AMPLIACION A LA NOTICIA SOBRE NUEVA VARIANTE DE HOY DEL RANSOM WINLOCK, virus de la policía que presenta pantalla de la SGAE

Como sea que la heuristica del ELISTARA ha pedido muestra de un fcihero TEST.EXE que se nos ha enviado para analizar, y visto que es una variante de la familia de los RANSOMWARE típicos del virus de la policía, si bien esta vez aparenta venir de la SGAE, ofrecemos mas informacion sobre lo visto en la monitorización de dicho fichero
– Queda residente.
– No se autocopia.
– Deshabilita el Editor del Registro y el Administrador de Tareas.
– Anula el Menu del boton derecho en Explorer e IExplore
– Oculta todos los iconos del Escritorio
– Impide Arrancar en “Modo Seguro”
– Crea un link en el inicio lanzando el fichero malware ( %WinIni%\ JA.LNK)
– Con conexión a Internet, Bloquea el escritorio con un pantallazo de la SGAE de la que se ofrece imagen.
– Sin conexión indica “Pagina no Encontrada”, e igualmente Bloquea el acceso.

Dicha pantalla es descargada desde un servidor de Ukraina. Latitude: 49  (49° N) y Longitude: 32  (32° E)

La imagen que presenta es similar a:

SGAE-RANSOMWINLOCK

imagen RANSOM LOCKSCREEN 16/2/2013

SOLUCION PARA ELIMINARLO:

Como sea que no deja arrancar en MODO SEGURO, lo mas facil es arrancar con un LIVE CD o colocar el disco duro como esclavo, y suprimir el link malicioso del inicio  (JA.LNK) o bien si no se encuentra dicho LNK por ser otra variante, instalar en dicha carpeta el lanzamiento del ELISTARA.EXE, para que en el proximo reinicio se ejecute automaticamente y elimine el malware, asi como restaure la normalidad en lo que este modifica (si se hace luego debera quitarse de ahi)Tras reiniciar, si no se hubiera instalado el lanzamiento del ELISTARA, lanzarlo manualmente para que restaure los bloqueos implementados por el malware, y vuelva a habilitar los iconos del escritorio y corregir los demas incordios que implementa como acceso a Regedit, Taskmanager, MODO SEGURO, etc.

Es mas de lo mismo ya conocido, pero que causa transtorno al usuario poco avezado y sobre todo perdida de tiempo …, aparte del coste economico a mas de uno que opta por enviar los 100 euros !

Ante cualquier duda al respecto, rogamos nos consulten

SALUDOS

ms, 16/2/2013

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies