Actuales variantes del virus de la policia en progreso y como eliminarlos

Tras tropecientas variantes de la familia de malwares denominados “virus de la policia”, por ser ransomwares (pago por rescate) que aparentan ser multas de la policia o de la SGAE, por visitar páginas ilicitas de pedofilia o similares, o contravenir normas legales del Copyright, y a pesar de que se ha eliminado una célula que residia en España y se dedicaba a la propagación y blanqueo de dinero recaudado, siguen progresando dichas infecciones, y hasta se han doblado, segun indican algunas fuentes al respecto, visto que actualmente las variantes que nos llegan de usuarios infectados, se centran en dos tipos, el que denominamos WINLOCK que viene utilizando el fichero SKYPE.DAT, y el REVETON , que está utilizando el fichero WGSDGSDGDSGSD.EXE, lanzandolo desde el inicio a través de un link a RUNCTFMON, ofrecemos métodos de eliminación para facilitar la desinfeccion de los mismos.

De entrada la solucion viene dada por el ELISTARA, si bien en ocasiones la dificultad estriba en que no permite arrancar en MODO SEGURO, y si este es el caso, ofrecemos la pauta a seguir en cada caso:

Para el WINLOCK, como que se lanza desde un Shell del EXPLORER, se puede arrancar en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, en cuyo modo no se carga el EXPLORER y tampoco el SHELL en consecuencia, y en SOLO SIMBOLO DE SISTEMA se podrá ejecutar el ELISTARA desde un pendrive en el que se haya descargado desde otro ordenador.

Para el REVETON, si no se puede arrancar en MODO SEGURO, hacerlo con el disco duro como esclavo en otro ordenador o arrancando con nuestro LIVE CD, o con un BARTPE, ir a la carpeta de inicio y eliminar la carga del link al RUNCTFMON, o buscar el fichero que lanza, el WDSDGSDDGSGSD.EXE y renombrar su extension a .VIR, tras lo cual arrancar normalmente y enviarnos dicho fichero para analizar y controlar.

En cualquier caso, vamos recibiendo las muestras que nos envian y pasamos a controlar las nuevas variantes en las nuevas versiones del ELISTARA que vamos haciendo a diario, para que sean controlados especificamente, aunque los que puedan arrancar de alguna forma desde el disco duro infectado y lanzar dicho ELISTARA, ya se detectará por lo menos heuristicamente.

Y otra posibilidad, si se quiere, es arrancar con nuestro LIVE CD y primero pulsar sobre el boton de actualizar DATS, y una vez hecho esto, lanzar un analisis bajo demanda del VirusScan para LINUX que contiene dicho CD, con lo que será el mismo antivirus el que, si ya conoce la variante en cuestión, la detecte y la mueva a la carpeta CUARENTENA del escritorio del LINUX,  fichero que puede ser copiado a un pendrive, antes de cerrar la sesión, y luego enviado para su analisis y control en el siguiente ELISTARA.

Con lo indicado, no tenemos problemas con dicho virus, si bien por el bloqueo del sistema con la dichosa pantalla, los usuarios afectados se encuentran impotentes y requieren ayuda, la cual pretendemos adelantar con este informe, para lo que pueda servir.

Y para mas informacion, rogamos nos consulten.

saludos

ms, 27-2-2013

NOTA: Ver última detección de hoy de nueva variante del virus de la policia en https://blog.satinfo.es/?p=35945