Sicurezza Utility — 13 luglio 2012

E’ un’altra forma del famoso virus della guardia di finanza. Oramai utilizzano sistemi sempre più affinati per trarre in inganno gli utenti. Oggi vi parlo di questo virus che è in circolazione: polizia di stato unità di analisi sul crimine informatico virus.

Questa nuova variante del virus della GdF mostra anch’esso una pagina web che chiede stavolta 100 € per sbloccare il pc “infetto”.

I loghi sono quelli del CNAIPIC e presentano un banner superiore con la descrizione.

Per il fantomatico pagamento il sistema pubblicizza Ukash e Paysafecard per il pagamento di questa tassa di sblocco. Sebbene non sia ancora diffuso, la Polizia Postale invita gli utenti a munirsi di software antivirus aggiornato e consiglia di navigare sul web con un account utente senza diritti amministrativi sulla macchina, per limitare l’effetto del malware.

Eccovi i link a metodi per la rimozione.

Metodo 1

Metodo 2(in genere quando il virus è più potente bisogna utilizzare questo)



   
   



Share

About Author

Vito Savino

CEO e fondatore del sito Chiccheinformatiche. Appassionato da anni all’informatica, è un programmatore esperto con la passione per le novità e gli aggiornamenti. Diplomato presso l’ITIS, vanta la realizzazione di software e applicazioni per computer e dispositivi mobili. Con una comprovata esperienza nell’ambito dei sistemi di rete, è esperto anche in hardware e installazioni di network. Oltre all’informatica ha un’altra grande passione, il calcio, che coltiva allenando una squadra di categoria dilettante con enormi soddisfazioni.

(142) Readers Comments

  1. ciao anche io ho preso il virus x l’ennesima vola ma molto più evoluto,prima in modalità provvisoria riuscivo ad entrare e rimettere tutto apposto tramite malawer (credo si chiami così),ora anche in modalità provvisoria mi fa comparire sempre una schermata completamente bianca,vi prego aiutatemi ho un sacco di cose di lavoro sul pc.il mio S.O. è windows 7 e il mio pc funziona a 64 bit.grazie

    • modalità provvisoria prompt dei comandi riesci ad andare? se cosi leggi nei commenti, ho già spiegato cosa fare..

    • PER ELIMINARE VISRUS POLIZIA DI STATO UNITA….. DEVI FARE COSI:
      Apri google e scrivi combofix ti apre il programma te lo scarichi gratis e fa tutto lui devi seguire cosa dice e attendere con me ha funzionato. non pagare nulla e’ un visrus della rete
      ciao ROSARIO FAMMI SAPERE ALLA E-MAIL

      • io l’o scaricato e messo su una pennina ora cosa devo fare?

        • Cosa hai scaricato? ti invito a seguire questa guida che è più aggiornata ;)

    • AIUTATEMIIIIII!!!l’altra sera mi è comparsa una schermata sul pc…era in inglese e diceva di pagare una cifra x sbloccare il pc!io ho fatto il Malware…ma ora ho tutte le foto bloccateeeeeee!!!!come devo fare???le ho perse???

  2. ciao, il metodo più consigliato è di entrare in modalità provvisoria via F8 e seguire le varie procedure…
    ma come succedeva anche a me poi questo virus non mi dava il tempo di fare nulla, perchè entrava dopo qualche secondo in azione.
    quindi mi viene da pensare che ci sia una versione aggiornata più malefica della precedente.
    io ho windows XP e
    COMUNQUE HO RISOLTO COSI':

    1 ho staccato il modem per la connessione ad internet (anche se probabilmente non ha influito questo)

    2 all’avvio premere F8(modalità provvisoria)

    3 appena si apre windows qui viene il bello!!! parte la corsa contro il tempo perchè si hanno davvero pochi secondi prima che il “malefico” blocchi tutto con la sua schermata POLIZIA ECC
    START——TUTTI I PROGRAMMI——ESECUZIONE AUTOMATICA—-tasto destro del mouse su CFMON.exe—-ELIMINA (se ci riuscite ma non penso, svuotate subito dopo anche il cestino!!!!
    Insomma è una corsa nell’eliminare CFMON.EXE che si trova nella cartella ESECUZIONE AUTOMATICA raggiungibile tramite START e poi TUTTI I PROGRAMMI
    IO CI SONO RIUSCITO DOPO DIVERSI TENTATIVI PERCHè LA SCHERMATA DEL VIRUS ERA PIU’ VELOCE DI ME!!!
    POI PRIMA DI RIAVVIARE IL PC HO RIPRISTINATO IL PC AD UN PUNTO DI RIPRISTINO PRECEDENTE A QUANDO HO PRESO IL VIRUS ED IL GIOCO E’ FATTO!!! (•Andare in Menù Start poi in Programmi
    •In seguito in Accessori e in fine in Strumenti del sistema •Scegliere Ripristino del sistema e scegliete il punto da dove ripartire)
    vi saluto spero di essere stato utile…
    Paolo LT

    • ciao ragai oggi mi sono imbattuto nel virus che fa apparire un sito dove compare il logo della polizia di stato. dopo il riavvio in modalita’ debug ho potuto toglierlo con combofix, non partiva ne in provvisoria ne normale e ne directory. solo facendo partire la macchina in modalita’ debug e stato possibile usare combofix.usate anche spybot e poi installa avg free 2013 e scansionate il pc. buon lavoro

  3. A me si bloccava anche la modalità provvisoria semplice, quindi scrivo qui come ho risolto: scarica combofix ( è gratis) da un altro pc, carica su una penna usb, inserisci la penna nel pc infetto, avvia in “modalità provvisoria con prompt dei comandi”, digita “F:” e premi invio, poi scrivi “combofix.exe/Killall” e premi invio. Poi fa tutto da solo, riavvio del pc in modalità “normale” inclusa!

    • Grazie mille Samia!!! Riuscito grazie alla tua dritta…il malware é più resistente e non ti dá il minimo spazio per operare!! Anche in modalitá provv compare…si reisce a fare qualcosa solo con il prompt dei comandi…GRAZIE

  4. Non è proprio così! ; la forma di malaware che ho visto è molto più resistente.
    Non consente l’avvio in modo provvisorio, riavvia in continuo; non è il file ctfmon e se anche lo calcellate in tutte le voci di registro non gli fate un bel niente.
    Ho provato con il disco rescue (kav_rescue_10.iso) e neanche questo lo debella. Parlate e scrivete di cose che non conoscete o parlate della forma vecchia di malaware presente fino a settembre 2012. Ora devi solo che formattare tutto, dopo aver salvato idati avviando con un buon disco tipo Bart PE Builder.
    Sono graditi suggerimenti validi se ne avete.
    Rocco

    • Gentile Rocco,
      è scortese e irrispettoso da parte sua scrivere alcune frasi.
      Parliamo e scriviamo cose senza senso? Ma come si permette!!!

      Di sicuro il virus subisce continuamente varianti e noi, appena ne veniamo a conoscenza (direttamente senza copiare da altri siti come fanno alcuni) cerchiamo di preparare una guida!
      Questo articolo è stato fatto un pò di tempo fa cosi come altri articoli in altri blog ed è normale che possa cambiare qualcosa
      Ripeto è stato molto scostumato.
      Ad ogni modo appena possibile cercheremo di capire come rimuovere la nuova variante.

      • Ok… e per risolvere il problema dato che in modalità provvisoria si riavvia? :(

  5. Virus Polizia o GDF. Con la versione del ransomware di ottobre 2012 la cosa si complica e di molto, attenzione. In altri due casi precedenti l’abbiamo rimosso dai PC aziendali senza problemi più o meno come descritto qui nell’articolo, semplicissimo, ma ora la cosa si fa seria. Dopo averle provate tutte (tre tipi di rescue disk – AVIRA-Kaspersky-Dr.Web-, avvio con Bart Pe Builder nel tentativo di rimuovere il file infettante) abbiamo formattato il disco rigido; bene ha scritto nei settori liberi del disco rigido cioè quelli non appartenenti alla partizione. Non so come ma il malaware era ancora presente e quando andate a caricare il nuovo SO impone di registrare subito la copia nuova di XP o W7, ma una volta registrata non la riconosce ed inizia una routine infinita di registrazioni.
    Quindi abbiamo eliminato le partizioni dal HD e tutto da capo. Questo virus è veramente tosto, è da fermare assolutamente.

    • ciao a tutti, sono contento perchè ho tolto il virus in un baleno.
      Inizio dall’ “inizio”:
      ieri sera ho beccato il virus, altre volte l’avevo già preso, ma, in modalità provvisoria e poi cancella su esecuzione automatica ero sempre riuscito a toglierlo, questa volta era diverso non lasciava mai lo schermo e appariva anche in modalità provvisoria allora ho pensato di usare il dos sempre in modalità provvisoria,ho aperto prompt dos ho digitato start poi rstrui.exe poi invio e come per magia tutto è ritornato a posto dopo il riavviamento.
      spero di essere stato utile a qualcuno ciao

      • Voglio ringraziare di cuore Alberto che con un “semplice” rstrui.exe mi ha svoltato la serata. Grazie davvero

      • Alberto ci sei stato di grande aiuto!!!! grazie

      • Ringrazio Alberto col suo comando rstrui.exe ho risolto alla grande!!!!!grazieeeeeeeee!!!

      • Grazie ALBERTO sei un grande!!!!!!!!!!! mitico con un attimo ci sono riuscita!!!!!!

      • grandissimo!!!!!!!!!!!!!!

      • provvidenziale, non ruscivo a debbellarlo in altro modo, grazie

  6. Nn riesco a fa partire il programma d’installazione dell’antivirus ne da cd ne da usb…ho seguito le indicazioni riportate dal sito ed ho installato successivamente daemon tools per far partire l’installazione ma nessun risultato…C’e qualcuno che puo aiutarmi HELP!!!!!!!!!!

    • Non so se question potra aiutarti ma vale la Pena di provare, non conosco tutte le varianti e a dire il vero e la prima Volta Che mi succede, comunque ti descrivo cio Che ho fatto:
      Sono andato in start /tutti I programmi/ esecuzione automatica Ed ho cliccato con il tasto destro Sul file Che presumibilmente si chiama ctfmon soon andato alla voce proprieta e nella finestra Che si e aperta ho cliccato Sulla voce ” Apri percorso file ” ho cercato il file con data uguale a quando si e bloccato il pc. Probabilmente si chiama issus.exe el’ho rinominato, Non tentate di cancellarlo perche essendo in esecuzione non ve Lo permette.
      Ho cliccato col tasto destro sul file appena rinominato e sono andato sulle proprieta da qui ho aperto il percorso file Ed ho trovato il file con una serie di consonanti e comunque creato sempre il Giorno del blocco , ho rinominato an he questo Ed ho spento il pc tenendo premuto il taste d’accensione. L’ho riavviato Ed ho cancellato I file Che non essendo in esecuzione non Hanno creato problemi. Scusate, dimenticavo, prima di fare tutti questo ho spento la connessione a internet.

      • Anche io ho semplicemente rinominato il file e cosi non è riuscito più ad avviarsi, e poi ho eliminato il file rinominato da me che stavolta si è fatto cancellare senza problemi!! ma gli antivirus non funzionano con questo virus? avast non lo ha riconosciuto come virus

        • purtroppo gli antivirus non lo riconoscono come tale! :(

  7. Buongiorno. Il notobook di mio marito è stato infetto da questo virus e grazie alle informazioni trovate su questo sito, siamo riusciti a rimuovere il virus nel terzo tentativo. Il metodo che è funzionato è il misto dei rimedi suggeriti dal Metodo1 e dai commenti di Biagio e Ilenia (18 & 22 ottobre) descritti qui sopra. 1. Avvio del pc in modalità provvisoria con il tasto F8 premuto. 2. Tutti i programmi – Esecuzione automatica – rinominare i nomi dei file creati nel momento dell’infezione (forse poiché era il terzo tentativo, mio marito ne aveva addirittura quattro file, mentre nel primo tentativo c’era solo un file con il nome cftmon. Quindi presuppongo che ci sia solo un file responsabile nel vostro primo tentativo), 3. Spegnere il pc, avviarlo di nuovo in modalità provvisaria (con il tasto F8 premuto) ed eliminare i file /il file il cui nome avete cambiato e svuotare il cestino, 4. Avviare il pc normalmente e finalmente senza quello schermo fraudolente e senza il virus! Grazie mille per le informazioni preziose. Pensando che anche ai miei connazionali (giapponesi) potrebbero capitare tale virus, ne ho scritto un articolo nel mio blog in giapponese, citando i link di questo sito. Spero che ciò non vi dispiaccia.http://cuoreverde.exblog.jp/18113418/

  8. Io ho beccato questo virus in luglio. L’ho rimosso facilmente ma i problemi sono nati dopo. Mi sono ritrovata con migliaia di file illegibili, con nomi cambiati e senza estensione. Ho provato a recuperarli con questi pgm: File Repair, EASEUS Data Recovery Wizard Professional 5.5.1, Namosoft Data Recovery 2, ma sono riuscita a recuperarne solo una ventina. Non ho avuto problemi invece a recuperare i file mp3 ma con tutte le altre estensioni (doc, xls, pd, ecc.) non ho avuto successo. Tra l’altro mi hanno sputtanato anche tantissimi link che avevo nei preferiti. Qualcuno di voi mi può aiutare?
    Grazie

  9. A ME IL VIRUS NASCOSTO TUTTE LE CARTELLE DELLE FOTO,.. DOPO RECUPERATE LE VCARTELLE, ERANO VUOTE, .. DOVE SONO FINITE LE MIE FOTO ? .. POSSO RECUPERARLE ?
    MANDATEMI UNA CELERE RISPOSTA.
    GRAZIE

    • MARIO IO TI CONSIGLIO DI ANDARE DAI CARABINIERI PER FARE DENUNCIA QUERELA CONTRO I LVIRUS DELLA GUARDIA DI FINANZA..
      CIAO
      CIAO
      ((((((((((((((((((((-*-__.__-*-))))))))))))))))))..

    • si ci sono vari programmi di recupero. leggi qui

  10. Io invece di pc ne capisco veramente poco
    E non saprei come fare o provato a premere f8 ma mi da solo la pagina iniziale del dekstop e non mi appare nulla non mi fa cliccare nulla e non so che fare
    Neanche so come si fa l’esecuzione automatica

  11. Grazie di tutto ho seguito alla lettera e sono riuscito a risolvere.
    Grazie ancora siete stati fondamentali

  12. Ciao a tutti,
    vittima anch’io della “polizia di stato” ho cercato di eseguire le istruzioni riportate ma si è verificata una cosa inattesa: non sono riuscito a riavviare il pc in modalità provvisoria perchè è entrato normalmente in windows; tuttavia mi ha dato tutto il tempo necessario per verificare che in esecuzione automatica non ci fossero programmi (dicitura vuoto) ed attivare una scansione con l’antivirus (microsoft security essential); l’antivirus ha trovato ed isolato 5 programmi infetti. A questo punto ho cancellato tutto ed ho eseguito una verifica veloce dei file nelle varie cartelle constatando con sorpresa che tutto sembra a posto.
    Devo aspettarmi qualche sorpresa nei prossimi giorni? Si può fare qualche altra verifica od analisi del pc?

    Grazie per l’aiuto!!!

    • io proverei ad eseguire COMBOFIX, è il migliore nel caso specifico ;)

  13. Ciao ,a me e’ sucesso il 29 dicembre ,schermata ” Polizia postale” ho immediatamente staccato la connessione e il pc!Quando l’ho riacceso nessun problema apparente internet funzionava ,la schermata non e riapparsa ,e non c’erano sintomi forti di infezione! mi sono accorto che nn trovavo task manager ,poi sono riuscito a trovare il modo di andare nel menu avvio automatico e’ ho levato le spunte in due programmi in uno c’era la sigla del virus! (RUNCLIFT)o (RUNDGT) poi sono andato in start strumenti esecuzione automatica cliccandoci sopra c’era la sigla del virus( RUNDGT) o (RUNCLIF),ora cliccando su esucuzione automatica mi da vuoto! dopo varie scansioni con l’antivirus free”AVG free edition 2013″ nn li rileva neanche! poi ho scaricato (MBAM) ma nulla !(devo aver eseguito male la scansione si e’ anche bloccato)allora siccome esalta piu’ di tutti come consiglio in vari forum che ho visitato! quasi tutti!! ho scaricato COMBOFIX ! l’ho lanciato in mod provvisoria e mi ha generato un log! se lo posto? c’e qualkuno che mi puo’ aiutare! ! ciao grazie!! MAX
    .P.S. Il pc a sempre funzionato” bene( “apparentemente”) dopo l’apparizione della schermata Polizia Postale !

    • certamente.

  14. provato il metodo di alberto , niente da fare ,….mi sà che dovrò formattare

  15. Le ho provate tutte!!!! ok, con il computer sono un disastro, ma anche seguendo tutte le indicazioni….sempre una bella schermata bianca!!! ora ultimo tentativo con il ripristino config. sistema… Grazie cmq a tutti per i suggerimenti, per fortuna ci sono le “chicche” :)

    • L’ultima versione è un po’ ostica da rimuovere: per quanto mi riguarda ho agito in questo modo:
      Fatto partire Windows in prompt dei comandi (tasto f8 all’avvio del pc). Ho creato una nuova utenza dal prompt digitando il seguente comando: “net user nuovo_utente password /add” naturalmente sostituendo “nuovo_utente” e “password” con un nome e una password a mio piacere.
      A questo punto riavviando il pc potete entrare con la nuova utenza funzionante a potete poi lanciare combofix o altri malware senza problemi: io personalmente ho usato la rimozione gratuita della Norton che trovate sul sito (attenzione ad usarla con cura; se non si è tanto esperti di pc consiglio di piu’ combofix)

  16. Anch’io mi sono trovato a fronteggiare questo virus e mi ha fatto perdere una giornata… In buona parte grazie ai vostri consigli l’ho risolto così:

    La carogna partiva anche in modalità provvisoria, ma avviando in modalità provvisoria con prompt dei comandi sono riuscito a lavorare:
    Combofix avviato da chiavetta non ha risolto il problema, al riavvio la schermata era ancora presente.
    Nemmeno il comando rstrui.exe ha funzionato (non lo riconosceva).
    Anche bazzicando nelle chiavi di registro non trovato nulla di anomalo (com’è descritto per altre varianti).
    Comunque, dal prompt dei comandi ho fatto partire task manager (ctrl+alt+canc ha funzionato) e da qui file->esegui ho avviato msconfig, ho spuntato ctfmon.exe tra i programmi di avvio, e ho preso nota del percorso indicato, era c:\windows\system32\ctfmon.exe e l’ho eliminato. (Per navigare agilmente nel dos ho usato wordpad (si avvia scrivendo “wordpad”) e da questo file->apri e si visualizzano le cartelle). Al riavvio successivo il virus non si è ripresentato.
    Risolto così il problema ho fatto una scansione con AGV che ha trovato 7 file da eliminare. Ora sto ancora facendo un po’ di scansioni con anti-malaware, ma credo che il problema sia risolto.
    Una cosa che non ho capito, è che anche su un computer non infetto c’è quel ctfmon.exe tra i programmi di avvio… (e fa sempre capo al file in system32)…

  17. Alberto, sei un mito!
    Risolto il problema,in 5 secondi, con il metodo da te indicato.
    GRAZIE! CONSIGLIO A TUTTI DI SEGUIRE LE
    SUE INDICAZIONI!

  18. ciao … ho il virus della polizia di stato , finora ho usato kaspesky disk 10 ma nn sono riuscito a trovarlo , il mio sistema operativo è un xp con doppia partizione, l’unica operazione che posso usare è la modalità provvisoria promot , quindi vorrei usare combofix facendolo partire da cd però …. potete aiutarmi dicendomi tutti i comandi che ho di bisogno … grazie ciao

  19. Sei stato grande!!!Di grandissimo aiuto!!!!!!

  20. Ringrazio tutti per i vostri consigli, soprattutto Alberto, i virus non mi dava tregua, schermo completamente bianco e sempre. Il virus si presentava con la pagina di blocco pc da parte dell’FBI, dovevo pagare 300$ per lo sblocco. Grazie a tutti e al vostro sito. Marco

  21. ciao anche io ho preso questo maledetto “virus” anche se dicono che non è un virus
    comunque
    visto che l’ho gia’ preso due anni fa’ sto virus un’amico programmatore che purtroppo ora ho perso di vista mi ha aperto sul desktop 4 utenze una sola con poteri amministrativi e altre 3 senza poteri amministrativi di queste 3 una si è salvata probabilmente mi ha messo delle protezioni interne che io giustamente nn so e nn è stata infettata quindi io posso usare il computer infetto ma nn aprire il computer con l’utente che ha poteri amministrativi.

    posso quindi si accedere al computer ma in una utenza che non ha poteri amministrativi
    da qui posso entrare in internet e nn posso scaricare molti antivirus perche’ mi dice che bisogna avere poteri amministrativi

    ora mi chiedo da qui cosa posso fare?
    posso lanciare antimalwere cobofix o norton
    o devo agire in un modo piu’ semplice
    oppure devo andare comunque in modalita’ provvisoria
    volevo provare il sistema di Alberto ma come si fa’ ad andare sul dos in modalita’ provvisoria?
    una volta che arrivo al dos forse poi riesco a fare il resto come da sue indicioni e vedere se si sistema
    per qualsiasi cosa debba fare me la spiegate come si spiegherebbe ad una bimba di 5 anni so qualche cosa di computer ma al primo trattino o slesh da inserire oltre la parola mi perdo.

    se dall’apertura del computer visto che riesco ancora ad entrare c’e’ un sistema piu’ veloce ditemelo
    grazie
    grazie a chi mi risolve il problema
    ps dimenticavo gestisco un bar quindi aperitivo offerto
    poco ma sicuro
    ciao

  22. scusate, ieri mi era venuto fuori il virus della polizia postale, ho staccato la spina riacceso il computer e tutto è tornato normale, come virus ho Microsoft security essential, e dove era rilevato il virus cliccando su “rimuovi” è sparito, è tutto a posto o credete che il virus ci sia ancora nel computer? non sono molto esperto di pc e spero di essermi spiegato bene, ringrazio in anticipo x le risposte

Rispondi