An old scam has resurfaced, with a threat once thought extinct showing signs of life once more.
SHARE
The *Arma dei Carabinieri* message is a banner that may appear on your PC, attempting to mimic notifications from Italy’s national gendarmerie. Cybercriminals use their name and authority to convince users from Italy into paying a non-existent fine to unlock their computers. In this post, I will describe the principle of how this malware works and show how to remove it from the system.
The message from Arma dei Carabinieri is generated by a malicious program that locks access to the system. It is in some way similar to ransomware, though contrary to it, Arma dei Carabinieri virus does not encrypt any files. Its main action is showing a message in Italian stating: *”ATTENZIONE! Il Suo computer personale è stato bloccato per motivi di sicurezza per le seguenti ragioni”. It further demands paying a 100 Euro fine via PaySafeCard or Ukash, so the user gets their computer back to normal.
Banner created by the Arma dei Carabinieri ransomware
Click to expand full text
Arma dei Carabinieri.
Polizia delle comunicazioni.
Centro nazionale anticrimine informatico.
per la protezione delle infrastrutture critiche.
ATTENZIONE! Il Suo computer personale è stato bloccato per motivi di sicurezza per le seguenti ragioni. Lei è accusato di visualizzazione / memorizzazione e / o distribuzione di materiale pornografico di contenuto proibito (pornografia infantile / bestialità / stupro. ecc.) Lei ha violato la Dichiarazione Universale sulla lotta contro la diffusione di materiale pedopornografico e accusato di un reato ai sensi dell’articolo 161 del Codice Penale della Repubblica Italiana.
L’articolo 161 del Codice Penale della Repubblica Italiana prevede come pena la privazione della libertà da 5 a Il anni.
Inoltre. Lei è sospettato di aver violato la “Legge sul diritto d’autore e diritti connessi” (scaricamento della musica pirata, video, software senza licenza), e l’uso e/o la distribuzione di contenuti protetti dai diritto d’autore. In questo modo Lei è sospettato di aver violato l’articolo 148 del Codice Penale della Repubblica Italiana.
L’articolo 148 del Codice Penale della Repubblica Italiana prevede come pena una multa di 150-550 unità di base oppure la privazione della libertà da 3 a 7 anni.
Dal Suo computer personale è stato commesso un accesso non autorizzato all’informazione chiusa all’accesso pubblico ed all’informazione d’importanza statale nella rete Internet.
Lei poteva organizzare l’accesso non autorizzato deliberatamente per motivi di lucro, oppure l’accesso non autorizzato poteva avvenire senza la Suo conoscenza o il Suo consenso, siccome il Suo computer personale potrebbe essere infettato da software maligno. Cosi, Lei è sospettato, finchè rinvestigazione sarà condotta, di indagare in violazione involontaria dell’articolo 215 del Codice Penale della Repubblica Italiana (“La legge sull’uso sconsiderato e negligente di computer/PC”).
L articolo 215 del Codice Penale della Repubblica Italiana prevede come pena una multa di €100.000 e/o la privazione della libertà da Sa Danni.
Anche nel corso dellanalisi delle informazioni memorizzate sul Suo computer personale, si è constatato che dal Suo PC in maniera regolare avvengono i mailing di spam di massa, i quali Lei ha volontariamente organizzato per motivi di lucro oppure i quali avvengono senza la Suo conoscenza o il Suo consenso, siccome il Suo computer personale potrebbe essere infettato da software maligno. Questi mailing distribuiscono software dannoso o materiali pornografici vietati. Cosi, Lei è sospettato, finchè rinvestigazione sarà condotta, di indagare in violazione involontaria dell’articolo 301 del Codice Penale della Repubblica Italiana (“La legge sul combattimento dello spam e la diffusione di software dannoso (virus).
L’articolo 301 del Codice Penale della Repubblica Italiana prevede come pena una multa di €250.000 e la privazione della libertà fino a 5 anni.
Si prega di notare che i Suoi dati personali e la Sua locazione sono identificati e contro di Lei può essere iniziato un procedimento legale entro 96 ore della violazione ai sensi degli articoli del codice penale come descritto sopra. I materiali del procedimento penale saranno trasferiti alla corte.
Tuttavia, in conformità con le modifiche al Codice Penale della Repubblica Italiana dal 10 luglio 2013 e la Dichiarazione dei Diritti Umani le Sue violazioni possono essere considerate involontarie (se tali violazioni sono state commesse da Lei per la prima volta), e Lei non sarà perseguiti. Questa condizione può essere soddisfatta mediante il pagamento della Sua multa al reddito dello Stato (a sostegno di progetti per la protezione del cyberspazio della rete Internet).
La multa deve essere pagata da Lei entro 48 ore dopo la violazione. Una volta che le 48 ore sono trascorse, per ulteriori 48 ore saranno raccolte automaticamente le informazioni complete su di Lei, e Lei te sarà perseguito. La dimensione della Sua multa è 100€. La multa si puà pagare con l’aiuto dei voucher PaySafeCard oppure Ukash.
Una volta che si paga la multa e il denaro verrà accreditato sul conto dello stato, il computer sarà sbloccato entro 24 ore.
Dopo di questo, entro 7 giorni Lei è obbligato di eliminare tutte le violazioni connesse con il Suo computer personale. Nel caso che le violazioni non saranno eliminate, il Suo computer verrà bloccato di nuovo, e Lei sarà perseguito (senza la possibilità di pagamento di una multa).
Si noti che Lei deve inserire codici validi dei voucher fiscali quando si paga la multa, e non incassare i voucher introdotti dopo il pagamento. Se si inseriscono codici scorretti dei voucher fiscali o se si tenta di annullare i voucher fiscali dopo il pagamento, oltre alle violazioni sopraindicate Lei verrà accusato di frode (Articolo 377 del Codice Penale della Repubblica Italiana; questo articolo prevede la privazione della libertà da 1 a 3 anni), e Lei sarà si perseguito.
The strategy is pure intimidation, with no real relation to any law enforcement agency. The Arma dei Carabinieri message accuses the user of illegal activities, like viewing prohibited content or using pirated programs, and creates a false sense of urgency with a 48-hour countdown timer. However, Arma dei Carabinieri would never use such tactics to enforce penalties or collect fines. Paying the “fine” doesn’t restore access but merely gives money to cybercriminals.
How does Arma dei Carabinieri virus work?
Arma dei Carabinieri virus is an example of a malware type that was considered extinct for quite some time. It is a Windows blocker, malicious program that blocks access to Windows desktop and displays the banner that you’ve seen above instead. The virus runs with the system startup, and blocks the desktop even after the reboot.
All this may look realistic for users, since there is no visible way out of this banner. Also, as the system remains unusable with this banner on, the seemingly only way out is to pay the demanded “fine” and get it back to normal.
In order to pull this trick, Arma dei Carabinieri virus modifies a selection of crucial system files and configurations upon execution. Among them are registry keys related to the user session, particularly userinit.exe. Malware changes the route to the file to one of its files, making the system run it instead of the normal one. This is what leads to this banner appearing together with the Windows startup, and provides it significant persistence.
What Should I Do?
If this pop-up appears, treat it as a scam, avoid paying any “fine”, and follow the malware removal guide below to get rid of the threat.
The recovery process is a bit complicated, as there is no way to boot Windows without triggering this message to appear. Thus, one should circumvent loading the system and restore the system files to the original state with a recovery USB.
Important: This way of recovering access to the system inevitably deletes all the files from the system partition. If you have only one disk in the system, this will lead to it being completely wiped, with all the personal files being deleted. There are other ways to stop the malware from blocking the system, but they require much more complicated operations and thus have higher failure probability.
Step 1.To create a recovery USB, download it from the official Microsoft website and burn the ISO file to a USB drive. Unfortunately, this step will require someone else’s computer, as your own one is non functional at the moment.
Step 2. Turn off the damaged system and stick the USB into it. Then, power up the computer and click the F2 key on the keyboard to call for the UEFI/BIOS menu to appear. The exact button may differ from one motherboard vendor to another, so google it if F2 does not work. In UEFI/BIOS, you will need to switch the boot drive from the one installed in the computer to the thumb drive. Save the settings and power off the machine again.
Step 3. Power on the computer and wait till it boots. As now the USB drive is a primary device, you will be greeted with the Windows installation screen. But instead of following up with pressing “Install Now”, go for the “Repair your computer”. This will load you to the recovery screen.
Step 4. On the recovery screen, choose the Recover from a drive option. This will replace the current Windows installation with the fresh files, so the malicious changes will cease to exist. After the recovery, you should be able to boot into the system in a usual way.
After completing the recovery process, there is one more important step to do – malware removal. Even though the system is accessible, files of the Arma dei Carabinieri virus are still present, and you should remove them as soon as possible. For this purpose, I recommend running a Full scan with GridinSoft Anti-Malware: an easy-to-use security program that will get rid of any suspicious files and viruses. Download it by clicking the banner below and let it finish the scan, to ensure that the system is safe.
I write about how to make your Internet browsing comfortable and safe. The modern digital world is worth being a part of, and I want to show you how to do it properly.
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
