Il ritorno di questo vecchio virus, aggiornato e molto difficile da togliere. La storia di una battaglia durata giorni…
Il famoso virus della Polizia di Stato era stato trattato ampiamente i mesi scorsi con un nostro articolo. In pratica è il solito virus che blocca il vostro Pc chiedendo un riscatto: ogni navigazione del vostro browser viene re-indirizzata su una pagina fasulla che chiede di pagare una multa (di solito 100 euro) per sbloccare il vostro Pc, il pagamento avviene tramite il sistema Ukash. In questo caso, per fortuna, i file non vengono criptati come nel terribile virus Torrentlocker – Crytolocker.
Il problema di queste ultime settimane, purtroppo, è che il virus della Polizia di Stato è stato modificato e reso ancor più temibile e difficile da debellare se non si sa bene dove cercare per eliminare l'infezione. Ce ne siamo accorti intervenendo in un ufficio dove tutta la rete dei computer era stata bloccata da questa richiesta di riscatto. Ecco come è andata.
Computer bloccato per “attività illegali”
Usando Windows e un qualsiasi browser, aprendo un sito qualsiasi, dopo pochi istanti apparirà la schermata che abbiamo riportato sopra, nell'immagine. Naturalmente la richiesta è fasulla, come già detto più volte, si usa il chiavistello psicologico della “Guardia di Finanza” o “Polizia di Stato” per indurre l'utente a pagare la “multa” (riscatto) a causa di non meglio precisate attività illecite informatiche.
Nella foto appare l'ex Presidente della Repubblica Giorgio Napolitano (magari più avanti i cracker aggiorneranno anche all'attuale Mattarella). Il tutto serve, comunque, a rendere più credibile la richiesta di pagamento e qualcuno ci casca pure.
Impossibile navigare, impossibile chiudere il browser, solo con il task manager è possibile, quindi la navigazione in Internet è preclusa da questo continuo messaggio. Dapprima sembrava che il problema fosse solo collegato al browser Firefox in Windows, con Linux nessun problema, allora bastava “ripristinare” Firefox magari disinstallandolo e scaricando una versione “pulita”: il messaggio spariva. Purtroppo, poi, le cose si sono drammaticamente complicate…
Tutti i dispositivi connessi alla rete WiFi risultavano infetti
La sorpresa è stata grande quando altri dispositivi connessi in Wi-Fi, alla rete dell'ufficio, per navigare, improvvisamente si bloccavano con la stessa pagina che richiedeva di pagare il riscatto. Dispostivi che potevano avere Android (tablet e smartphone), ma anche alcuni computer dotati di Linux! Mai vista una cosa simile, prima!
Dopo aver esaminato i computer con Windows tramite Malwarebytes e il potente antivirus cinese Qihoo, i sistemi sembravano puliti, ma immancabilmente, tempo 24 ore, tutto tornava come prima con la rete dell'ufficio praticamente bloccata su ogni dispositivo e conseguente isteria collettiva.
Decidiamo allora di andare in profondità. Innanzitutto il sospetto si concentra sul router che forniva il Wi-Fi a tutti i dispositivi dell'ufficio, quindi viene resettato, aggiornato il firmware, cambiata la password ed inseriti dei DNS manuali di nostra fiducia, ad esempio quelli di Google. Ripristiniamo Windows da un punto di ripristino piuttosto lontano nel tempo, quindi riscarichiamo gli aggiornamenti del sistema operativo Microsoft e di conseguenza anche il nuovo Internet Explorer (sorpresa delle sorprese funzionava perfettamente e senza virus). Decidiamo di allora di disinstallare di nuovo Firefox e reinstallarlo completamente. Di nuovo una scansione approfondita del sistema tramite i software sopracitati.
Tutto sembrava tornato alla normalità
La rete ricominciava a funzionare normalmente e il pericolo sembrava cessato, ma tempo qualche giorno e il virus si ripresentava di nuovo, bloccando ancora tutti gli hardware connessi. Il sospetto ormai era certezza: i sintomi che accusavano i dispositivi indicavano una debolezza nel software del router che veniva sfruttata per attaccare i DNS, indirizzandoli ad un server esterno.
In effetti, facendo un rapido controllo, osserviamo che i DNS del router sono stati di nuovo modificati e si ridirigono verso un server ucraino, seguendo l'IP anche tramite un Pc collegato in 3G, appare subito la schermata incriminata con la faccia del Presidente della Repubblica Napolitano. E' evidente che qualcosa non va nel router, viene troppo facilmente attaccato. Una rapida ricerca in rete e troviamo la soluzione: Dns modificati nei router Dlink. Molto probabile che questa “debolezza” non sia solo dei Dlink, ultimamente abbiamo ricevuto notizie anche per altri tipi di router. Applicati i nuovi settaggi, reimettendo i DNS di Google, il problema non si è più ripresentato.
Certo, a saperlo adesso tutto sembra più facile, ma scoprire improvvisamente che qualsiasi dispositivo collegato alla rete, che fosse Android, Linux o Windows erano infettati dallo stesso virus, è stato un vero shock. In informatica, però, non esistono i fantasmi e tutto, alla fine, si ricollega ad una qualche spiegazione razionale.
Speriamo che la nostra esperienza possa tornare utile anche a voi.