La Cyber GDF…che ovviamente è una truffa

 

[UPDATE 02/08/2012] C’è una nuova variante di questo virus. Se non riconosci lo screenshots riportato qui sopra consulta questa pagina

La nuova frontiera del “crimine” e dei virus consiste nello spaventare gli utenti creando false schermate nel quale la Guardia di Finanza richiederebbe il pagamento di 100 euro (si..cento euro!) per liberarvi del suddetto virus.

Mi è capitato tra le mani per via di un amico che, tentando di scaricare qualcosa di porno, s’è beccato questo simpaticone che in sintesi apre un exe che tenta di visualizzare una pagina internet. In qualche modo disabilita tutte le scorciatoie da tastiera e dopo un alt+f4 ci si ritrova davanti al proprio wallpaper senza poter far altro (a parte win+L).

Liberarsene è molto semplice: un riavvio in modalità provvisoria ci eviterà l’esecuzione del maleware e potremmo eliminarlo dal mesù di avvio rapido (e per sicurezza anche tramite msconfig). lo si riconosce subito dal nome: 0.numeri_a_caso.exe e ha un path di esecuzione molto lungo (bisogna ridimensionare molto le colonne di msconfig per vederlo interamente).

Il file che poi dovremmo eliminare ha lo stesso nome e si ritrova nella temp dell’utente (path comunque visibile in msconfig).

La cronologia degli ip utilizzati (e alcuno informazioni più tecniche rispetto alle mie) le possiamo trovare su TG Soft.it

Dalla scrittura dell’articolo di TGSoft qualcosa è cambiato però: il dominio cyber-gdf.net risulta scaduto e l’ip di riferimento è cambiato. E ha cambiato anche nazione: nel mio caso risulta essere moldavo (e non russo) mentre l’eseguibile è comunque firmato come russo. L’ip, nel mio caso, è 87.255.73.47 e fa parte del provider moldavo Arax-Impex Srl ma non sono purtroppo riuscito a risalire a chi ha registrato questo ip: pare non vi siano dns ricollegabili. O magari io non li ho trovati: a esser sincero la mia intenzione è far chiarezza su come liberarsene più che trovare chi abbia inventato questa truffa.

Quindi attenzione: è già assurdo che la Guardia di Finanza blocchi un computer da remoto per presunte violazioni di pedofilia, zoofilia e pirateria (tutto insieme per non sbagliare) e che vi chieda di pagare 100 euro attraverso coupon ukash/paysafe card che sono due servizi di pagamento online paragonabili a grandi linee all’accoppiata paypal/postepay.

Purtroppo di html e javascript non ci capisco molto e quindi non so dire l’applet js di quel sito a chi mandi i dati. Se qualcuno riesce a scoprirlo sarebbe utile divulgarlo e dare un nome (o almeno un alias) a questa falsa fiamma gialla.

[UPDATE 02/08/2012] C’è una nuova variante di questo virus. Se non riconosci lo screenshots riportato qui sopra consulta questa pagina

---
Una VPN economica, veloce, sicura e affidabile? Prova Surf Shark!. Uno sconto dell'82% per gli utenti di aklab.org!
--
E tu cosa ne pensi? Faccelo sapere nei commenti e condividi il post sui social!
---
Vuoi rimanere sempre aggiornato? Non perdere nessun post: iscriviti al canale Telegram e alla pagina Facebook!