Virus Polizia: 1.100 PC infettati da ransomware in UK, istruzioni rimozione

Il ransomware è diventato molto popolare tra i criminali informatici e anche se le società di sicurezza hanno lanciato numerosi avvertimenti, ci sono ancora un gran numero di utenti che non sanno come proteggersi da tali minacce. Secondo la Metropolitan Police del Regno Unito, 1.100 internauti hanno segnalato di rientrare tra le vittime di tali regimi. Ancora peggio, 36 di loro sono stati truffati pagando 100 sterline (127 Euro o 155 dollari) di multa richiesta dai truffatori per conto delle forze dell'ordine.

Link nella chat Facebook scaricano virus, infettando Account e PC

Dopo "photo" il virus che per mesi ha infettato gli utenti di Facebook, un nuovo malware minaccia gli utenti del social network più popolare del Web. Anche in questo la diffusione avviene attraverso messaggi sulla chat di Facebook, provenienti da amici che hanno contratto l'infezione. Si tratta d'un malware studiato per accedere agli account ed infettare i computer degli utenti. Come in altri casi già visti, si presenta apparentemente come un file immagine in formato .JPEG, in realtà si tratta d'un file eseguibile .EXE. che una volta avviato darà il via all'infezione.

Il messaggio ricevuto in chat da un vostro amico che ha contratto il virus, vi invita a visualizzare una 'curiosa' foto cliccando su un link incluso

Se clicchiamo verrà avviato il download del cavallo di troia facebook-pic00023434023402.exe, chiamato da Protezione Account col nome di Trojan.AgentPic.Gen.A

Se avviamo il file verrà infettato il PC ed il nostro account invierà il link malicious ai nostri amici. Effettuando una scansione con il programma antimalware Malwarebytes ci viene mostrato il seguente rapporto:

03/08/2011 03:42:43
mbam-log-2011-08-03 (03-42-32).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 34986
Tempo impiegato: 35 minuti, 8 secondi

Processi infetti in memoria: 1
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2
Processi infetti in memoria:
c:\vritualroot\facebook-pic00023434023402.exe\harddiskvolume2\Windows\csrss.exe (Trojan.Agent)

File infetti:
c:\vritualroot\facebook-pic00023434023402.exe\harddiskvolume2\Windows\csrss.exe (Trojan.Agent)
c:\Users\ASUS\Desktop\facebook-pic00023434023402.exe (Trojan.Agent)

Il dominio da cui viene distribuito il malware presenta l'estensione .GR (Grecia) ed in effetti il sito risulta greco. Se sfogliamo tra le varie pagine dello stesso troviamo la vendita di prodotti dietetici. Il consiglio è quello di non cliccare indistintamente sui link ricevuti da amici in chat o in posta. Chiedere all'utente di cosa si tratta per verificare che sia stato realmente lui ad inviarlo. Se avete contratto l'infezione potete avviare una scansione con Malwarebytes Anti-Malware per la rimozione dei file infetti. Fate doppio clic su mbam-setup.exe e seguite le istruzioni per installare il programma. Alla fine, assicurarsi che un segno di spunta sia posizionato accanto alle seguenti voci:

• Aggiornamento Malwarebytes 'Anti-Malware 
• Lancio Malwarebytes 'Anti-Malware

Quindi fare clic su Fine. Se viene trovato un aggiornamento, verrà scaricato e installata l'ultima versione. Una volta che il programma è stato caricato, selezionare Eseguire scansione rapida , quindi fare clic su Scan. Quando la scansione è completata, fare clic su OK, allora Mostra i risultati per visualizzare i risultati. Siate certi che tutto sia selezionato, quindi fate clic su Elimina selezionati. Una volta completato, si aprirà un registro nel Blocco note. L'applicazione canaglia dovrebbe essere scomparsa.

Virus Photo su Facebook: ultimi aggiornamenti e guida alla rimozione

Non c'è tregua per gli utenti di Facebook. Continua l'infezione del "virus photo" attraverso i link inviati da amici in chat. Si tratta di uno tra i più massicci attacchi spam ai danni degli iscritti al social network in blu, degli ultimi tempi dopo l'infezione di koobface, che infetta attivamente il PC. Come abbiamo ripetuto in altre occasioni, il virus si propaga attraverso dei link che fanno riferimento a pagine esterne al social network ma che ripropongono il sito di Facebook, per dar l'impressione di essere ancora all'interno del sito. Altri modi di trasmissione sono delle applicazioni appositamente create da centinaia di profili falsi sparsi sul social network. Qualsiasi sistema di attacco venga utilizzato, se il sistema antivirus installato sul proprio PC non è in grado di rilevare tempestivamente la minaccia - cioè il file eseguibile il cui nome ricorda una foto - il file viene eseguito ed il trojan in esso contenuto da il via all'infezione. I sintomi caratteristici d'un PC infettato nello specifico dal Worm Palevo (che può comunque assumere nomi diversi a seconda del rilevamento) sono i seguenti:

• blocco dell'accesso al proprio account di Facebook
• falso messaggio di errore che avvisa che l'account è stato sospeso
• messaggio di avviso che bisogna rispondere a certi sondaggi

In sostanza il proprio account e l'intero PC viene preso letteralmente in ostaggio dal Worm. Non possiamo naturalmente elencare tutti i link o le applicazioni fraudolente che permettono di scaricare il malware, ma possiamo indicarvi la strada per difendervi e soprattutto rimuovere l'infezione, nel caso l'aveste contratta. A tal proposito vi proponiamo innanzitutto gli screenshot degli ultimi link che ci sono pervenuti in chat.

Chat tipo 1

Chat tipo 2

Chat tipo 3

Chat tipo 4

Chat tipo 5

L'utente, pensando che si tratta d'un messaggio inviato da un amico, cliccherà su link inviatogli e visualizzerà una falsa pagina di Facebook come questa

maldestramente non controllerà l'URL della pagina (se lo facesse capirebbe che si tratta d'una pagina appositamente predisposta) e scaricherà il malware

o si ritroverà su Facebook sulla pagina di una delle tante false applicazioni appositamente realizzate da falsi profili come quello illustrato di seguito

Ci siamo voluti fare una "passeggiata" all'interno del codice HTML della pagina e ispezionando gli elementi abbiamo individuato l'hosting che ospita (a sua insaputa) le pagine fake di Facebook

Se avete contratto l'infezione, non prendetevi di panico (in quanto il vostro account è ancora attivo) ed effettuate una scansione con l'efficace programma di rimozione Malwarebyes in versione freeware, la cui ultima versione potete scaricare dalla pagina ufficiale.

Malwarebytes 'Anti-Malware è in grado di rilevare e rimuovere il malware che noti antivirus non riescono ad individuare. Una volta scaricato e installato il programma avviate l'aggiornamento delle firme del database

Sottolineamo il fatto che bisogna scaricare Malwarebytes 'Anti-Malware versione free, perchè a differenza di quella a pagamento non possiede la scansione il Real Time, che potrebbe andar in conflitto con la soluzione antimalware già presente sul vostro PC

Riavviate il vostro PC possibilmente in modalità provvisoria e senza rete. In modalità provvisoria, Windows viene avviato con un gruppo limitato di file e di driver. I programmi a esecuzione automatica non vengono avviati in modalità provvisoria e vengono installati solo i driver di base necessari per l'avvio di Windows. La modalità provvisoria è utile per risolvere i problemi relativi ai programmi e ai driver che non vengono avviati correttamente o che potrebbero impedire il corretto avvio di Windows, ma in questo caso a non far avviare il virus. Per far ciò rimuovete tutti i dischi floppy, i CD e i DVD dal computer, quindi riavviare il sistema ed eseguite una delle operazioni seguenti:

1. se nel computer è installato un solo sistema operativo, tenere premuto F8 al riavvio del computer. È necessario premere F8 prima che venga visualizzato il logo Windows. Se il logo di Windows è già visualizzato, sarà necessario riprovare dopo aver atteso la visualizzazione della schermata di accesso di Windows e aver arrestato e riavviato il computer.
2. se nel computer sono installati più sistemi operativi, utilizzare i tasti di direzione per evidenziare il sistema operativo da avviare in modalità provvisoria e quindi premere F8.

Nella schermata Opzioni di avvio avanzate utilizzare i tasti di direzione per evidenziare l'opzione relativa alla modalità provvisoria desiderata e quindi premere INVIO. Per ulteriori informazioni sulle opzioni disponibili, vedere Opzioni di avvio avanzate (inclusa la modalità provvisoria).

• Accedete al computer utilizzando un account utente che dispone dei diritti di amministratore. 
• Quando il computer è in modalità provvisoria, negli angoli dello schermo vengono visualizzate le parole Modalità provvisoria 

Quindi lanciate la scansione del vostro PC e al termine procedete alla rimozione dei file che il programma individuerà come minacce. Per uscire dalla modalità provvisoria, riavviate il computer lasciando che Windows venga avviato in modo normale. Se vi ritrovate su Facebook un vostro contatto che continua, insistentemente ad inviarvi messaggi in chat "pregandovi" di scaricare alcune sue foto che, guarda caso, puntano ad un indirizzo web esterno, o peggio ancora che vi chiedono di installare un'applicazione du Facebook, non cliccate e avvertite il vostro contatto di farsi una buona scansione antimalware. Il problema più grave è che la maggior parte degli antivirus sembrano non riconoscere questo tipo di minaccia, se non soltanto dopo aver scaricato il file .exe.