AMPLIACIÓN DE DETALLES DEL NUEVO RANSOM BLOCKER LE (variante del virus de “la policía”)

Publicado el 19 septiembre 2013 ¬ 10:54 amh.mscComentarios desactivados en AMPLIACIÓN DE DETALLES DEL NUEVO RANSOM BLOCKER LE (variante del virus de “la policía”)

Una nueva gama de virus de la policía está incordiando por su presentación y dificultad de eliminación, dados los cambios que va haciendo en cada variante y los diferentes puntos de infección que instala en el ordenador afectado.

– Queda residente
– Desactiva las Notificaciones del Centro de Seguridad de Windows y del CortaFuegos
– Deshabilita el Administrador de Tareas.

 

De entrada instala un fichero con el icono de Flash pero de nombre variable, en el USER.INIT, de modo que se lanza en cualquier modo que se arranque desde el disco duro:

 

RANSOMWARE BLOCKER LE

 

y hace copias del mismo, con nombres variables, en diferentes carpetas, entre ellas la de Inicio, la de datos de programa\configuracion local\Microsoft ,  también en una carpeta existente en Archivos de programa y se ejecuta desde la carpeta temporal .  lanzada por el USER.INIT

Los nombres de los ficheros que lanza son distintos aunque su contenido sea el mismo; POR EJEMPLO:

%Archivos de Programa%\ %Carpeta Existente%\ ********.exe

%Datos de Programa% (Config.Local)\ Microsoft\ EdgDTCQv.exe
%WinIni%\ vSXSLCFu.exe
%WinTmp%\ RAKPxytD.exe

– Bloquea el escritorio con una pagina web de “la Policia. “, visualizando estos textos, además de 4 fotos pederastas que hemos omitido por razones obvias:

 

________

RANSOM BLOCKER LE -2

 

Aqui se presentan 4 fotos pederastas de niñas en actos sexuales que se omiten por su contenido

 

RANSOM BLOCKER LE-3

RANSOM BLOCKER LE-4


RANSOM BLOCKER LE-5

RANSOM BLOCKER LE-6

RANSOM BLOCKER LE-7

_______

Aun hemos tenido pocas incidencias de esta nueva gama, habiendo pasado a controlar específicamente las variantes recibidas, eliminándolas en el análisis por exploración, aparte de pedirse la muestra del sospechoso lanzado por el USER.INIT, aunque no se conozca todavía.

A medida que vayamos recibiendo las muestras pedidas en el INFOSAT.TXT, se irán controlando específicamente.

Si se requiere, puede arrancarse con nuestro LIVECD e insertar en la carpeta de INICIO del disco duro el lanzamiento de un fichero .BAT que lance el ELISTARA con la opción /NOAVISA

SATINFO.BAT (por ejemplo) lanzando : C:\ubicacion del ELISTARA\ELISTARA /NOAVISA

Así se lanzará el ELISTARA antes de que aparezca la fastidiosa pantalla, y en el infosat.txt aparecerá el nombre del fichero significativo de la nueva variante, el cual se deberá enviarsenos para analizar y controlar. (Para ver el informe se deberá volver a arrancar con el LIVECD y acceder a C:\INFOSAT.TXT  , ver el fichero que se pide lanzado por el USER.INIT, y copiarlo a otro medio para poder enviárnoslo).

saludos

 

ms, 19-9-2013

 

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies