SOLUCION A LA NUEVA VARIANTE DEL VIRUS DE “LA POLICIA” BAUTIZADO COMO REVETON

Esta nueva y popular variante del ransomware “de la policia” que visualiza esta pantalla:

ton2.jpg” alt=”” width=”1024″ height=”739″ />

se caracteriza por dejar bloqueado el ordenador con la visualización de dicha pantalla, deteniendo el EXPLORER.EXE y conectando desde un link de la carpeta INICIO a uno de los sites maliciosos de donde descarga la anterior imagen de la “Brigada de Investigación Tecnológica, en la que se pide el pago de 100 euros para desbloquear el equipo.

Las IP de los servidores de donde descargan dicha pantalla hemos visto que son de Ukraina y de la Federación rusa, a saber:

195.189.227.162 UA Ukraine 15 L’vivs’ka Oblast’ Mykolayiv  49.5237 23.9852 SERVER.UA Ukraine Dedicated Service SERVER.UA Ukraine Dedicated Service

62.76.190.16 RU Russian Federation     60.0000 100.0000 ROSNIIROS Russian Institute for Public Networks

Como que desactiva el BOOT SAFE impidiendo arrancar en MODO SEGURO y tambien el TASK MANAGER o Administrador de Tareas, imposibilita lanzar cualquier utilidad de eliminación, pero visto que la imagen la descarga cada vez de Internet, hemos visto la manera de poder lanzar el ELISTARA que lo  detectará y lo aparcará pidiendo muestra para controladr, o lo eliminará si ya está controlado,

Por ello, si aparece la pantalla en cuestión, se debe reiniciar, intentando hacerlo en MODO SEGURO CON FUNCIONES DE RED (pulsando repetidamente F8 al arrancar y escogiendo dicha opcion), y si se logra, señal que es de las variantes WINHOCK que lo permiten, descargar la última version del ELISTARA.EXE, guardarlo y lanzarlo, siguiendo sus indicaciones.

Pero si se trata de la nueva gama REVETON, y no permite arrancar en MODO SEGURO, se desconectará el cable de internet y se reiniciará el ordenador, con lo que al no encontrar conexión, ofrecerá una pantalla de ERROR, apareciendo al final un link sobre el que se pulsará con el botón derecho del mouse y se escogerá ABRIR CON NUEVA VENTANA, lo cual permitirá explorar el disco duro y lanzar el ELISTARA desde un pendrive en el que se haya copiado descargandolo de otro ordenador.

Con la versión de hoy del ELISTARA 25.20 ya controlamos 4 variantes de este REVETON, ofreciendo la última este informe con el virustotal:
SHA256: ad5e75b4e281dc585e6c2bd5b9a8ceac18b0459ba00ba954979a1ce4f4a33272
SHA1: f16a70f99fc7ed7b8ca18990b768a6500836ffcc
MD5: 5d2bfa6af52ee5c8708ea149d206decb
Tamaño: 246.5 KB ( 252456 bytes )
Nombre: wpbt0.dll
Tipo: Win32 DLL
Detecciones: 13 / 42
Fecha de análisis: 2012-03-29 13:00:54 UTC ( hace 0 minutos )

01
Antivirus Resultado Actualización
AhnLab-V3 Trojan/Win32.Agent 20120329
AntiVir TR/Reveton.A.1 20120329
Antiy-AVL – 20120329
Avast – 20120329
AVG Generic27.BHZL 20120329
BitDefender Gen:Variant.Kazy.63685 20120329
ByteHero – 20120328
CAT-QuickHeal – 20120329
ClamAV – 20120329
Commtouch – 20120329
Comodo – 20120329
DrWeb Trojan.Inject1.1053 20120329
Emsisoft – 20120329
eSafe – 20120328
eTrust-Vet – 20120328
F-Prot – 20120328
F-Secure Gen:Variant.Kazy.63669 20120329
Fortinet – 20120329
GData Gen:Variant.Kazy.63685 20120329
Ikarus – 20120329
Jiangmin – 20120328
K7AntiVirus – 20120328
Kaspersky Trojan-Ransom.Win32.Foreign.cwm 20120329
McAfee – 20120329
McAfee-GW-Edition – 20120329
Microsoft Trojan:Win32/Reveton.A 20120329
NOD32 a variant of Win32/Kryptik.ADHN 20120329
Norman W32/Ransom.ABU 20120329
nProtect – 20120329
Panda Suspicious file 20120329
PCTools – 20120326
Rising – 20120329
Sophos Troj/Reveton-AF 20120329
SUPERAntiSpyware – 20120328
Symantec – 20120329
TheHacker – 20120329
TrendMicro – 20120329
TrendMicro-HouseCall – 20120329
VBA32 – 20120329
VIPRE – 20120328
ViRobot – 20120329
VirusBuster – 20120329

Dicha version del ELISTARA 25.20 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 29-3-2012