Virus de la policia o "Rasonware"

El “Virus de la Policía” o “Rasomware” o  “Virus Ukash” es una de las plagas más extendidas y tediosas en los últimos tiempos en internet. (aquí os dejo algunas pantallas de las muchas que hay).

Cientos de usuarios en España, Europa y Latinoamérica, han sido infectados y ven cómo se bloquea su ordenador nada más iniciarse y muestra un mensaje que parece provenir del Cuerpo Nacional de Policía, que dice que el usuario ha accedido  a ciertas páginas que contienen pornografía infantil y solicitan cierta cantidad de dinero para desbloquearlo y no denunciarle.

Es muy efectivo ya que se calcula que alrededor del 1% de los usuarios pagan y no denuncian, es decir son estafados con todas las de la ley.

Este virus es un troyano que se basa en los sistemas de pago online Ukash y Paysafecard para que la gente pague una multa FALSA, por supuesto, para poder desbloquear el ordenador.

SIGUE LEYENDO PARA ELIMINARLO. (al final del post dice como)

¿EN QUE SE BASA EL ÉXITO DE ESTE VIRUS?

·         Difusión profesional.- Aprovechan vulnerabilidades en software muy usado en páginas web (como java) y lo difunden en páginas muy visitadas (webs de descarga directa de material multimedia). La difusión es rápida y masiva ya que los usuarios no saben que se ha ejecutado ningún software. (Java se ejecuta de forma automática en la mayoría de los equipos).

·          Malware “simple” y efectivo.- Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.

·         Ingeniería social.- Amenazan al usuario con actividades que realizan comúnmente, como descargar música, películas, ect.. y esto ayuda a dar credibilidad a la estafa.

·          Eludir antivirus. Las muestras recién llegadas a VirusTotal suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras “frescas” pasen muy desapercibidas.

EVOLUCION DEL  “VIRUS DE LA POLICIA” (Fuente http://www.infospyware.com)

Marzo 2011: Aparecen las primeras muestras de la “Policía Alemana” reportadas por Kaspersky Labs como Trojan.Ransom

Junio 2011: Se extiende a otros países de Europa (Italia, Gran Bretaña, Francia) incluido España en donde el sitio web oficial de ese país “Policía.es” emite una advertencia a los usuarios.

Junio 2011: Se reporta en nuestros foros(infospyware) el primer usuario infectado que nos comenta que hasta acudió a la policía y si bien le comentaron que era una estafa, no podían ayudarlo a reparar su PC.

Agosto 2011: El GDT de “La Guardia Civil Española” emite un comunicado advirtiendo a los internautas sobre esta estafa, aunque en ese momento creían que solamente se trataba de un “listillo” que se aprovechaba de los usuarios Españoles únicamente.

Septiembre 2011: En @InfoSpyware desarrollan y publican la primera versión beta de “PoliFix”, herramienta gratuita para combatir este ransomware de forma automática la cual está continuamente actualizada.

Octubre 2011: Aparecen nuevas versiones que son mucho más sofisticadas. No incluyen la imagen en su interior, sino que la descargan desde un servidor según la dirección IP de origen del infectado. El sistema pasa también a formar parte de una pequeña botnet que permite ser eliminada en remoto por el propio atacante, según le convenga.

Octubre 2011: llega al Foro de http://www.infospyware.com, el primer caso Latinoamericano de la “Policía Federal Argentina” donde a diferencia con Europa que pide $150 o $100 Euros de multa, este pide únicamente $50 pesos Argentinos.

Octubre 2011: Infospyware publica: Guía de cómo eliminar el “Virus de la Policía” con polifix y otra información importante.

Enero 2012: Los foros se inundan de usuarios infectados con nuevas y diferentes variantes. El sitio web de la Policía Española vuelve a emitir otro comunicado: Nueva oleada de ransomware a nombre de la policía.

Febrero 2012: Aparece una nueva variante, que se aleja del resto en estética, pero con igual funcionalidad y temática: supuesto bloqueo del ordenador por orden de la policía. Tiene la particularidad de renombrar la rama del registro de Windows que se encarga de permitir el arranque del PC en modo seguro (F8). A su vez, la versión “mainstream” del troyano comienza a utilizar diferentes ramas del registro para lanzarse en el inicio del sistema operativo y bloquearlo

Febrero 2012: Microsoft reporta la variante Trojan:Win32/Ransirac.G que si bien no utiliza el gancho de la policía, lo hace con GEMA, la sociedad de gestión colectiva de autores y compositores alemana.

Marzo 2012: Hispasec publica un Documento técnico: Estudio del “troyano de la policía” [PDF]

Marzo 2012: El malware comienza a usar una vulnerabilidad en Java muy reciente para distribuirse. Los usuarios con un Java no parcheado desde final de enero son vulnerables con solo visitar con cualquier navegador una página web manipulada. Normalmente se esconden en publicidades de páginas web de descarga de material multimedia.

Abril 2012: El virus continúa su evolución técnica. Cambia de estrategia y no usa imágenes, sino HTLM. También hay variantes que usan características poco conocidas de Windows para bloquearlo. Por último, comienza a destruir por completo el arranque en modo seguro, único “salvavidas” de muchos usuarios, que se ven incapaces de eliminar el malware si no es con otros métodos de recuperación más sofisticados.

Abril 2012: Hispasec publica la utilidad WinLockLess para evitar, si no la infección, al menos que el malware (este y cualquier otro tipo) se instale en el inicio de Windows perpetuando la infección y permitiendo el bloqueo del equipo.

Mayo 2012: El día 5 llega la primer variante del nuevo Ransom.Win32.Rannoh que encripta los archivos del equipo infectado añadiendo la palabra “locked-” antes del nombre del archivo y 4 caracteres aleatorios después de la extensión original del archivo, que los convierten en archivos inutilizables. Kaspersky Labs libera la utilidad gratuita llamada: RannohDecryptor con la cual podemos desencriptar los archivos.

Mayo 2012: El día 14 nos reportan la primer variante del nuevo “Virus de la SGAE” que se aprovecha de una vulnerabilidad 0-day en todas las versiones de Java 6 para infectar los equipos de manera automática.  Aparte de sus bloqueos de prácticamente todo el equipo, también generar una pantalla en blanco con el siguiente texto:

- Please wait while the connection is being established.

- Bitte warten Sie während die Werbindung herges tellt wird.

Mayo 2012: PoliFix versión 2.0.1 es actualizada para hacerle frente a las ultimas variantes reportadas, SGAE, Rannoh locked-, BSI.bund.exe,  WINSnapshot_x86.exe,  FSnapshot_x86.exe, etc…

COMO ELIMINARLO

Guía de cómo eliminar el "Virus de la Policía" (Ransomware)

Al infectarnos con el “virus de la policía” se crea una nueva amenaza para eliminar TaskManager y suspender Windows Explorer. Pero antes de hacerlo, el malware toma el control del shell predeterminado de Windows dentro de la llave de registros

(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)

 y reemplaza explorer.exe por el nombre aleatorio del archivo infectado.

 Después inicia un bucle infinito y trata de destruir el proceso “taskmgr.exe” si se está ejecutando. También suspende "explorer.exe" cada 100 milisegundos para bloquear las interacciones del usuario.

Pasos para la eliminación:

1.- Imprima estas instrucciones ya que es necesario continuar con todos los programas y ventanas cerradas.

2.- Descargar el archivo PoliFix.exe al Dispositivo Extraíble desde otro ordenador. (>> al final del post)

3.- Ingresar al ordenador afectado desde "Modo Seguro" con símbolo del Sistema, utilizando la sesión como Administrador.

4.- Conectar el Dispositivo Extraíble al ordenador y aguardar mínimo 1 minuto a que se cargue. 

5.- Verificar cual es la letra asignada para nuestro Dispositivo Extraíble, utilizando la siguiente serie de comandos:

Escribir diskpart, aceptar y aguardar a que se cargue el comando.

Escribir list volume, aceptar y aguardar. Tomar nota acerca de la letra asignada para nuestro Volumen "Extraíble".

Escribir exit, aceptar.

Escribir la letra de su Dispositivo Extraíble, ejemplo E: y aceptar.

Una vez ingresada a la unidad correspondiente al Dispositivo Extraíble, escribir lo siguiente para ejecutar el archivo:

Código:

"PoliFix.exe"

 (con las comillas)

6.- Aguardar mientras que PoliFix trabaja de forma automática, desinfectando y reparando del Ransomware

7.- Una vez terminado, reiniciar su equipo y comprobar los resultados.

Cómo eliminar el "Virus de la Policía" (SIN 'Modo Seguro').

Tal como documentábamos en la "Cronología del “Virus de la Policía” desde el mes de Febrero del 2012, comenzaron a aparecer nuevas variantes de este ransomware que impide al usuario el poder acceder a su equipo en "Modo Seguro" / "Modo a prueba de Fallos" (F8), por lo que no se pueden seguir los pasos descriptos arriba para su eliminación.

 En caso de no poder ingresar en su equipo en "Modo Seguro (F8)" es necesario crear un disco de rescate con el que posteriormente analizar el equipo. Por favor, sigue los pasos que se indican a continuación:

Pasos para la eliminación:

1.- Imprima estas instrucciones: ya que es necesario continuar con todos los programas y ventanas cerradas.

2.- Crear un disco de rescate: Siga las instrucciones de sus respectivos manuales con alguna de estas dos opciones de AVs:

 Avira Rescue System

 Kaspersky Rescue Disk 10

3.-Ejecutar el disco de rescate: Una vez arrancado el sistema infectado desde la unidad de CD, aparece el asistente del programa Avira Rescue System, o Kaspersky Rescue Disk 10, que le guiará durante todo el proceso de análisis y desinfección.

Cuando el proceso haya finalizado, retire el disco y pulse Intro para reiniciar el equipo.

4.-Ejecute PoliFix: Descargue y ejecute la ultima versión de nuestra herramienta PoliFix by @InfoSpyware para corregir todas las modificaciones realizadas en su equipo por el malware y asegurarse de que no queda ningún rastro de este escondido.

5.- Reiniciar y comprobar los resultados.

Si teneis algo que decir o que aportar, no dudeis en dejar vuestro comentario.