RESUMEN DE VARIANTES VIRUS “DE LA POLICIA”, SU HISTORIA Y SOLUCIONES AL RESPECTO

Como sea que el virus “de la policía” está tomando un auge extremo estos últimos días, editamos esta noticia como resumen de todas las variantes conocidas hasta la fecha con sus características principales y método sugerido para su eliminación.

Básicamente este virus es un RANSOMWARE que presenta una pantalla con falso aviso de la policía (algunas variantes indican venir de la SGAE (Sociedad General de Autores y Editores), bien por multa sobre encontrar su IP en visitas a páginas pedofílicas y pornográficas, o bien por descargas ilegales que atentan a los derechos de autor, todo ello inventado, pero requiriendo el pago de una multa de 50 ó 100 Euros a pagar a través de UKASH con destino a servidores de Ukraina. Dicha pantalla bloquea el acceso a la normal operativa del ordenador, dejándolo bloqueado hasta la entrada del código que envían los ciberdelicuentes tras efectuar el pago requerido.

Inicialmente se podía arrancar en MODO SEGURO y tras ello proceder con nuestras utilidades, pero actualmente altera el SAFE BOOT y al no poder arrancar de ninguna forma desde el disco duro afectado, se ha de recurrir a arrancar con un LIVE CD o colocando el disco infectado como esclavo en otro ordenador con un MASTER limpio y operativo.

Se han visto varias subfamilias de dicho virus, recibiendo varios nombres como WINLOCK, REVETON, MALWARE POLICIA, etc, y dentro de cada uno de ellos, tropecientas variantes que dificultan su detección y eliminación.

_____

En un principio, a finales de Noviembre de 2011 se detectaron las primeras variantes de esta familia, a la que se identificó como WINLOCK, lanzando un fichero malware de nombre MAHMUD.EXE desde un Shell del Explorer, y presentando esta pantalla:

Ya desde el ELISTARA 24.34 se controló, eliminando el fichero y restaurando la clave del registro, y para lanzar la utilidad simplemente se arrancaba en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA (para lo lanzar el Explorer ni el Shell)

_____

Posteriormente, a primeros de Febrero de este año, sin la pantalla de la policia, pero con la misma intencion, llego otra variante a través del fichero PANEL.EXE , siendo lanzado desde un link en el INICIO, que se controló a partir del ELISTARA 24.78 :

Para su eliminación bastaba con arrancar en modo seguro como ADMINISTRADOR o como otro usuario no infectado, o igual que en el caso anterior, en solo simbolo del sistema, y lanzar dicho ELISTARA.

______

La siguiente aparición de otra variante fue a finales de Febrero, a través de la ejecucion de un fichero que aparentaba ser un CODE de Adobe, con el nombre de ADOBEFLASH.EXE, para poder visualizar un video…

Se pasó a controlar a partir del ELISTARA 24.93

_______

Otra variante similar, con la misma presentacion, llegó de la misma forma, aparentando ser un  CODEC para un virdeo, en un fichero de nombre MEDIAPLAYER.EXE, y se paso a controlar a partir del ELISTARA 24.96

_______

La siguiente variante del mismo malware nos llegó en fichero de nombre KODAK.EXE, pasando a ser controlado a partir del ELISTARA 24.97

________

A partir de Marzo empezaron los de la variante REVETON, que los descargaba el malware SENS, como este de nombre C860A046F7934EBC36672B76381C1C.exe.tmp, controlado a partir del ELISTARA 25.05

La imagen de la pantalla de bloqueo fue la siguiente:

Con él empezaron los problemas de no poder arrancar en modo seguro, por lo que se aconsejó que se desconectará el cable de Internet y se reiniciará el ordenador, al no encontrar conexión, ofrece una pantalla de ERROR, apareciendo al final un link sobre el que se pulsará con el botón derecho del mouse y se escogerá ABRIR CON NUEVA VENTANA, lo cual permitirá explorar el disco duro y lanzar el ELISTARA desde un pendrive en el que se haya copiado descargándolo de otro ordenador

________

En fichero 0.9292192072272115.exe llegó otra variante de esta gama REVETON, que se pasó a controlar a partir del ELISTARA 25.09

_________

La siguiente variante llegó a finales de Marzo, a través de una falsa DLL, wpbt0.dll, lanzada a través del RUNDLL32.EXE , la cual pasamos a controlar a partir del ELISTARA 25.20

__________

Ya en Abril 2012 llegó otra variante del Reveton en HJ8OL0.EXE, que se controló a partir del ELISTARA 25.25

__________

Otra muestra de Reveton, descargada por el malware SENS, llegó en el fichero F39E6EF111E04422D815C6F4021B69B.EXE.TMP y pasamos a detectarlo a partir del ELISTARA 25.31

___________

La siguiente muestra de Reveton vino en el fichero msuu0.exe y fue controlada a partir del ELISTARA 25.32

___________

Como que cada vez son mas complejos de detectar y eliminar, ofrecemos en esta NOTICIA, la manera de como lanzar una RESTAURACION A UN PUNTO ANTERIOR, arrancando con un LIVECD o poniendo el disco duro como esclavo en otro equipo:

http://www.satinfo.es/noticies/?p=400

Si no se dispusiera de punto de restauración al efecto, cabe probar el método de borrar el fichero WINSH320, imagen de la dichosa pantalla, indicado en

https://blog.satinfo.es/?p=28428

o crear el fichero PINOK.TXT en DATOS DE PROGRAMA del usuario – (o APPDATA, según sistema) con lo cual en algunas versiones se cree que ya se ha pagado el rescate y se desinstala el malware (lo cual puede hacerse arrancando con otro medio) o probar introduciendo los códigos conocidos de liberación para algunas variantes de dicho RANSOMWARE:

posible código rescate (Hispasec): 1029384756

o este otro: 6337181511212098234

___________

A finales de Abril, apareció la nueva gama de Reveton que se lanzaba desde un 04 RUN en lugar del menú de inicio, a saber:

Nombre: seti0.exe.VIR Tamaño: 158.5 KB ( 162304 bytes )

Pasó a ser controlado a partir del ELISTARA 25.38

__________

A primeros de Mayo 2012 aparecen los primeros ficheros codificados tras conseguir acceder normalmente al disco duro y eliminar el virus, pero quedando fichero codificados, con el prefijo LOCKED y cuatro dígitos tras la extensión, para lo cual se desarrolló la utilidad SDECODER.EXE que entrando un fichero codificado y el original del mismo (de la copia de seguridad o de otro ordenador), ofrece los ficheros sin codificar, basados en el algoritmo de cifrado obtenido.

Tras comprobar el funcionamiento de los ficheros decodificados, puede procederse a la eliminación de los correspondientes LOCKED, pero cuidado que puede haber mas de una infección y en consecuencia mas de una codificación, por lo que se aconseja mantener los LOCKED hasta la comprobación del correcto funcionamiento, y si algunos no funcionan, repetir la operación, tras borrar los locked que se hayan comprobado que se han recuperado.

__________

llegando a finales de Mayo, siguen las nuevas variantes, como esta de Nombre: T7F07IB.EXE. que pasa a ser controlada desde el ELISTARA 25.47

Y la ultima antes de escribir estas lineas, es mas de lo mismo, llegado en el fichero de Nombre:

0.0942601307712525.exe , y pasado a controlar desde ELISTARA 25.52

____________

Otras posibilidades de descubrir variaNtes no controladas del mismo, es mirar en la carpeta de sistema *C:\windows\system32\ y en la carpeta de usuario, la presencia de dos ficheros de 20 dígitos hexadecimales, lo cual puede verse dado que hay bastantes probabilidades que estén entre los primeros ficheros de dichas carpeta (al empezar de 0 a 9 ó de A a F, al ser nombre en código hexadecimal). En tal caso, añadirles .VIR a su extensión y enviárnoslos para analizar

Y como que la última historia es lanzarse a través de la clave del USER.INI, se debe arrancar con el disco infectado como esclavo o con LIVE CD, debido a esto hemos desarrollado la utilidad SUSERINI.EXE que muestra los ficheros que se lanzan desde dichas claves y así poder bloquear al sospechoso, añadiéndole .VIR al final de la extensión y poder enviarnoslo para analizar

Mas información genérica, CON MAS INFORMACION sobre este malware, se puede ver en HISPASEC con mas ideas al respecto

Esperamos que lo indicado les sea de utilidad

saludos

SATINFO, 30/5/2012

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies