• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Pequeña info de Ransomware

    Hola, Ayer en mi clase, estuvimos hablando sobre el virus de policia. Ahora me doy cuenta que ese virus hace lo siguiente: - Borra o desactiva el "Explorer.exe" del proceso activo para que no puedas ...

    1. #1
      Usuario Avatar de Diplomarse
      Registrado
      sep 2011
      Ubicación
      España
      Mensajes
      993

      Pequeña info de Ransomware

      Hola,

      Ayer en mi clase, estuvimos hablando sobre el virus de policia. Ahora me doy cuenta que ese virus hace lo siguiente:

      - Borra o desactiva el "Explorer.exe" del proceso activo para que no puedas tocar, sin poder acceder a cualquier manera.
      - También modifica los regristos para que no permita acceder el modo seguro.

      Son esos que le contesté a mi profesor y también hablé del "Polifix" y de un tutorial creado en este foro. :P

      ¿Me equivoco?

      Saludos.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Pequeña info de Ransomware

      Hola Diplomarse,
      En realidad hay muchas variantes del Ransomware de la policía y si bien su finalidad es siempre la misma, ósea bloquear el equipo de la víctima con un mensaje en su propio idioma como si fuera de la policía, pero que este se asuste, no pueda acceder a su equipo y termine pagando la estafa.


      Ahora en cuanto a la parte interna del bicho en sí, también, esto cambia dependiendo la variante:

      - No borra o desactiva el Explorer.exe directamente, sino que más bien el troyano inyecta en Explorer.exe todo su cuerpo , y no sólo el código que necesitaría para funcionar en su interior.

      - También suspende "explorer.exe" cada 100 milisegundos para bloquear las interacciones del usuario

      - Los procesos que intenta anular constantemente en el equipo son: taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y narrator.exe


      - Por otro lado si modifica el registro y por ejemplo las primeras variantes modificaban esta rama del registro:
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


      Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:



      - Ya las siguientes variantes más agresivas se encargan de evitar el inicio del PC en "modo seguro" eliminando estas entradas en el registro:

      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network



      Básicamente así es como funciona internamente este ransomware el cual se trasmite principalmente aprovechándose de las vulnerabilidades en JAVA para poder infectar a los usuarios de forma automática y sin que estos los perciban a solo visitar un sitio web comprometido, sin tener el PC actualizado correctamente.


      Mas información: Cronología del “Virus de la Policía”



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.