Autore: IlSoftware.it

I “ransomware” sono malware che, una volta insediatisi sul sistema, provvedono a metterlo sotto scacco disattivando alcune delle principali funzionalità di Windows, variando in profondità la configurazione del sistema operativo e bloccando l’accesso allo stesso. I virus Polizia di Stato, Guardia di Finanza, Polizia Postale, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), Polizia Penitenziaria sono solo alcuni esempi di malware che bloccano il sistema in uso visualizzando, ad ogni avvio, un messaggio d’avviso fasullo. Gli autori del malware utilizzano nomi e loghi di autorità ed enti italiani e stranieri (anche questo costituisce già di per sé reato) per incutere timore nell’utente e spronarlo al pagamento di una (falsa) sanzione amministrativa.

Ci sono diverse varianti di “ransomware” per gran parte dei Paesi europei, del Nord America e delle nazioni oceaniche: ciascuna di esse, una volta infettato il sistema, si presenta esponendo i loghi delle più famose autorità. L’immagine che segue, elaborata dai tecnici di F-Secure, ben evidenzia come si presentano i “ransomware” dello stesso ceppo nei vari Paesi:

Per chi sviluppa i “ransomware” si tratta di un business enorme che, stando alle ultime stime, frutta milioni di euro annui.

Rimuovere il virus Polizia di Stato e gli altri suoi “fratelli”

I vari malware Polizia di Stato, Polizia Postale, Guardia di Finanza, Polizia Penitenziaria e così via vengono costantemente mantenuti aggiornati dai loro autori. Ciò significa che gli utenti potrebbero vedere i propri sistemi infettati da varianti differenti dei medesimi virus. Indicazioni per la rimozione di una specifica variante del malware, quindi, potrebbero non adattarsi pienamente ad una diversa versione dello stesso virus.

Cerchiamo comunque di offrire un ventaglio di soluzioni per la completa rimozione del virus Polizia di Stato

METODO 1) Rimozione del virus Polizia di Stato e degli altri ransomware con Hitman Pro Kickstart

Tra i migliori strumenti per la rimozione del virus Polizia di Stato, del virus Polizia Postale, Guardia di Finanza, Centro Nazionale Anticrimine Informatico (CNAIPIC), Polizia Penitenziaria si sta recentemente imponendo Hitman Pro Kickstart.
Si tratta di una funzionalità integrata nella più recente versione del software Hitman Pro ed il cui utilizzo viene consentito a titolo gratuito. Mentre il noto Hitman Pro è un programma che viene proposto con una politica di licenza particolare (l’applicazione è in grado di permettere la scansione completa del sistema in uso; eventuali minacce, però, possono essere rimosse solo dopo aver versato la quota di registrazione), Kickstart può essere utilizzato senza alcun genere di limitazione in ambienti non commerciali. L’unico requisito per l’utilizzo della funzionalità Kickstart è la registrazione della trial di Hitman Pro.
Kickstart è stato studiato appositamente per rilevare la presenza di “ransomware” e permetterne l’eliminazione senza troppi mal di testa.
Kickstart permette di preparare una chiavetta USB contenente tutto il necessario per effettuare il boot del sistema infetto da un ambiente sicuramente esente da virus:

Per utilizzare Kickstart e procedere con la rimozione del virus Polizia di Stato (oltre che degli altri malware similari), bisognerà avviare Hitman Pro (non necessita d’installazione) su un sistema “pulito”, inserire una chiavetta USB il cui contenuto possa essere completamente cancellato ed avviarne la preparazione.
Una volta che si sarà configurata la chiavetta USB (la procedura è automatica e richiede pochi istanti), si dovrà riavviare il computer infetto collegando tale supporto. È ovviamente indispensabile che il boot venga effettuato a partire dal contenuto della chiavetta USB di Hitman Pro. A tal proposito, va verificato che nel BIOS sia specificata la corretta sequenza d’avvio (supporti USB prima; disco fisso poi).
Le istruzioni per utilizzare Hitman Pro Kickstart sono pubblicate nell’articolo Rimuovere il ransomware della polizia e le altre minacce con Hitman Pro Kickstart.

METODO 2) Utilizzo di Combofix in modalità provvisoria

Il celeberrimo software gratuito Combofix è capace (soprattutto nelle ultime versioni…) di individuare la presenza dei file correlati con l’azione del “ransomware” e di rimuoverli senza troppe difficoltà.
Anche in questo caso, è necessario appoggiarsi ad un sistema certamente libero da malware e scaricare il programma Combofix (vedere questa scheda). L’applicazione dovrà essere memorizzata in una chiavetta USB.

Dopo aver riavviato il personal computer infetto, si dovrà premere ripetutamente il tasto F8 sino alla comparsa della finestra che permette l’avvio di Windows in modalità provvisoria con supporto di rete.
Requisito indispensabile per ottenere la rimozione del virus è l’accesso con un account dotato dei diritti di amministratore.

Alla comparsa del prompt dei comandi bisognerà digitare, il più rapidamente possibile, explorer e premere il tasto Invio. Nel giro di 2 o 3 secondi, infatti, il malware potrebbe entrare in esecuzione ed impedire qualsiasi ulteriore tentativo di digitazione.

Non appena si aprirà la finestra di Windows Explorer, bisognerà portarsi all’interno della chiavetta ove si è precedentemente memorizzato il software Combofix.
Dopo aver fatto doppio clic sull’eseguibile di Combofix, si dovrà attendere la completa rimozione del malware seguendo. Le istruzioni per l’impiego dell’applicazione sono pubblicate nell’articolo Guida all’uso di Combofix, il programma che elimina i malware più pericolosi e radicati.