Eliminar virus de la policía sencillamente

Cómo eliminar el virus de la policía de forma sencilla

Eliminación del virus de la policía, método 1

  • Iniciaremos el sistema en modo seguro (F8 durante el arranque).
  • Instalaremos y analizaremos nuestro equipo con Malwarebytes. Realizaremos un escaneo rápido y uno completo.

Eliminación del virus de la policía, método 2

  • Arrancamos el ordenador con ERD Commander.
  • Restauramos el sistema a un estado anterior antes de la infección.
  • Analizar el equipo con un antivirus online, por ejemplo, ESET.

Cómo protegernos de este malware

Analizando a fondo el malware conocido como el virus de la policía podemos descubrir que, en su funcionamiento interno, modifica algunas ramas del registro, que serán las que tenemos que modificar para evitar volver a infectarnos con este malware en el futuro.

En Windows XP debemos modificar la siguiente entrada del registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

En este apartado podremos ver una entrada llamada “shell”. Esta es la que se encarga de ejecutar el troyano en el escritorio. Para evitar que nos vuelva a infectar debemos hacer click con el botón derecho sobre “shell” y eliminar únicamente los permisos de escritura para los administradores del sistema. No debemos tocar ninguna entrada más de los permisos ya que podemos dejar el sistema inservible y, bajo ningún concepto, eliminar los permisos de SYSTEM sobre esta entrada.

Bajo Windows 7, el funcionamiento es algo diferente. El troyano trabaja bajo la siguiente entrada del registro:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Una vez en esta entrada, debemos “desheredar” los permisos para los administradores. Para ello seleccionaremos la casilla “Incluir todos los permisos heredables del objeto primario de este objeto”.

virus_de_la_policía_foto_1

A continuación pulsaremos sobre “editar” y eliminaremos de nuevo los permisos de escritura para el grupo de “administradores” únicamente, dejando los demás grupos, en especial SYSTEM, por defecto.

virus_de_la_policía_foto_2

De esta manera, en caso de ser infectados de nuevo por el virus de la policía, el sistema nos mostrará un aviso pero, al reiniciar, nuestro sistema estará limpio de nuevo y podremos seguir trabajando con él de forma normal.

redeszone

Virus de la Policía: ahora con vídeo

 

Está claro que los delincuentes detrás de la provechosa campaña de ransomware que conocemos comúnmente como “Virus de la Policía” (o “Virus Mortadelo” como le gusta nombrarlo a nuestro amigo Angelucho en su blog) no cesan a la hora de innovar. De esta forma consiguen que sus posibles víctimas no se acostumbren a un único diseño y lo van cambiando periódicamente.

También hay que tener en cuenta que existen muchas organizaciones criminales que utilizan este tipo de ransomware para obtener importantes beneficios y, aunque muchas se dedican a copiar lo que hacen unos pocos, de vez en cuando aparece algún cambio que consigue destacar.

Si hace unas semanas mencionábamos en este mismo blog la inclusión de la imagen del Rey Don Juan Carlos I en campañas recientes de este ransomware, hoy hablamos de otra variante que viene acompañada de un enlace a un vídeo en Youtube donde se nos dice que nuestro sistema se encuentra bloqueado, y que para desbloquearlo debemos pagar una multa de 100 €, información que acompaña al ya habitual mensaje que se muestra en pantalla si nuestro sistema se ve infectado.

Como en anteriores ocasiones, debemos evitar ceder ante este chantaje y contactar con nuestro servicio de soporte técnico de nuestro antivirus o seguir las instrucciones proporcionadas por la Oficina de Seguridad del Internauta o en los foros de InfoSpyware. Pero lo principal es evitar que nuestro equipo se infecte y para ello debemos contar con una solución de seguridad capaz de detectar este tipo de amenazas, actualizar nuestro sistema operativo y la versión de Java, puesto que las vulnerabilidades en este software siguen siendo aprovechadas de forma masiva como puerta de entrada del malware.

Fuente | blogs protegerse

Usan la imagen del rey Juan Carlos en nuevas versiones del “Virus de la Policía”

 

Como cada cierto tiempo, los delincuentes detrás de una de las amenazas más persistentes de los últimos años y que es comúnmente conocida como “Virus de la Policía”, cambian algún aspecto del mensaje que muestran a los usuarios que infectan con su ransomware.

Hemos visto como, a través de los meses han ido modificando la imagen que se muestra en la pantalla del ordenador infectado e incorporando detalles que la hacen más “profesional”, mencionando a fuerzas y cuerpos de seguridad de todos los países donde actúan e incluso empresas de seguridad antivirus para hacer su mensaje más creíble.

No obstante, la versión más reciente de la que hemos tenido información (de este pasado fin de semana) y que pertenece a la variante conocida como Urausy, ha dado un paso más y ha incorporado imágenes, personalizadas según la ubicación del sistema infectado, de los jefes de estado de varios países.

Cual ha sido nuestra sorpresa cuando hemos  visto la imagen correspondiente a la variante del mensaje mostrado por el ransomware para usuarios infectados en España:

Efectivamente. Ni mas ni menos que nuestro monarca Juan Carlos I presidiendo el mensaje donde se pide el pago de una multa de 100 € para evitar que se nos acuse de almacenar y/o divulgar material pornográfico ilegal. Algo surrealista, cuanto menos.

Obviamente, por mucho que la imagen del monarca este presente, esto no significa que el mensaje sea legítimo y haya sido enviado por la Policía Nacional o la Guardia Civil. Es por eso que los pasos a seguir si nos encontramos con esta variante del conocido ransomware son los mismos que en pasos anteriores: no ceder al chantaje, eliminar la amenaza de nuestro sistema y actualizarlo junto con todas aquellas aplicaciones que tengamos instaladas, especialmente Java.

Desconocemos, no obstante, si los delincuentes detrás de esta nueva variante piensan tener más éxito incluyendo estas imágenes de jefes de estado, o si han elegido al rey por delante de Mariano Rajoy por algún motivo en especial. Lo que sí sabemos es que debemos tomar medidas y proteger nuestros sistemas adecuadamente para evitar vernos afectados por esta amenaza.

Fuente | blogs protegerse

‘Virus de la Policía’ agrega un Keylogger

 

Las nuevas variantes del ransomware REVETON (Virus de la Policía) incorporan un nuevo módulo, el cual genera logs que guardan las pulsaciones del teclado (keylogging) para robar las contraseñas de sus victimas

Los desarrolladores del ransomware REVETON (Virus de la Policía) son conscientes de que la popularidad obtenida por su malware ha hecho no solo que los Antivirus lo detecten más rápidamente, sino también que los usuarios ya conocen la estafa y tratan de eliminar la amenaza de sus equipos sin pagar el rescate.

Como no todas las infecciones que logran los cibercriminales van a dar lugar a un rescate pagado, los autores de REVETON tienen una forma adicional de obtener beneficios de una infección exitosa en caso de que la víctima se rehúse a pagar el rescate: “El robo de contraseñas”.


Reveton (malware que secuestra o cifra la información de la víctima) se distribuye utilizando el Kit de Explotación Blackhole. Éste inicia mostrando una pantalla de bloqueo y, con falsos motivos, demanda el pago de dinero. Generalmente, usurpan el nombre de alguna entidad de la Policía y alertan por delitos informáticos inexistentes.

Estas nuevas variante de Reveton descarga por separado el componente que roba las contraseñas, el cual fue generado a partir de una pieza antigua de malware que utiliza el sistema infectado para establecer múltiples sesiones. Su objetivo son conexiones a servidores FTP, juegos, correos electrónicos, mensajería instantánea y contraseñas almacenadas en el navegador web.

La inclusión de este nuevo módulo no es una característica inesperada, pero tiene una implicación importante, aun cuando el usuario encuentre la forma de desinstalar el ransomware, no detendría el Keylogger, pues este último seguiría trabajando.

Antes de convertirse en una víctima de la infección REVETON, pase unos minutos para eliminar posibles vectores de infección mediante la actualización de los componentes de software que son el objetivo de drive-by-downloads. Debe instalar todas las actualizaciones de seguridad de Microsoft pertinentes y mantener actualizado tanto sus navegadores webs al igual que sus complementos o plug-ins, como Java y Flash Player.

Fuente | foro spyware

Nuevas variantes del virus de la policía incluyen imágenes de pedofilia


Una de las últimas variantes detectadas va un paso más allá y utiliza imágenes pedófilas para crear alarma entre los usuarios y hacer que estos cedan e ingresen el dinero solicitado. Naked Security de la empresa Sophos han alertado de esta nueva variante localizada, y que de momento está afectando a ordenadores en Alemania, tal y como podemos ver en la imagen a continuación:

eset_nod32_ransomware_alemaniaA pesar de que solo se haya localizado esta variante, es cuestión de tiempo que esta estrategia se aplique a las variantes utilizadas en otros países, siempre que consiga el éxito deseado por los ciberdelincuentes. El uso de este tipo de imágenes cruza una peligrosa línea y demuestra que para los perpetradores de estos delitos no hay moral que valga y que están dispuestos a hacer lo que sea para conseguir su objetivo, aunque esto incluya repulsivas imágenes de menores desnudos.

Además de esta variante, se han detectado otras nuevas orientadas a países árabes. Si el mes pasado vimos las primeras muestras dirigidas a países de Latinoamérica, esta vez vemos cómo los países de Oriente Medio se convierten en objetivo de los ciberdelincuentes detrás de este modelo de negocio que usa el malware para sacar jugosos beneficios. En esta ocasión, los nuevos países afectados son los Emiratos Árabes Unidos, Líbano, Palestina y Arabia Saudí.

eset_nod32_ransomware_paises_arabes

Es probable que los delincuentes desconozcan que en estos países se aplica la ley islámica (en algunos de forma muy estricta). Es eso o que realmente les importa muy poco las posibles consecuencias que pueden acarrear a alguien que viva en estos países el que su sistema se vea infectado por supuestamente haber consumido pornografía, algo que se castiga duramente en algunos de estos territorios.

Los creadores de esta amenaza siguen innovando en sus técnicas para intentar conseguir el mayor beneficio posible, aunque esto signifique prácticas tan deleznables como la utilización de material pedófilo o ponga en riesgo la seguridad de un usuario que ha visto su sistema infectado en algún país con leyes muy estrictas. Está en nuestras manos ayudar a detener esta plaga protegiendo nuestros sistemas con soluciones de seguridad y manteniéndolos actualizados.

Fuente | blogs.protegerse

Detenidos en Málaga miembros de la red responsable del “Virus de la Policía”

 

eset_nod32_reveton

 
En una operación internacional que se está llevando a cabo en varios países en el momento de escribir este artículo, la Policía Nacional ha detenido en Málaga a varios integrantes de la red internacional de ciberdelincuentes que estaba detrás del conocido como “Virus de la Policía”. Todos los integrantes de esta red detenidos en España hasta el momento son de nacionalidad rusa.

Esta operación está coordinada por la Europol, y ha sido dirigida en España por la Brigada de Investigación Tecnológica de la Policía Nacional como parte de la colaboración internacional en la que también están participando los servicios policiales de otros países, incluyendo el FBI.

Esta amenaza, de la que llevamos informando desde septiembre de 2011, ha sido una de las más persistentes durante los últimos meses, siendo detectada de forma importante en muchos países, entre los que se incluye España. Este malware tiene  la peculiaridad de que sus creadores iban modificándolo con el tiempo añadiendo nuevas características o suplantando a otros organismos como la SGAE o la Agencia Española de Protección de Datos.

A continuación vemos una de las versiones más recientes de la pantalla de bloqueo que mostraba al usuario tras infectar su sistema, donde ya se incluye incluso una captura de la cámara web en el caso de que el ordenador disponga de ella y, como dato curioso,  la mención a algunas de las casas antivirus más importantes.

Uno de los motivos por los que esta amenaza ha tenido tanto éxito en todos los países en los que se ha propagado, es que usa la descarga de material con derechos de autor y pornográfico como motivo del supuesto bloqueo del ordenador, algo que en muchos países se encuentra tipificado como delito.

Ante la sensación de estar cometiendo algo ilegal y la relativamente barata multa (100 euros en el caso de España) muchos usuarios infectados optan por realizar el pago y así evitar las supuestas consecuencias legales. Los métodos de pago (adaptados a cada país) que los ciberdelincuentes proporcionan a las víctimas hacen difícil el rastreo de estas transacciones, algo que seguramente también ha provocado que la operación para detener dichas operaciones se haya alargado tanto en el tiempo.

Estas detenciones suponen un golpe a esta red de ciberdelincuentes, pero falta todavía determinar si esta acción supone el fin de este tipo de amenazas o si, por el contrario, otros tomarán el relevo y seguiremos viendo casos similares durante más tiempo.

Fuente | blogs.protegerse