VARIAS SOLUCIONES AL VIRUS DE LA POLICIA EN LOS CASOS QUE NO PERMITE ARRANCAR EN MODO SEGURO

Son muy frecuentes las consultas de usuarios afectados por el virus “de la policia”, variantes de los iniciales WINLOCK, luego los REVETON y los actuales MALWARE.POLICIA, que piden pago por rescate (RANSOMWARE), los cuales hemos ido controlando a medida que han ido apareciendo (son cientos las variantes de todos ellos), desde el que afectaba al SHELL del EXPLORER, luego através de un link en el INICIO, algunos de ellos descargando la imagen de una web de Ukraina, pasando por los que se cargan desde carpeta temporal de cada usuario al mismo tiempo que desde la carpeta de sistema, y ultimamente lo peor, que afectan al SAFE BOOT y no dejan arrancar en MODO SEGURO, impidiendo ejecutar el ELISTARA.EXE que es la utilidad a través de la cual controlamos todas las variantes anteriores.

Por ello hicimos el SREGEDIT.EXE, que permite visualizar y modificar el registro de sistema de discos duros esclavos, bien por colocarlos fisicamente en otro ordenador o por arrancar con un LIVE CD, pero ello es para uso de personal tecnico experimentado en el REGEDIT, y aun asi era complejo ancontrar las claves modificadas y restaurarlas, por lo que hemos seguido buscando la manera de facilitar la eliminacion de dicho malware de modo que la mayoría de los usuarios puedan hacerlo.

Y hoy mismo hemos ofrecido una posible manera de que no visualice la dichosa pantalla, y suponiendo que se tengan puntos de restauracion anteriores al problema, ofrecemos a continuacion,  COMO RESTAURAR EL REGISTRO DE SISTEMA A UN PUNTO ANTERIOR USANDO UN LIVE CD O COLOCANDO EL HDD INFECTADO COMO ESCLAVO EN UN ORDENADOR LIMPIO, si bien se requiere arrancar con otro medio, bien sea un LIVECD con arranque en LINUX o un BARTPE que arranque en miniwindows, o colocar el disco duro como esclavo en otro PC no infectado, para que arrancando sin virus se pueda acceder a la unidad infectada y procesarla, la cuestión es poder restaurar sistema a un punto anterior a la infección, pero manualmente, claro, al no poder arrancar con el disco duro afectado, y no poder lanzar una restauracion de sistema normal desde windows o facilitadolo a través de nuestra utilidad ELRSTRUI.EXE

Claro está que se han de tener puntos de restauración anteriores al problema, pero cada mes, con las actualizaciones de los parches de windows, se crea uno automáticamente, aparte de los que pueda haber creado el usuario voluntariamente.

Pues escogiendo el punto de restauración que deseamos restaurar, se eliminará la carga del dichoso virus, y lo único que se ha de tener en cuenta es que se habrán de volver a instalar las actualizaciones posteriores o aplicaciones que se hayan instalado a partir de dicha fecha.

Tras ello podrá arrancarse normalmente sin que aparezca la dichosa pantalla, y podrá actualizarse el AV (con boton derecho sobre el icono de la barra de Inicio, y ACTUALIZAR) aparte de poder lanzar nuestra utilidad tan recomendada ELISTARA, mejor arrancando en modo seguro que ahorá ya podrá hacer, y asegurarse que no haya ningun malware que conozca la última versión de dicha utilidad, dado que la actualizamos a diario.

Esperamos que lo indicado sirva para sacarse de encima tan dichoso malware, sin necesidad de tener que pagar el rescate que piden, ni formatear el ordenador, claro !

Ante cualquier duda o comentario, rogamos nos consulten.

saludos

ms, 25-4-2012
NOTA:
Si no se dispusiera de punto de restauracion al efecto, cabe probar el método de borrar el fichero WINSH320, imagen de la dichosa pantalla, indicado en https://blog.satinfo.es/?p=28428

o crear el fichero PINOK.TXT en \DATOS DE PROGRAMA del usuario – (o APPDATA, segun sistema) con lo cual en algunas versiones se cree que ya se ha pagado el rescate, y se desinstala el malware (lo cual puede hacerse arrancando con otro medio)

o probar introduciendo los códigos conocidos de liberación para algunas variantes de dicho RANSOMWARE:

posible codigo rescate (Hispasec): 1029384756

o este otro: 6337181511212098234

Con lo que tenemos varias alternativas para no tirar la toalla, en función de la variante de la que se trate.

ms.

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies