El “Virus de la Policía”, infectando con ingeniería social

El motivo de escribir sobre este troyano de tipo ransomware es que no paran de aparecer nuevas mutaciones y  que es uno de los que últimamente más infecciones está causando a pesar de ser un malware no demasiado complicado, aunque sí muy efectivo. Y que se basa en la ingeniería social y que elude los antivirus con mucha eficacia.

Y aprovecho para contaros un caso que me sucedió hace poco. Una conocida  me llamaba, al móvil, muy agobiada y me contaba el motivo: su ordenador portátil estaba secuestrado (bloqueado) desde el viernes por la noche y que su hija no paraba de llorar mientras le juraba que ella no había entrado a “esas páginas”. Y que cuando leyó los mensajes que le aparecían en la pantalla del portátil ese mismo viernes llamo a una abogada que conocía. Y que después de leerle unas denuncias que aparecían en la pantalla del portátil, su amiga, la abogada le había dicho fuera a la policía porque esos artículos eran ciertos y estaban en el código penal. Por lo que el sábado por la mañana se plantó en la comisaria con el portátil infectado. Y el mismo policía de la puerta, que ya sabía de que iba, le dijo que eso era un virus muy peligroso que había aparecido y que ellos no podían hacer nada pero que tenía que formatear el portátil y perder todos los ficheros y que posiblemente ya no podría volver a utilizarlo. Pero como ella quería recuperar todas las fotos y los trabajos que tenía su hija en el portátil después de probar de todo durante el domingo y no conseguir recuperarlo espero al lunes para llamarme.  Por lo que después de oírla e intentar calmarla le dije que se tranquilizará, que no se preocupara y que me trajese el portátil porque ni iba a perder los documentos que tenía, ni mucho menos el portátil.

El “Virus de la Policía” también conocido como el “Virus Ukash” (por ser una de las formas de pago empleadas para desbloquearlo). Se trata de un  troyano de tipo Ransomware (“Secuestrador”)  uno de los que más ordenadores ha infectado y al parecer “más rentable” para sus creadores que han ido evolucionado con decenas de versiones diferentes, con el objetivo de burlar a los antivirus y a las nuevas herramientas que aparecen para anularlo.

Desde la primera versión en el mes de Marzo del 2011 hasta la fecha de hoy cada versión evoluciona para complicar más su eliminación como desactivar el Modo Seguro (F8), encriptar los ficheros y también mejora su aspecto pasando de una traducción tosca a una traducción muy cuidada basada en  artículos reales del código penal.

Bloquea (secuestra) el ordenador tras la infección nada más iniciarlo y nos intenta engañar con un mensaje que dice proceder del Cuerpo Nacional de Policía y del Ministerio de Interior indicando que se ha detectado accesos a web que contienen pornografía infantil, zoofilia, imágenes de violencia, descargas ilícitas, SPAM de índole terrorista,… y solicita un pago a los asustados usuarios (que varía de los 50€ a los 150€,  aunque depende del país y la moneda) para desbloquearlo. Nos dice que disponemos de un plazo de 72 horas para pagar la “multa”. Y en caso de impago amenaza con que se borrarán todos los datos (para impedir que sigamos “delinquiendo”) y con una serie de artículos del código penal nos intentan intimidar argumentando que conocen nuestra dirección IP y diciéndonos que nos pueden castigar con multas de miles de euros y con penas de hasta 3 o 5 años de cárcel.

Cuando nos infecta modifica entradas del registro y  crea un bucle infinito cada 100 milisegundos que elimina el Administrador de Tareas (taskmgr.exe), el  Explorador de Windows (explorer.exe), msconfig, regedit,…  tomando antes el control del Shell de Windows y en las últimas versiones encriptando los ficheros y produciendo el bloqueo del ordenador.

Hay herramientas como WinLockLess, Polifix.exe, Diskpart.exe, etc. que nos ayudan a eliminarlo e incluso inmunizarnos al menos hasta la última versión conocida; con las nuevas ya veremos. Aunque tenemos que tener cuidado con estas herramientas porque si no son bien utilizados pueden producir más daños que beneficios. También es importante que tengamos actualizado nuestros ordenadores con las actualizaciones correspondientes ya que se basa en un fallo de seguridad de Java.

Y aunque parezca mentira según las estadísticas se paga “la multa” aprovechando el desconocimiento y el miedo de la gente. Los cibercriminales sin moverse de su casa obtienen pingües beneficios. Y sucede tanto a particulares, como empresas y últimamente menores que no quieren que sus padres se enteren de que están entrando a “esas páginas”. Aunque este troyano utiliza varios medios para su propagación e infectar nuestros ordenadores.

Bueno siguiendo con la historia, después de estos apuntes sobre “el virus de la policía”, me trajo el portátil infectado. Y en aproximadamente una hora pudo volver a utilizar su portátil sin problemas y sin pérdida de ninguna foto ni documento. Y sin el esparadrapo que tapaba la cámara de vídeo porque pensaba que le estaban vigilando (la cámara se enciende y simula que está grabando aunque ni graba ni envía imágenes al menos en las versiones actuales).

Y la moraleja seria que si tienes algún problema con tu ordenador tienes que acudir a un profesional de la informática; los abogados y la policía están para otras cosas.

 

EDICIÓN 18 febrero 2013:

Los creadores del virus de la polica han sido detenidos en la operación RANSOM, por la policía en colaboración con otros cuerpos de policía europeos. Ver nota de prensa del Ministerio.

imagen: Mr. Greenjeans

10 comentarios
  1. Juan Miguel Ferrandiz
    Juan Miguel Ferrandiz says:

    Yo tengo un amigo aL que se le ha infectado ya tres veces. Las últimas dos lo ha podido solucionar el sólo. Tras la primera infección le cree dos perfiles en su equipo, uno de Administrador que sólo debe utilizar cuando quiera instalar algún programa o periférico, y otro perfil con permisos de usuario que es con el que utiliza el equipo. Por supuesto el control de acceso de usuarios debe estar activado. Cuando se le infecta el perfil de usuario, inicia sesión con el perfil de administrador y pasa el análisis completo del antivirus (tiene el de Microsoft) y problema resuelto.

  2. Juan A. Esquer
    Juan A. Esquer says:

    No se con que version has utilizado ese metodo que comentas, pero el virus bloquea totalmente el ordenador al iniciar sesion (por eso la clasificación del tipo ransomware, porque “secuestra” el ordenador) e impide mediante un bucle, cada pocos milisegundos, que se ejecute cualquier programa que puedas utilizar para eliminarlo e incluso el administrador de tareas. Y lo hace para cualquier perfil que tengas incluso para el administrador local.
    Y en las ultimas versiones impide el arranque en modo seguro [F8], por lo que una de las formas de eliminarlo es realizando un arranque desde CD o USB.

  3. Luis
    Luis says:

    Hola, buenos días, quería comentarte que mi portátil está infectado con el virus de la policía y debe ser la última versión porque no permite el acceso al modo seguro, Te agradecería cómo lo puedo arrancar desde un USB. Por lo que he leído es la única forma de solucionarlo. Gracias. Luis

    • Juan A. Esquer
      Juan A. Esquer says:

      Cuando el virus te impide arrancar en modo seguro tienes que arranca tu portatil desde un DVD o un USB que sea de arranque (bootable). Para eso debes utilizar algun DVD o USB que ya lo tenga o bien crearlo. Si tu portatil no tiene DVD para poder arrancar inevitablemente debes hacerlo desde un Pendrive USB. Si no tienes ninguno puedes buscar en internet porque te lo explicaran paso a paso “crear un usb de arranque” y seguir los pasos. Pero además en la BIOS del portatil debes cambiar para que arranque antes desde el USB que del disco duro. Pruebalo y si tienes algun problema no dudes en consultarme.

  4. Diego M.
    Diego M. says:

    Se me ha infectado con el virus de la policia varios ordenadores de la empresa en algunos he podido quitarlos pero en otros es imposible. Hay que tener en cuenta algo mas para poder arrancarlos y pasar el antivirus. Se puede propagar el virus de un ordenador a otro por la red de la empresa.
    Gracias

    • Juan A: Esquer
      Juan A: Esquer says:

      Tienes que habilitar el arranque desde USB y/o DVD para poder cargar algunas de las herramientas que te permiten eliminar el virus.
      Las versiones actuales de este virus no se propagan de equipo en equipo sino se produce interacion entre ellos.

  5. David
    David says:

    Hola, ¿Cual es el mejor antivirus para eliminar este virus?. El que tengo ahora no ha impedido que se me infecte mi ordenador.

    • Juan A: Esquer
      Juan A: Esquer says:

      Hay varias herramientas y antivirus que te puedes ayudar en la proteccion de tus ordenadores, pero tienes que tener en cuentas que no son infadibles y que debes tener bien actualizado tu ordenador.
      El antivirus que yo te recomemiendo por varios motivios es el NOD32, y alguno de ellos es su gran potencia y su poco consumo de recursos.

  6. Juan A. Esquer
    Juan A. Esquer says:

    Detienen a los creadores de virus de la polica. En este caso la policia española en coloboración con policia europea. Los malos siempre pierden…
    Mas información en la web del Ministerio del Interior http://www.interior.gob.es/press/golpe-policial-a-una-de-las-mayores-redes-cibercriminales-especializada-en-infectar-millones-de-ordenadores-de-todo-el-mundo-14802 y en otros medios de comunicacion http://www.publico.es/450645/cae-la-red-cibercriminal-que-estafo-con-el-virus-de-la-policia-mas-de-un-millon-de-euros?src=lmGp&pos=4

  7. Juan A. Esquer
    Juan A. Esquer says:

    Relacionado con el “virus de la policía” miles de empresas se pueden ver afectadas victimas del hackeo de sus servidores. De esas empresas 1.500 son españolas y su seguridad puede verse seriamente comprometida.
    Esta trama dedicada al blanqueo de dinero esta relacionada con la desarticulación de la trama económica del dinero estafado con el “virus de la policía”. Enhorabuena a la policía que culmina con éxito la segunda fase de la operación “Ransomware”.
    http://www.cadenaser.com/espana/articulo/cae-trama-dedicada-blanqueo-internet-virus-policia/csrcsrpor/20130927csrcsrnac_6/Tes

Los comentarios están desactivados.