Nueva variante del RANSOMWARE que se hace pasar por la Policía y exige el pago de una multa de 100 euros

La Policía Nacional, a través del Grupo de Delitos Tecnológicos, ha informado sobre la propagación de un nuevo virus que utiliza el nombre de las autoridades españolas, del Gobierno y del Ministerio de Interior para reclamar a la víctima el pago de una multa de 100 euros haciéndole creer que ha cometido un delito.

se está distribuyendo por la Red e incluye un código malicioso que consigue bloquear por completo el ordenador de la víctima mostrando un mensaje en la pantalla que suplanta la identidad de las fuerzas de seguridad del Estado, así como del Gobierno y el Ministerio del Interior. La web que se muestra al usuario señala su dirección IP y se le acusa de haber cometido varios delitos:

TEXTO MENSAJE
____

Atención!!! Ha sido detectada actividad ilegal! Su sistema operativo ha sido bloqueado debido a una infracción de la legislación alemana! Han sido detectadas las siguientes infracciones: “Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! […] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista.” El presente bloqueo ha sido realizado para prevenir la posibilidad de difusión de dichos materiales desde su ordenador en internet. Para desbloquear su ordenador, usted ha de pagar una multa de 100 euros! La multa ha de ser pagada antes de 24 hrs desde el momento del bloqueo de su ordenador! En caso de impago, todos los datos de su ordenador serán eliminados!”

Los llamados ciberdelincuentes siguen ingeniándoselas para intentar estafar a los internautas menos precavidos. En esta ocasión la estrategia utilizada es a extensión de un virus de tipo ransomware. Este tipo de malware tiene como principal característica el “secuestro” del ordenador de la víctima, es decir, que lo bloquea de modo que no puede utilizarlo hasta que no se consiga la desinfección del equipo.

La Policía nunca utiliza este tipo de prácticas, por lo que estamos ante un claro caso de intento de estafa. Al margen de no proceder a ningún tipo de pago, la eliminación de este virus es posible de una forma sencilla, consistente en arrancar el PC en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, pulsando repetidamente F8 al arrancar Windows y escoger dicha opcion, luego ejecutar la utilidad ELISTARA, y si ni con ello se detectara nada, proceder con el SPROCES->SALIR y enviarnos el informe resultante. (Se recomienda para ello tener copiado el ELISTARA y el SPROCES en un pendrive, descargados de otro ordenador no infectado)

Arrancando en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA es la única forma de acceder al PC, puesto que si el usuario intenta entrar en modo normal el equipo estará completamente bloqueado y verá únicamente la web del virus para proceder al pago, debido a que al infectar un ordenador con este malware, se elimina TaskManager y detiene el Windows Explorer. Pero antes de hacerlo, el malware toma el control del shell predeterminado de Windows dentro de la clave de registros (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) y reemplaza explorer.exe por el nombre aleatorio del archivo infectado. Después inicia un bucle infinito y trata de destruir el proceso “taskmgr.exe” si se está ejecutando. También detiene el “explorer.exe” cada 100 milisegundos para bloquear las interacciones del usuario.

SOLUCION:

Ya conocemos variantes anteriores de este malware, que vamos controlando con el ELISTARA, por lo que, arrancando en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y lanzando dicha utilidad, es posible se solucione o que pidamos muestra del sospechoso o incluso que no se detecte nada, en cuyo caso cabría recurrir entonces a enviarnos el informe del SPROCES, para ver manualmente el fichero utilizado, y pedir muestra para analizarlo y pasar a controlarlo en la proxima versión del ELISTARA.

saludos

ms, 25-1-2012