Wednesday, April 10, 2013

Cómo eliminar el Ransom.Win32.Rannoh (Virus de la policía, Mayo 2012)

El “Virus de la Policía” también conocido como “Virus Ukash” se ha convertido una de las plagas más insidiosas de los últimos tiempos. Cientos de usuarios en España, Europa y Latinoamérica, han visto cómo su ordenador se bloqueaba nada más iniciarlo y mostraba un mensaje que parecía provenir del Cuerpo Nacional de Policía, que con la excusa de haberse producido accesos a páginas que contienen pornografía infantil, violencia infantil o sodomía, solicitaba cierta cantidad de dinero para desbloquearlo.
Si tu ordenador se infecta, y se bloquea el inicio apareciendo una ventana que solicita el pago de una cantidad que ronda los 100€, no hagas nada. Es una estafa. Sigue leyendo este post…

El éxito del Ransom.Win32:

El éxito de este troyano se basa en lo siguiente, según www.infospyware.com:
  • Una difusión profesional. Están aprovechando vulnerabilidades muy recientes (enero) en software popular (Java) y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.
  • Un malware “simple” y efectivo. El malware en sí no es “sofisticado” en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.
  • La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa. En algunos foros “underground” hemos observado que el creador se jacta de conseguir que aproximadamente un 1% de los infectados termine pagando. Con el nivel de infección conseguido en toda Europa, podemos imaginar lo lucrativo de la estafa.
  • Eludir antivirus. Las muestras recién llegadas a VirusTotal suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras “frescas” pasen muy desapercibidas.
Desde que se observaron los primeros casos de equipos infectados, en Mayo 2011, el virus ha ido evolucionando notablemente, haciéndose más sofisticado en cada una de sus variantes, que distan entre sí por periodos de menos de un mes. En el siguiente enlace podemos ver la cronología del Ransom.Win32 y sus variantes. www.infospyware.com/blog/cronica-virus-de-la-policia/.
La imagen que aparece con la variante Ransom.Win32.Rannoh es parecida a esta:


Pasos para su eliminación

  1. Descargar el archivo Polifix.exe y guardarlo en un dispositivo extraíble (desde otro ordenador)
  2. Reiniciar el equipo infectado y pulsar F8 en el arranque.
  3. Seleccionar “Modo seguro” con símbolo del Sistema, utilizando la sesión como Administrador. En caso de que esto no sea posible, mira esto: Virus de la policia evoluciona denegando acceso a modo seguro.
  4. Conectar el dispositivo extraíble al ordenador. Ejecutar la herramienta “Polifix.exe”.



Otra forma de eliminarlo:

La variante Rannoh tiene la pecualiridad de que Renombra, cambia las extensiones y codifica los archivos de nuestro equipo estableciéndolos de esta forma: “locked-<nombre_de_nuestro_archivo>.<4 caracteres aleatorios>”. Es una de las variantes más agresivas de este virus.
Para eliminarlo y recuperar el nombre de los archivos, seguir los siguientes pasos.
  1. Iniciar en Modo Seguro (tecla F8 al arrancar el PC). En caso de que no sea posible, mira esto: Virus de la policia evoluciona denegando acceso a modo seguro.
  2. Pulsar Inicio -> Ejecutar. Escribir “msconfig”.
  3. En la pestaña “Inicio de Windows” aparecerán todos los programas que se ejecutan en el inicio. Dentro de la lista hay uno con una url parecido a esta: C:documents and settings%TUUSUARIO%configuración local …. Se detecta fácilmente porque en el nombre pondrá “Desconocido”, y el fichero contendrá caracteres alfanuméricos sin sentido aparente.
  4. Desactivamos tantas líneas como veamos referentes a este proceso (normalmente 3, aunque pueden ser más o menos)
  5. Pulsamos en “Aceptar” y luego en “Reiniciar”.
  6. Una vez reiniciado, verás que ya no aparece la pantalla de bloqueo. Es el momento de ejecutar RannohDecryptor en nuestro equipo, una herramienta desarrollada por Kaspersky que libera los archivos bloqueados. Ver http://support.kaspersky.com/sp/viruses/solutions?print=true&qid=208286528. Para ello:
  • Instalamos y ejecutamos RannohDecryptor.exe en nuestro equipo.
  • Al abrirlo veremos una pantalla como esta:

  • Pulsaremos sobre la opción “Change parameters” y seleccionamos los discos de nuestro equipo que vamos a analizar.
  • Es importante marcar la opción “Delete crypted files after decryption” para liberar el espacio ocupado por los ficheros encriptados mientras se van copiando ya desencriptados.
  • Pulsaremos en “OK
  • Por último, lanzamos la reparación pulsando en el botón “Start Scan“.
  • Dejamos que el programa limpie y restaure todo. A mi me tardó 30 minutos…
  • Reiniciamos nuestro equipo.

Espero que este post os ayude a desinfectar vuestro equipo de este molesto virus.
Tagged with:
 

One Response to Cómo eliminar el Ransom.Win32.Rannoh (Virus de la policía, Mayo 2012)

No comments:

Post a Comment