Nueva variante del RANSOMWARE que se hace pasar por la Policía y exige el pago de una multa de 100 euros

 

La Policía Nacional, a través del Grupo de Delitos Tecnológicos, ha informado sobre la propagación de un nuevo virus que utiliza el nombre de las autoridades españolas, del Gobierno y del Ministerio de Interior para reclamar a la víctima el pago de una multa de 100 euros haciéndole creer que ha cometido un delito.

se está distribuyendo por la Red e incluye un código malicioso que consigue bloquear por completo el ordenador de la víctima mostrando un mensaje en la pantalla que suplanta la identidad de las fuerzas de seguridad del Estado, así como del Gobierno y el Ministerio del Interior. La web que se muestra al usuario señala su dirección IP y se le acusa de haber cometido varios delitos:

TEXTO MENSAJE
____

Atención!!! Ha sido detectada actividad ilegal! Su sistema operativo ha sido bloqueado debido a una infracción de la legislación alemana! Han sido detectadas las siguientes infracciones: “Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! […] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista.” El presente bloqueo ha sido realizado para prevenir la posibilidad de difusión de dichos materiales desde su ordenador en internet. Para desbloquear su ordenador, usted ha de pagar una multa de 100 euros! La multa ha de ser pagada antes de 24 hrs desde el momento del bloqueo de su ordenador! En caso de impago, todos los datos de su ordenador serán eliminados!”

 

 

Los llamados ciberdelincuentes siguen ingeniándoselas para intentar estafar a los internautas menos precavidos. En esta ocasión la estrategia utilizada es a extensión de un virus de tipo ransomware. Este tipo de malware tiene como principal característica el “secuestro” del ordenador de la víctima, es decir, que lo bloquea de modo que no puede utilizarlo hasta que no se consiga la desinfección del equipo.

La Policía nunca utiliza este tipo de prácticas, por lo que estamos ante un claro caso de intento de estafa. Al margen de no proceder a ningún tipo de pago, la eliminación de este virus es posible de una forma sencilla, consistente en arrancar el PC en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, pulsando repetidamente F8 al arrancar Windows y escoger dicha opcion, luego ejecutar la utilidad ELISTARA, y si ni con ello se detectara nada, proceder con el SPROCES->SALIR y enviarnos el informe resultante. (Se recomienda para ello tener copiado el ELISTARA y el SPROCES en un pendrive, descargados de otro ordenador no infectado)

Arrancando en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA es la única forma de acceder al PC, puesto que si el usuario intenta entrar en modo normal el equipo estará completamente bloqueado y verá únicamente la web del virus para proceder al pago, debido a que al infectar un ordenador con este malware, se elimina TaskManager y detiene el Windows Explorer. Pero antes de hacerlo, el malware toma el control del shell predeterminado de Windows dentro de la clave de registros (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) y reemplaza explorer.exe por el nombre aleatorio del archivo infectado. Después inicia un bucle infinito y trata de destruir el proceso “taskmgr.exe” si se está ejecutando. También detiene el “explorer.exe” cada 100 milisegundos para bloquear las interacciones del usuario.

SOLUCION:

Ya conocemos variantes anteriores de este malware, que vamos controlando con el ELISTARA, por lo que, arrancando en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y lanzando dicha utilidad, es posible se solucione o que pidamos muestra del sospechoso o incluso que no se detecte nada, en cuyo caso cabría recurrir entonces a enviarnos el informe del SPROCES, para ver manualmente el fichero utilizado, y pedir muestra para analizarlo y pasar a controlarlo en la proxima versión del ELISTARA.

 

saludos

ms, 25-1-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies