Aiuto PC


Guida alla rimozione virus Polizia Penitenziaria- Polizia di Stato-Carabinieri

« Older   Newer »
 
  Share  
.
  1. vicky67
    Posted on 31/7/2014, 08:07 by: vicky67
     
    .

    Master Malware Expert

    Group
    Administrator
    Posts
    4,519
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous

    NUOVO VIRUS INTERPOOL-CARABINIERI-POLIZIA DI STATO ecc.



    Ultimamente è cambiato il sistema di infezione.Viene molto spesso infettato il router modificando i DNS del proprio provider con quelli del server infetto.
    Chi è stato colpito da quest'infezione e riscontra soprattutto all'apertura del browser o durante la navigazione la comparsa della famosa pagina del ransom dovrà effettuare le seguenti operazioni:

    Per verificare se il router è stato infettato:

    Aprire START.Scrivere CMD.Cliccare in alto su cmd.exe.
    Copiare(copia-incolla) la seguente stringa reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters


    In caso il router non fosse stato infettato vi apparirà una schermata tipo questa con l'indirizzo del vostro router(di solito 192.168.0.1 ,192.168.1.1 ,192.168.1.254 ecc.)

    png

    Nel caso fosse stato infettato in DhcpNameServer troverete i dns infetti come nell'esempio

    png

    OPERAZIONI DA FARE IN CASO IL ROUTER FOSSE INFETTO



    1)Aprire la pagina del router(chi non sà l'indirizzo,basta che apra il prompt dei comani "CMD" e scriva ipconfig)
    Alla voce gateway troverete l'indirizzo del vostro router che dovrete copiare nella pagina degli indirizzi del vostro browser.

    4ImxBAr

    Recarsi alla pagina dei DNS(ho postato un esempio di un router,le vostre opzioni potrebbero essere differenti)

    a5LjvRl

    Modificare i DNS infetti sostituendoli con N/A reinserendo la voce automatica o meglio resettare il router.
    Per resettare il vostro router leggete le istruzioni relative al vostro modello specifico(le potete anche trovare sul web)
    Di solito si deve premere un pulsantino per alcuni secondi a secondo del reset(soft o hard).
    In router di proprietà,non forni quindi dal vostro gestore sarà necessario riconfigurarli.Oggi la procedura è piuttosto semplice perchè dovrebbe essserci una procedutra automatica nelle impostazioni del router.

    Aprire la vostra connessione di rete "apri centro connessioni di rete e condivisione"-"modifica impostazioni scheda"-andare sulla vostra connessione wireless-"proprietà"-"protocollo internet versione 4"-assicurarsi che sia settato "ottieni indirizzo server automaticamente".

    Riavviare router e pc e controllare nuovamente se il nslookup da esito positivo.


    2)Scaricare ed eseguire TFC BY OLD TIMER.(le istruzioni sono qui https://aiuto-pc.forumfree.it/?t=66300938).

    3)Resettare o meglio disinstallare i browser con i relativi dati personali.Qui trovi una guida per il reset dei browser.

    Nel caso riusciste a risolvere seguendo la relativa guida date sempre un feedback sul forum qui https://aiuto-pc.forumfree.it/?t=66109105&st=585.Grazie

    In caso contrario postare sul forum e dire le operazioni che avete svolto allegando un log di Farbar recovery scan tool(il link è nella prima parte della guida) eseguito in modalità normale qualora il pc non fosse completamente bloccato.


    Come avviene l' infezione ai router

    L'infezione ai router avviene principalmente sfruttando un bug rom-0 di cui sono affetti alcuni modelli di router e in alcuni casi sfruttando password di default o password poco complesse.


    COME PROTEGGERSI
    1)La miglior cosa in caso di infezione ai router è aggiornare il firmware e cambiare la password di default d'accesso al router inserendone una complessa(numeri e lettere).
    2)Dopo questa operazione si deve verificare su questa pagina http://rom-0.cz/ effettuando il test se il nostro router è rimasto comunque vulnerabile.
    3)In tal caso è importante seguire questa guida per alcuni modelli di router TP LINK e KRAUN o quest'altra per altri modelli per inibire l’accesso al router dall’esterno.

    In linea generale l'importanza dell'ACL sarà quella di bloccare l'intrusione dall'esterno:
    Quindi se ACL:
    è attivato l'IP che sarà contenuto in Access Control List potrà accedere al router.
    è disattivato tutti i client possono accedere al router
    In Secure IP Address:andrà inserito se lo vogliamo abilitare in wan(wireless) il nostro ip locale.
    Con l'indirizzo di default 0.0.0.0 ogni client potrà accedere da remoto al router.

    s3CdfTu

    Dall'immagine abbiamo attivato ACL
    Abbiamo inserito come secure ip address 0.0.0.0 (cio' significa qualsiasi indirizzo ip)
    In Application abbiamo inserito qualsiasi applicazione
    In interface la cosa più importante andrà inserito solo la LAN,in modo da escludere la WAN(wireless).
    In questo modo per accedere al router si dovrà utilizzare il cavo ethernet.

    Un test da effettuare è su questa pagina di questo sito www.yougetsignal.com/tools/open-ports/
    La porta 80 è quella usata dall'amministrazione remota.
    Eseguendo una scansione delle porte aperte sul nostro IP attuale se il nostro router presenta l'amministrazione remota raggiungibile dalla rete ci saranno alcune porte aperte all'accesso web della configurazione remota.
    Al contrario se abbiamo chiuso l'accesso remoto del router le porte saranno chiuse.

    4)inserire nelle proprietà del tcpip (internet versione 4) delle schede di rete dei vostri dispositivi i dns di google
    Primario:8.8.8.8
    Secondario:8.8.4.4

    Edited by vicky67 - 28/3/2015, 16:37
     
    .
1 replies since 19/5/2013, 13:09   31935 views
  Share  
.

Guide per la sicurezza del pc
Create your forum and your blog! · Top Forum · Categories · Help · Status · Contacts · Powered by ForumFree