• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Eliminar Virus de la Policía (Ransomware)

    Resumen del tema: Eliminar Virus de la Policía (Ransomware) - Guía de cómo eliminar el "Virus de la Policía" (Ransomware) Nombre: Trojan.Ransom Tipo: Ransomware - "Secuestrador" Alias: Trojan-Ransom.Win32.Chameleon.mw, Trojan-Ransom.Win32.PornoBlocker.jtg, bunda.exe, Trojan.Chameleon, Win32.HmBlocker, Trojan.Win32.Ransom!IK. Trojan.Win32.Ransom, Win32/LockScreen El “Virus de la Policía” también conocido como “Virus Ukash” ...

      
    1. #1
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.945

      Investigación Eliminar Virus de la Policía (Ransomware)

      Guía de cómo eliminar el "Virus de la Policía" (Ransomware)

      Nombre: Trojan.Ransom
      Tipo: Ransomware - "Secuestrador"
      Alias: Trojan-Ransom.Win32.Chameleon.mw, Trojan-Ransom.Win32.PornoBlocker.jtg, bunda.exe, Trojan.Chameleon, Win32.HmBlocker, Trojan.Win32.Ransom!IK. Trojan.Win32.Ransom, Win32/LockScreen

      El “Virus de la Policía” también conocido como “Virus Ukash” se ha convertido una de las plagas más insidiosas de los últimos tiempos. Cientos de usuarios en España, Europa y Latinoamérica, han visto cómo su ordenador se bloqueaba nada más iniciarlo y muestra un mensaje que parece provenir del Cuerpo Nacional de Policía, que con la excusa de haberse producido accesos a páginas que contienen pornografía infantil solicita cierta cantidad de dinero para desbloquearlo.


      Atención!!! Ha sido detectada actividad ilegal! Su sistema operativo ha sido bloqueado debido a una infracción de la legislación alemana! Han sido detectadas las siguientes infracciones: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."

      El presente bloqueo ha sido realizado para prevenir la posibilidad de difusión de dichos materiales desde su ordenador en internet.

      Para desbloquear su ordenador, usted ha de pagar una multa de 100 euros! La multa ha de ser pagada antes de 24 hrs desde el momento del bloqueo de su ordenador! En caso de impago, todos los datos de su ordenador serán eliminados!”



      Aviso al usuario de la Policía Nacional Española


      Las primeras variantes del “virus de la policía” (Trojan.Ransom) fueron reportadas por Kaspersky en el mes de Marzo 2011 y estas decían provenir de la policía Alemana (Federal German Police BKA). Durante el mes de Junio 2011 se reportaba la primera variante en idioma español supuestamente proveniente de la policía nacional Española, se extendía también hacia otros países Europeos y de Latinoamérica por el momento solo a la Policía Federal Argentina... Ver la: Cronología del “Virus de la Policía”





      Recolección de las imágenes del “Virus de la Policía” en todo el mundo

      Véalas en nuestro álbum del Facebook oficial de @InfoSpyware



    2. #2
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.945

      Malware Cómo eliminar el "Virus de la Policía" (Ransomware)

      Cómo eliminar el "Virus de la Policía" (Ransomware).



      Herramientas necesarias:

      PoliFix.exe by @InfoSpyware (al final de post)

      Al infectarnos con el “Virus de la Policía” se crea una nueva amenaza para eliminar TaskManager y suspender Windows Explorer. Pero antes de hacerlo, el malware toma el control del shell predeterminado de Windows dentro de la llave de registros

      (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)



      Reemplaza explorer.exe por el nombre aleatorio del archivo infectador

      - Inicia un bucle infinito y trata de destruir el proceso “taskmgr.exe” si se está ejecutando. También suspende "explorer.exe" cada 100 milisegundos para bloquear las interacciones del usuario.

      - Los procesos que intenta anular constantemente en el equipo son: taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y narrator.exe







      Pasos para la eliminación:

      1.- Imprima estas instrucciones ya que es necesario continuar con todos los programas y ventanas cerradas.


      2.- Descargar el archivo PoliFix.exe al Dispositivo Extraíble desde otro ordenador. (>> al final del post)


      3.- Ingresar al ordenador afectado desde "Modo Seguro" con símbolo del Sistema, utilizando la sesión como Administrador.


      4.- Conectar el Dispositivo Extraíble (Pendrive) al ordenador y aguardar mínimo 1 minuto a que se cargue.


      5.- Verificar cual es la letra asignada para nuestro Dispositivo Extraíble, utilizando la siguiente serie de comandos:
      • Escribir diskpart, aceptar y aguardar a que se cargue el comando.


      • Escribir list volume, aceptar y aguardar. Tomar nota acerca de la letra asignada para nuestro Volumen "Extraíble".



      • Escribir exit, aceptar.



      • Escribir la letra de su Dispositivo Extraíble, ejemplo E: y aceptar.


      • Una vez ingresada a la unidad correspondiente al Dispositivo Extraíble, escribir lo siguiente para ejecutar el archivo:
        Código:
        "PoliFix.exe"
        (con las comillas), luego presione en 'Analizar'


      6.- Aguardar mientras que PoliFix trabaja de forma automática, desinfectando y reparando del Ransomware



      7.- Una vez terminado, reiniciar su equipo y comprobar los resultados.








      Descargar PoliFix v2.0.8.3 (by InfoSpyware) [Update 04 de Noviembre 2013]
      Archivos Adjuntos Archivos Adjuntos

    3. #3
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.945

      Malware Cómo eliminar el "Virus de la Policía" (SIN 'Modo Seguro')

      Cómo eliminar el "Virus de la Policía" (SIN 'Modo Seguro').


      Tal como documentábamos en la "Cronología del “Virus de la Policía” desde el mes de Febrero del 2012, comenzaron a aparecer nuevas variantes de este ransomware que impide al usuario el poder acceder a su equipo en "Modo Seguro" / "Modo a prueba de Fallos" (F8), por lo que no se pueden seguir los pasos descriptos arriba para su eliminación.

      Estas nuevas variantes se encargan de eliminar las siguientes claves del registro necesarias para el modo seguro:

      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network


      En caso de no poder ingresar en su equipo en "Modo Seguro (F8)" es necesario crear un disco de rescate con el que posteriormente analizar el equipo. Por favor, sigue los pasos que se indican a continuación.






      Pasos para la eliminación:


      1.- Imprima estas instrucciones: ya que es necesario continuar con todos los programas y ventanas cerradas.


      2.- Crear un disco de rescate: Siga las instrucciones de sus respectivos manuales con alguna de estas dos opciones de AVs:




      3.-Ejecutar el disco de rescate: Una vez arrancado el sistema infectado desde la unidad de CD, aparece el asistente del programa Panda RescueDisk, o Kaspersky Rescue Disk 10, que le guiará durante todo el proceso de análisis y desinfección.

      Cuando el proceso haya finalizado, retire el disco y pulse Intro para reiniciar el equipo.


      4.-Ejecute PoliFix: Descargue y ejecute la ultima versión de nuestra herramienta PoliFix by @InfoSpyware para corregir todas las modificaciones realizadas en su equipo por el malware y asegurarse de que no queda ningún rastro de este escondido.


      5.- Reiniciar y comprobar los resultados.











      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español






      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.