![\"\"](\"https:\/\/www.satinfo.es\/blog\/wp-content\/uploads\/2011\/11\/Imagen1.jpg\")
<\/p>\nComo sea que el virus \u00abde la polic\u00eda\u00bb est\u00e1 tomando un auge extremo estos \u00faltimos d\u00edas, editamos esta noticia como resumen de todas las variantes conocidas hasta la fecha con sus caracter\u00edsticas principales y m\u00e9todo sugerido para su eliminaci\u00f3n.<\/p>\n
B\u00e1sicamente este virus es un RANSOMWARE que presenta una pantalla con falso aviso de la polic\u00eda (algunas variantes indican venir de la SGAE (Sociedad General de Autores y Editores), bien por multa sobre encontrar su >IP en visitas a p\u00e1ginas pedof\u00edlicas y pornogr\u00e1ficas, o bien por descargas ilegales que atentan a los derechos de autor, todo ello inventado, pero requiriendo el pago de una multa de 50 \u00f3 100 Euros a pagar a trav\u00e9s de UKASH con destino a servidores de Ukraina. Dicha pantalla bloquea el acceso a la normal operativa del ordenador, dej\u00e1ndolo bloqueado hasta la entrada del c\u00f3digo que env\u00edan los ciberdelicuentes tras efectuar el pago requerido.<\/p>\n
Inicialmente se pod\u00eda arrancar en MODO SEGURO y tras ello proceder con nuestras utilidades, pero actualmente altera el SAFE BOOT y al no poder arrancar de ninguna forma desde el disco duro afectado, se ha de recurrir a arrancar con un LIVE CD o colocando el disco infectado como esclavo en otro ordenador con un MASTER limpio y operativo.<\/p>\n
Se han visto varias subfamilias de dicho virus, recibiendo varios nombres como WINLOCK, REVETON, MALWARE POLICIA, etc, y dentro de cada uno de ellos, tropecientas variantes que dificultan su detecci\u00f3n y eliminaci\u00f3n.<\/p>\n
_____<\/p>\n
En un principio, a finales de Noviembre de 2011 se detectaron las primeras variantes de esta familia, a la que se identific\u00f3 como WINLOCK, lanzando un fichero malware de nombre MAHMUD.EXE desde un Shell del Explorer, y presentando esta pantalla:<\/p>\n
<\/p>\n
Ya desde el ELISTARA 24.34 se control\u00f3, eliminando el fichero y restaurando la clave del registro, y para lanzar la utilidad simplemente se arrancaba en MODO SEGURO CON S\u00d3LO S\u00cdMBOLO DE SISTEMA (para lo lanzar el Explorer ni el Shell)<\/p>\n
_____<\/p>\n
Posteriormente, a primeros de Febrero de este a\u00f1o, sin la pantalla de la policia, pero con la misma intencion, llego otra variante a trav\u00e9s del fichero PANEL.EXE , siendo lanzado desde un link en el INICIO, que se control\u00f3 a partir del ELISTARA 24.78 :<\/p>\n
Para su eliminaci\u00f3n bastaba con arrancar en modo seguro como ADMINISTRADOR o como otro usuario no infectado, o igual que en el caso anterior, en s\u00f3lo s\u00edmbolo del sistema, y lanzar dicho ELISTARA.<\/p>\n ______<\/p>\n La siguiente aparici\u00f3n de otra variante fue a finales de Febrero, a trav\u00e9s de la ejecuci\u00f3n de un fichero que aparentaba ser un CODE de Adobe, con el nombre de ADOBEFLASH.EXE, para poder visualizar un video…<\/p>\n Se pas\u00f3 a controlar a partir del ELISTARA 24.93<\/p>\n _______<\/p>\n Otra variante similar, con la misma presentacion, lleg\u00f3 de la misma forma, aparentando ser un\u00a0 CODEC para un video, en un fichero de nombre MEDIAPLAYER.EXE, y se paso a controlar a partir del ELISTARA 24.96<\/p>\n _______<\/p>\n La siguiente variante del mismo malware nos lleg\u00f3 en fichero de nombre KODAK.EXE, pasando a ser controlado a partir del ELISTARA 24.97<\/p>\n ________<\/p>\n A partir de Marzo empezaron los de la variante REVETON, que los descargaba el malware SENS, como este de nombre C860A046F7934EBC36672B76381C1C.exe.tmp, controlado a partir del ELISTARA 25.05<\/p>\n La imagen de la pantalla de bloqueo fue la siguiente:<\/p>\n Con \u00e9l empezaron los problemas de no poder arrancar en modo seguro, por lo que se aconsej\u00f3 que se desconectara el cable de Internet y se reiniciara el ordenador, al no encontrar conexi\u00f3n, ofrece una pantalla de ERROR, apareciendo al final un link sobre el que se pulsar\u00e1 con el bot\u00f3n derecho del mouse y se escoger\u00e1 ABRIR CON NUEVA VENTANA, lo cual permitir\u00e1 explorar el disco duro y lanzar el ELISTARA desde un pendrive en el que se haya copiado descarg\u00e1ndolo de otro ordenador<\/p>\n ________<\/p>\n En fichero 0.9292192072272115.exe lleg\u00f3 otra variante de esta gama REVETON, que se pas\u00f3 a controlar a partir del ELISTARA 25.09<\/p>\n _________<\/p>\n La siguiente variante lleg\u00f3 a finales de Marzo, a trav\u00e9s de una falsa DLL, wpbt0.dll, lanzada a trav\u00e9s del RUNDLL32.EXE , la cual pasamos a controlar a partir del ELISTARA 25.20<\/p>\n __________<\/p>\n Ya en Abril 2012 lleg\u00f3 otra variante del Reveton en HJ8OL0.EXE, que se control\u00f3 a partir del ELISTARA 25.25<\/p>\n __________<\/p>\n Otra muestra de Reveton, descargada por el malware SENS, lleg\u00f3 en el fichero F39E6EF111E04422D815C6F4021B69B.EXE.TMP y pasamos a detectarlo a partir del ELISTARA 25.31<\/p>\n ___________<\/p>\n La siguiente muestra de Reveton vino en el fichero msuu0.exe y fue controlada a partir del ELISTARA 25.32<\/p>\n ___________<\/p>\n Como que cada vez son mas complejos de detectar y eliminar, ofrecemos en esta NOTICIA, la manera de como lanzar una\u00a0RESTAURACION A UN PUNTO ANTERIOR<\/a>, arrancando con un LIVECD o poniendo el disco duro como esclavo en otro equipo:<\/p>\n Resumen de variantes del virus \u00abde la Polic\u00eda\u00bb<\/a><\/p>\n Si no se dispusiera de punto de restauraci\u00f3n al efecto, cabe probar el m\u00e9todo de borrar el fichero WINSH320, imagen de la dichosa pantalla, indicado en<\/p>\n Virus \u00abde la Polic\u00eda\u00bb<\/a><\/p>\n o crear el fichero PINOK.TXT en DATOS DE PROGRAMA del usuario – (o APPDATA, seg\u00fan sistema) con lo cual en algunas versiones se cree que ya se ha pagado el rescate y se desinstala el malware (lo cual puede hacerse arrancando con otro medio) o probar introduciendo los c\u00f3digos conocidos de liberaci\u00f3n para algunas variantes de dicho RANSOMWARE:<\/p>\n posible c\u00f3digo rescate (Hispasec): 1029384756<\/p>\n o este otro: 6337181511212098234<\/p>\n ___________<\/p>\n A finales de Abril, apareci\u00f3 la nueva gama de Reveton que se lanzaba desde un 04 RUN en lugar del men\u00fa de inicio, a saber:<\/p>\n Nombre: seti0.exe.VIR Tama\u00f1o: 158.5 KB ( 162304 bytes )<\/p>\n Pas\u00f3 a ser controlado a partir del ELISTARA 25.38<\/p>\n __________<\/p>\n A primeros de Mayo 2012 aparecen los primeros ficheros codificados tras conseguir acceder normalmente al disco duro y eliminar el virus, pero quedando fichero codificados, con el prefijo LOCKED y cuatro d\u00edgitos tras la extensi\u00f3n, para lo cual se desarroll\u00f3 la utilidad\u00a0SDECODER.EXE<\/a>\u00a0que entrando un fichero codificado y el original del mismo (de la copia de seguridad o de otro ordenador), ofrece los ficheros sin codificar, basados en el algoritmo de cifrado obtenido.<\/p>\n Tras comprobar el funcionamiento de los ficheros decodificados, puede procederse a la eliminaci\u00f3n de los correspondientes LOCKED, pero cuidado que puede haber mas de una infecci\u00f3n y en consecuencia mas de una codificaci\u00f3n, por lo que se aconseja mantener los LOCKED hasta la comprobaci\u00f3n del correcto funcionamiento, y si algunos no funcionan, repetir la operaci\u00f3n, tras borrar los locked que se hayan comprobado que se han recuperado.<\/p>\n __________<\/p>\n llegando a finales de Mayo, siguen las nuevas variantes, como esta de Nombre: T7F07IB.EXE. que pasa a ser controlada desde el ELISTARA 25.47<\/p>\n Y la ultima antes de escribir estas lineas, es mas de lo mismo, llegado en el fichero de Nombre:<\/p>\n 0.0942601307712525.exe , y pasado a controlar desde ELISTARA 25.52<\/p>\n ____________<\/p>\n Otras posibilidades de descubrir variantes no controladas del mismo, es mirar en la carpeta de sistema *C:\\windows\\system32\\ y en la carpeta de usuario, la presencia de dos ficheros de 20 d\u00edgitos hexadecimales, lo cual puede verse dado que hay bastantes probabilidades que est\u00e9n entre los primeros ficheros de dichas carpeta (al empezar de 0 a 9 \u00f3 de A a F, al ser nombre en c\u00f3digo hexadecimal). En tal caso, a\u00f1adirles .VIR a su extensi\u00f3n y envi\u00e1rnoslos para analizar<\/p>\n Y como que la \u00faltima historia es lanzarse a trav\u00e9s de la clave del USER.INI, se debe arrancar con el disco infectado como esclavo o con LIVE CD, debido a esto hemos desarrollado la utilidad\u00a0SUSERINI.EXE<\/a>\u00a0que muestra los ficheros que se lanzan desde dichas claves y as\u00ed poder bloquear al sospechoso, a\u00f1adi\u00e9ndole .VIR al final de la extensi\u00f3n y poder envi\u00e1rnoslo para analizar<\/p>\n Mas informaci\u00f3n gen\u00e9rica, CON MAS INFORMACION sobre este malware, se puede ver en\u00a0HISPASEC<\/a>\u00a0con mas ideas al respecto<\/p>\n Esperamos que lo indicado les sea de utilidad<\/p>\n","protected":false},"excerpt":{"rendered":" Como sea que el virus \u00abde la polic\u00eda\u00bb est\u00e1 tomando un auge extremo estos \u00faltimos d\u00edas, editamos esta noticia como resumen de todas las variantes conocidas hasta la fecha con sus caracter\u00edsticas principales y m\u00e9todo sugerido para su eliminaci\u00f3n. B\u00e1sicamente este virus es un RANSOMWARE que presenta una pantalla con falso aviso de la polic\u00eda […]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[188,891,892],"tags":[246,247,244,245],"class_list":["post-416","post","type-post","status-publish","format-standard","hentry","category-188","category-otros","category-todos","tag-de-la-policia","tag-solucion","tag-variantes","tag-virus","category-188-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/416","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=416"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/416\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=416"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=416"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=416"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/www.satinfo.es\/blog\/wp-content\/uploads\/2012\/02\/Panel.jpg\")
<\/a><\/p>\n<\/p>\n<\/p>\n