Dato che l’infezione è distribuita dai Trojans, è molto probabile che il tuo computer sia stato infettato prima di essere bloccato. Il sito web sembra sicuro, con un design professionale ed elegante, un plug-in di Facebook che mostra più di 60.000 “mi piace” e una casella con i commenti degli utenti accanto. Purtroppo non è tutto, dato che i complottatori alle spalle della minaccia possono anche mostrarti un avviso ingannevole presumibilmente inviato dal Dipartimento di Giustizia Americano. Questo programma ransomware è distribuito da Urausy Trojan, per cui è molto probabile che il tuo PC sia stato infettato da molte più applicazioni malware di quanto tu possa vedere.

Come la maggior parte degli avvisi ransom generati dai Trojan, xser@tutanota.com, o meglio l’avviso, contiene l’intestazione “Arma dei Carabinier”, che è la polizia militare nazionale italiana. Vedrai una casella di dialogo di Windows che comunica “Attendi che il programma venga disinstallato o modificato completamente”. L’infezione Trojan potrebbe essere nascosta su un sito web pornografico dietro a pop-up pubblicitari, o in un falso file d’aggiornamento che ti viene imposto per “aggiornare” un particolare software che non hai aggiornato da tempo (questo è uno dei motivi per cui è importante mantenere tutti i tuoi programmi aggiornati).

Per quanto riguarda il file che appartiene a BetterInstaller, la sua dimensione è 216 KB, ed è solitamente rilasciato nella directory %AppData%. Viene detto che il computer è stato bloccato perché tu avresti scaricato, utilizzato e distribuito contenuto illegale, come ad esempio pornografia infantile. Inoltre, il xser@tutanota.com crea anche un valore nella chiave di Registro di sistema in maniera tale da auto avviarsi a ogni accensione del computer.

La cosa rassicurante di xser@tutanota.com è che l’applicazione ransomware non cerca di spacciarsi per qualcosa che non è, e ti chiede i soldi immediatamente: Non prestare la benché minima attenzione alle bandiere, ai loghi e ai nomi mostrati illegalmente e, cosa più importante, non prestare attenzione a ridicole frasi come:

Tutto ciò viene detto con l’obiettivo di spaventarti e indurti ad acquistare i falsi buoni e utilizzarli come pagamento della multa.

Passo 1. Rimuovere xser@tutanota.com manualmente da Windows

  Rimozione da Windows 8 e Windows 8.1:

1. Clicca col tasto destro del mouse sullo sfondo del menu Metro UI e seleziona App.
2. Nel menu App clicca su Pannello di Controllo e poi spostati su Disinstalla un programma.
3. Naviga sul programma che desideri cancellare, clicca col tasto destro e seleziona Disinstalla.

  Rimozione da Windows Vista e Windows 7:

1. Naviga sul lato sinistro della Barra delle Applicazioni e clicca sull’icona del menu Start sulla sinistra.
2. Seleziona il Pannello di Controllo e poi vai su Disinstalla un programma per trovare le applicazioni installate.
3. Clicca col tasto destro del mouse sul programma che vuoi cancellare dal PC e seleziona Disinstalla.

  Rimozione da Windows XP:

1. Clicca sull’icona Start che si trova sul lato sinistro della Barra delle Applicazioni per aprire un menu utente.
2. Seleziona Pannello di Controllo per trovare una lista di utilità di Windows e fai doppio clic su Aggiungi o Rimuovi Programmi.
3. Ora seleziona Modifica o Rimuovi Programmi e Rimuovi il programma non voluto.

Passo 2. Disinstallare xser@tutanota.com dal tuo browser

  Cancellare da Google Chrome:

1. Apri Google Chrome e simultaneamente premi Alt+F.
2. Naviga nella sezione All’avvio.
3. Seleziona Apri una pagina specifica o un insieme di pagine e clicca su Imposta pagine.
4. Sovrascrivi/rimuovi le opzioni non volute e clicca OK.
5. Vai su Aspetto e seleziona Mostra pulsante Pagina iniziale.
6. Clicca su Cambia e segui il punto 4.
7. Sotto a Ricerca clicca su Gestisci Motori di Ricerca e scegli un nuovo motore di ricerca predefinito.
8. Clicca X sull’URL di un motore di ricerca non voluto per cancellarlo e clicca Fatto.

  Cancellare da Internet Explorer:

1. Apri Internet Explorer e simultaneamente premi Alt+T.
2. Seleziona Gestione Componenti Aggiuntivi per aprire la finestra “Visualizza e gestisci componenti aggiuntivi di Internet Explorer”.
3. Dal menu sul lato sinistro seleziona Provider di Ricerca.
4. Scegli un motore di ricerca come predefinito e Rimuovi quello non voluto. Clicca su Chiudi.
5. Premi Alt+T di nuovo e seleziona Opzioni Internet.
6. Clicca sulla scheda Generale e rimuovi l’URL della Home Page non voluta. Clicca OK.

  Cancellare da Mozilla Firefox:

1. Apri Mozilla Firefox e simultaneamente premi Alt+T.
2. Seleziona Opzioni e clicca sulla scheda Generale.
3. Rimuovi l’URL della Home Page e clicca su OK.
4. Trova la casella di ricerca nell’angolo in alto a destra.
5. Clicca sull’icona del motore di ricerca e seleziona Gestione Motori di ricerca.
6. Rimuovi il motore di ricerca non voluto e clicca su OK.