato, rendendo queste informazioni inefficaci per la sua rimozione. È quindi inevitabile fare riferimento a qualche strumento di scansione che possa mettere in atto le ricerche necessarie ad individuare l’infezione e rimuoverla.
Secondo quanto riportato nei forum dedicati alla sicurezza informatica, le due utility che hanno dimostrato di essere efficaci per questo virus sono ComboFix e Malwarebytes Anti-Malwar. Inoltre il virus “Polizia di Stato” sembra che ora affligga anche altri dispositivi come tablet e smartphone oltre ai computer da tavolo. Ciò ci porterebbe a pensare che l’infezione utilizzi, oltre all’eseguibile che blocca il computer, anche qualche canale multipiattaforma come Java, Html5 oppure il Flash Player di Adobe.
Purtroppo le informazioni disponibili al riguardo sono ancora troppo frammentarie per una diagnosi attendibile. Invitiamo i nostri lettori che fossero riusciti ad isolare l’origine del problema ad inviarci ulteriori informazioni che non mancheremo di pubblicare sulle pagine di PC Professionale.