El “Virus de la Policía” también conocido como “Virus Ukash” se ha convertido una de las plagas más insidiosas de los últimos tiempos. Cientos de usuarios en España, Europa y Latinoamérica, han visto cómo su ordenador se bloqueaba nada más iniciarlo y muestra un mensaje que parece provenir del Cuerpo Nacional de Policía, que con la excusa de haberse producido accesos a páginas que contienen pornografía infantil solicita cierta cantidad de dinero para desbloquearlo.
Una nueva versión del
virus de la policía
ha sido detectada por el sitio español de soporte de McAfee. Como el original, se trata de malware tipo Ramsonware para sistemas Windows distribuido generalmente mediante spam, que bloquea los ordenadores hasta que la víctima no pague la ‘multa’ exigida.
Aunque este tipo de virus es sumamente conocido y desde la Policía Nacional se ha vuelto a insistir que se trata de una estafa ya que el Cuerpo no reclamará nunca una ‘multa’ como esa, recomendando no pagar absolutamente naday si se ha hecho, interponer la correspondiente denuncia, no son pocos los usuarios que siguen cayendo en sus redes.
La última versión detectada sube un escalón más en su peligrosidad ya que además de bloquear el administrador de tareas elimina el Safe Boot para el arranque en modo seguro.
EXPERIENCIA PROPIA
Resulta que estaba bajando unos parches parapoder jugar "the killing floor" online(juego muy bueno y vicioso):.....
......Tenia muchas pestañas abiertas y casi al fin de descargar todos los parches,me aparece en una de las pestañas,una ventana emergente que decia:
Lo raro de esto era que no tenia abierto en la pestaña alguna aplicacion flash o cualquier otra cosa que requiera java y al dar ejecutar esta vez,cometi el grave error de instalar el virus......
iWindows quedo totalmente bloqueado,antes de eso crei que no habia peor imagen que la del pantallaso azul de windows...
Hasta que chorros cibernautas hackers hdps,en otro afan por ganar un poco de dinero crearon esto:
Mi cara era asi:
¿El resultado?,formatear toda la computadora sin poder hacer copia de seguridad ya que tenia una netbook,el ransomware no me permitia usar la misma.
Le tuve que decir chau a mis fichines:
chau a mi musica
y chau a mi....
chau a mi musica
y chau a mi....
Informate acerca de este malware que te puede cagar toda la pc,es de vital importancia que sepas como actua este virus!,a continuacion todo lo que necesitas saber,sobre como eliminarlo y estar atento cuando navegas por internet.
¿En que se basa su exito?
Una difusión profesional: Están aprovechando vulnerabilidades muy recientes (enero) en software popular (Java) y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.
Un malware “simple” y efectivo: El malware en sí no es “sofisticado” en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.
La ingeniería social: Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa. En algunos foros “underground” hemos observado que el creador se jacta de conseguir que aproximadamente un 1% de los infectados termine pagando. Con el nivel de infección conseguido en toda Europa, podemos imaginar lo lucrativo de la estafa.
Eludir antivirus:Las muestras recién llegadas a VirusTotal(compania dedicada a la lucha contra virus de la web) suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras “frescas” pasen muy desapercibidas. ¿Como te podes infectar?
Como todos los malwares este va mutando en su funcionamiento como en su manera de infectar a los usuarios. En este caso las dos vías mas utilizadas al menos las que consiguieron mayor numero de usuarios infectados fue primero por medio de sitios webs que requerían la instalación de un supuesto codec o actualización de Flash que en realidad era el malware y la otra es por medio de sitios webs legítimos que fueron infectados para que el malware se instale de forma automática a quienes visiten esos sitios sin su versión de JAVA actualizada y no cuenten con algunas medidas de protección.
¿Como actua?
Tras infectar el equipo,lo bloquea y el malware muestra una imagen falsa que simula un comunicado de la Policía Nacional, asegurando haber encontrado en el equipo del usuario archivos pirateados o material de pornografía infantil, por lo que exige pagar una cantidad económica a través de Ukash o paysafe.
Atención!!! Ha sido detectada actividad ilegal! Su sistema operativo ha sido bloqueado debido a una infracción de la legislación alemana! Han sido detectadas las siguientes infracciones: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista." El presente bloqueo ha sido realizado para prevenir la posibilidad de difusión de dichos materiales desde su ordenador en internet. Para desbloquear su ordenador, usted ha de pagar una multa de 100 euros! La multa ha de ser pagada antes de 24 hrs desde el momento del bloqueo de su ordenador! En caso de impago, todos los datos de su ordenador serán eliminados!”
Al infectarnos con el “virus de la policía” se crea una nueva amenaza para eliminar TaskManager(administrador de tareas) y suspender Windows Explorer. Pero antes de hacerlo, el malware toma el control del shell predeterminado de Windows dentro de la llave de registros
(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon)
y reemplaza explorer.exe por el nombre aleatorio del archivo infectado.
(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon)
y reemplaza explorer.exe por el nombre aleatorio del archivo infectado.
Después inicia un bucle infinito y trata de destruir el proceso “taskmgr.exe” si se está ejecutando. También suspende "explorer.exe" cada 100 milisegundos para bloquear las interacciones del usuario.
¿Como eliminarlo?
Nuestros amigos de Infospyware,han desarrollado un antivirus capas de borrar todo rastro del virus de la policia!
Funciones de Polifix:
PoliFix detecta y elimina el virus de la policía (también llamado Ukash virus) en todas sus variantes conocidas las cuales nos van reportando a través de nuestros Foros de Ayuda gratuita. (Policía Española, Argentina, Alemana, Bélgica, Francesa, Holandesa, Italiana, Inglesa y Suiza.)
Desbloquea y repara todas las funciones de Windows modificadas por el ransomware, Administradores de Tareas, Escritorio, REGEDIT, Modo Seguro (Modo a prueba de fallos)
PoliFix comprueba la versión de Java instalada en el equipo y en caso de estar desactualizada, advierte al usuario mediante un mensaje de alerta.
PoliFix genera un reporte en C: PoliFix-log.txt en donde muestra las acciones realizadas.
Desbloquea y repara todas las funciones de Windows modificadas por el ransomware, Administradores de Tareas, Escritorio, REGEDIT, Modo Seguro (Modo a prueba de fallos)
PoliFix comprueba la versión de Java instalada en el equipo y en caso de estar desactualizada, advierte al usuario mediante un mensaje de alerta.
PoliFix genera un reporte en C: PoliFix-log.txt en donde muestra las acciones realizadas.
Pasos para eliminar el virus de la policia:
Paso 1:Se necesita imprimir estas instrucciones ya que es necesario continuar con todos los programas y ventanas cerradas.
Paso 2:Descargar el archivo PoliFix.exe al Dispositivo Extraíble desde otro ordenador. (>> al final del post)
Paso 3:Ingresar al ordenador afectado desde "Modo Seguro" con símbolo del Sistema, utilizando la sesión como Administrador.
Paso 4:Conectar el Dispositivo Extraíble al ordenador y aguardar mínimo 1 minuto a que se cargue.
Paso 5:Verificar cual es la letra asignada para nuestro Dispositivo Extraíble, utilizando la siguiente serie de comandos:
Escribir diskpart, aceptar y aguardar a que se cargue el comando.
Escribir list volume, aceptar y aguardar. Tomar nota acerca de la letra asignada para nuestro Volumen "Extraíble".
Escribir exit, aceptar.
Escribir la letra de su Dispositivo Extraíble, ejemplo E: y aceptar.
Una vez ingresada a la unidad correspondiente al Dispositivo Extraíble, escribir lo siguiente para ejecutar el archivo:
Código:
"PoliFix.exe"
Con las comillas.
Paso 6:Aguardar mientras que PoliFix trabaja de forma automática, desinfectando y reparando el Ransomware.
Paso 7:Una vez terminado, reiniciar su equipo y comprobar los resultados.
Joya ya terminos!,espera....¿que? ¿no te deja entrar en modo seguro?.
Como dije al principio del post,desde febrero de este año salio una nueva version del malware,que te impide iniciar la PC en modo seguro.
OK,Hagamos lo siguiente!:
Paso 1:Se necesita imprimir estas instrucciones ya que es necesario continuar con todos los programas y ventanas cerradas.
Paso 2:Crear un disco de rescate: Siga las instrucciones de sus respectivos manuales con alguna de estas dos opciones de AVs:
Panda RescueDisk
Paso 2:Crear un disco de rescate: Siga las instrucciones de sus respectivos manuales con alguna de estas dos opciones de AVs:
Panda RescueDisk
Kaspersky Rescue Disk 10
Paso 3:Ejecutar el disco de rescate: Una vez arrancado el sistema infectado desde la unidad de CD, aparece el asistente del programa Avira Rescue System, o Kaspersky Rescue Disk 10, que le guiará durante todo el proceso de análisis y desinfección.
Cuando el proceso haya finalizado, retire el disco y pulse Intro para reiniciar el equipo.
Cuando el proceso haya finalizado, retire el disco y pulse Intro para reiniciar el equipo.
Paso 4:Ejecute PoliFix: Descargue y ejecute la ultima versión de PoliFix by @InfoSpyware para corregir todas las modificaciones realizadas en su equipo por el malware y asegurarse de que no queda ningún rastro de este escondido.
Paso 5:Reiniciar y comprobar los resultados.
Licencia: Gratis
Idioma: Español
S.O.: WinXP/Vista/7 32 y 64bits
Agregado: 24 de septiembre de 2011
Actualizado: 30 de agosto de 2012
Autor:InfoSpyware
Finalizando el post espero haberlos ayudado e informado,hasta la proxima!
DESCARGAR:
Licencia: Gratis
Idioma: Español
S.O.: WinXP/Vista/7 32 y 64bits
Agregado: 24 de septiembre de 2011
Actualizado: 30 de agosto de 2012
Autor:InfoSpyware
Finalizando el post espero haberlos ayudado e informado,hasta la proxima!No te olvides de.....