Iniziato con la finta pagina della Guardia di Finanza che intima di pagare una multa di 100 euro per aver scaricato materiale pedo-pornografico e promulgato attività terroristiche, ora si va ad aggiungere anche la S.I.A.E. alla lunga lista delle “entità” che si accontentano di 100 euro per chiudere un occhio e restituire l’uso del computer all’utente accusato di aver scaricato illegalmente musica e materiale coperto da Copyright. L’analisi del nuovo virus categoria ransomware è effettuata dalla società antivirus italiana Tg Soft.
Ovviamente anche in questo caso le informazioni riportate sulla pagina sono fasulle e non bisogna assolutamente cadere nel tranello di pagare alcuna somma di denaro. Il trucco è sempre lo stesso: cercare di sfruttare il panico dell’utente per fargli pagare un riscatto per paura di conseguenze ben peggiori. In quest’ultimo caso la finta S.I.A.E. richiede il pagamento di una “tassa di sblocco” di 100 euro per sbloccare il computer ed evitare ulteriori conseguenze giuridiche e penali. Di seguito un esempio della pagina visualizzata sul computer infetto.
Nei casi finora riscontrati, il file presenta il nome BSI.bund.exe e si "installa" nella cartella Dati Applicazioni relativa all'utente che era loggato su Windows al momento dell'infezione. Il malware sopravvive al riavvio modificando alcune chiavi di registro per partire automaticamente con Windows. Le chiavi modificate sono, rispettivamente:
[HKLM\Software\Microsoft\Windows NT\Winlogon]:
[shell] = %AppData%\BSI.bund.exe
[userinit] = %AppData%\BSI.bund.exe, C:\Windows\system32\userinit.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:
[nome_casuale] = %AppData%\BSI.bund.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:
[nome_casuale] = %AppData%\BSI.bund.exe
dove %AppData% = C:\Documents And Settings\{nome_utente}\Dati Applicazioni
Nel caso in cui vi trovaste in questa spiacevole situazione, potrebbe essere possibile risolvere il problema avviando il computer in Modalità Provvisoria (tramite il tasto F8 premuto a ripetizione prima dell’Avvio di Windows all’accensione del computer) e facendo una scansione con una versione aggiornata di Vir.IT eXplorer. Una volta effettuata una scansione e ripulito il computer, dal Menu Tools di Vir.IT eXplorer si può utilizzare la funzione "Ripara IE + Impostazioni Windows" per ripristinare le chiavi di registro modificate dal malware.
È inoltre necessario ripristinare la visualizzazione delle icone del Desktop che questa variante nasconde. L'opzione di visualizzazione delle icone sul Desktop è facilmente riattivabile cliccando con il tasto destro del mouse sullo sfondo, entrando nella voce di menu Visualizza (su Windows Xp chiamata "Disponi icone per") e mettendo la spunta su "Visualizza Icone del Desktop".
Per questo motivo TG Soft rende disponibile la sua versione Free del prodotto Vir.IT eXplorer, interoperabile con altri antivirus già presenti sul proprio computer; molto leggero da utilizzare perché richiede un bassissimo uso di Cpu, gratuito e completamente in italiano.
Nel caso in cui il malware abbia disattivato anche la modalità provvisoria, come purtroppo spesso accade, gli utilizzatori di Vir.IT eXplorer PRO in possesso di una licenza valida possono rivolgersi al supporto tecnico TG Soft riservato, per la rimozione del malware. È possibile contattare il servizio di assistenza tecnica telefonicamente ai numeri 049 631748 o 049 632750 attivi dal Lunedì al Venerdì dalle ore 09:00 alle ore 12:30 e dalle 14:30 alle 17:00 o tramite le altre modalità di contatto che è possibile trovare all'interno della pagina Assistenza Clienti.
Nessun commento:
Posta un commento