El ransomware es un tipo de malware que bloquea carpetas, archivos e incluso el acceso al sistema para solicitar a cambio algún tipo de recompensa que les permita a los atacantes ganar dinero.
En el siguiente video de 1 minuto se puede ver cómo operan muchos de estos ataques, al ejecutar un troyano el equipo se reinicia y queda bloqueado mostrando una ventana que solicita enviar mensajes de texto para obtener una clave (ransomware SMS):
Generalmente cuando el equipo se bloquea hay formas de recuperarlo sin necesidad de pagar (ingeniería inversa, antivirus, etc), pero en casos más extremos esto no es posible. Existen variantes que encriptan carpetas, archivos e incluso unidades enteras de tal forma que la única opción de recuperación es pagar para obtener la clave del cifrado, pero por suerte estas variantes no se ven a menudo.
El siguiente es un ejemplo parecido al del video que bloquea el acceso a Windows mostrando una advertencia falsa, la peculiaridad de este caso es que el mensaje simula ser de la policía de España:
Como se puede apreciar, el mensaje solicita el pago de una multa por 100 euros y hace referencia a una supuesta actividad ilegal. Para hacer más creíble la situación se muestran datos del equipo infectado como la IP, el navegador, sistema operativo, país y proveedor de internet.
Esta variante está circulando desde hace tiempo y también se puede encontrar en distintos idiomas, esta captura de pantalla la he tomado de XyliBox donde se han publicado más detalles y los pasos para desbloquear el equipo, es necesario acceder al registro de Windows y editar una línea.
Si te infectaste con este «virus» y tienes problemas para eliminarlo, no dudes en dejar un comentario para ayudarte.
acabo de tener un caso igual, pero con mensaje de la policia federal de mexico.y lo corregi en la opcion de restaurar sistema regresando el equipo a 2 como estaba funcionado 2 dias anteriores.gracias
en mi caso debe ser uno más malicioso… en ninguno de los tres modos seguros que me ofrece Vista me libro del virus de la policía, que además es ruso (estoy en Rusia). amenazan con formatear el disco duro si no pago en las próximas 12 horas.
para rizar el rizo sólo estaba la cuenta de administrador, no tengo antivirus, más que el CCleaner, todo está en ruso y además no se me ocurre cómo instalar el Anti-malware.
me podéis dar alguna sugerencia antes de mi total colapso mental?
Hola, intenta con algún antivirus en CD como el de Panda o Kaspersky… aunque vas a necesitar de otra PC para descargarlo o acceder desde la tuya con un Live-CD como el de Ubuntu.
Por aquí también tienes un tutorial para estos casos, en los cuales no hay acceso al modo seguro de Windows: http://www.forospyware.com/t396703.html#post1981481
Hola! llevo 5 días intentando solucionar lo del virus. Formateé el pc y aún sigue. No me deja acceder a nada, automaticamente ya me sale el pantallón. A ver que me podeis decir xfa!!!
Hola Vanessa, prueba siguiendo este tutorial.
Hola, hoy me ha ocurrido un bloqueo de ordenador, concretamente el de la falsa advertencia de la policía. A parte del susto que me he llevado, he actuado de la siguiente manera. Después de quedarme un rato en blanco sin saber que hacer,ya que no se nada de informática, reinicié el equipo dando al botón de reset.
Se abrió windows y en seguida volvió a aparecer el bloqueo. En esta ocasión di al botón de encendido del equipo, que en este caso está también para apagar.
Volvi a encender y parecía que el mensaje no salía. Aprisa fui a la herramienta de restauración y retrocedí tres días atrás en el último punto de restauración que tenía marcado.El programa hizo loque se le ordenó y al reiniciarse windows, salió el mensaje de la herramienta diciendo que no se pudó hacer la restauración y que eligiera otra fecha.
El bloqueo en esta ocasión no se estaba produciendo y fuy a Avast a programar un analisis durante el arranque y reinicié el ordenador. El análisis no dio como resultado que el equipo estuviera infectado, pero no estoy seguro de ello, así que una vez reiniciado el equipo y ya en windows he vuelto a Avast a hacer un análisis mediante uno de los perfiles de creación propia que el programa permite establecer, creo yo que vastante pormenorizado, aún esta analizando, después de casi dos horas. Me da un archivo infectado, que en otras ocasiones también me sale pero no se puede aplicar la eliminación. Es Proceso,280 [Realsched.exe] bloque de. En gravedad pone alto, y en estado:amenaza win 32; Malware-gen.
Esto me sale generalmente cuando utilizo este perfil, aunque cambia el numero del proceso.Comprobé que me salía cuando tenía abierto el emule, y en la última ocasión, que el emule no estaba abierto, como ahora, lo achaqué al explorador internet´explorer. El caso es que estos asrchivos que llevan ese nombre de proceso y un número, no se les puede aplicar acción alguna. No me sale cuando no he abierto ni emule ni explorador.
El caso es que no se si aún está el virus. Mañana voy a analizar el equipo con el Active Sacan en línea de Panda.
Gracias compañero TRUSKY, al parecer me ha servido, restaure el sistema como dices pero no he visto otra copia de la cuenta de administrador, pero supongo que es lo de menos, ahora estoy rastreando con avast…..
gracias compañero y espero les ayude a mas gente……
mira he tenido este virus y en modo seguro instale el anti-Malware ,hizo el analisi y le di a eliminar los virus encontrados..Y al reniciarse no estaba bloqueado estaba bien..pero ahora de vez en cuando me sale como que el virus intenta regresar y el ant-malware me lo para?uqe hago para que no salga mas eso?
¿Qué mensaje te aparece cuando el virus intenta regresar?
me sale que salta una advertencia del programa anti-malware y pone:
Bloqueado con éxito el acceso a un sitio web potencialmentemalicioso: 91.218.8.123
Tipo: salientes
Puerto:52140, Proceso: tmproxy.exe
y esa no es mi ip..
A mi simplemente con apagar el ruter y desconectarme
de internet , se me aregló.Suerte!
Hola Maribel, seguramente tu PC aún siga infectada aunque parezca que funciona bien… te recomiendo realizar un análisis completo con un antivirus actualizado :)
ESTA MAÑANA ME A PASADO LO DEL MENSAJE DEL BLOQUEO DE LA IP POR LA POLICIA. ESTABA YA DESESPERADO PENSANDO QUE TENIA QUE FORMATEAR EL ORDENADOR. HICE LO QUE HAS PUESTO EN TU COMENTARIO Y AL FINAL SE SOLUCIONO MI PROBLEMA. QUE BIEN MUCHAS GRACIAS TRUSKY. ESPERO QUE AYUDE A MAS GENTE TU EXPERIENCIA.
hoy me a entrado ese virus, y no me dejaba hacer nada, luego he desconectado internet, he entrado en modo seguro a prueba de fallos, he restaurado el sistema y he visto k el virus me habia duplicado la cuenta administrador, la he eliminado tambien, he eliminado los cokis,los temporales y he pasado el antivirus( ccleaner)despues he conectado otravez internet y se a kitado, por si a alguien le sirve de algo
Ahh, reinicié la PC, sin internet y me salió un mensaje diciendo que el archivo E030.tmp no podía ser leido. Será ese el virus? Cómo le hago para eliminarlo?
Gracias
Puedes eliminarlo descargando el programa MalwareBytes y realizando un análisis rápido del sistema. Si tienes problemas con eso, deja un comentario explicando lo que sucede.
Sobre Avast, en su web puedes encontrar toda la información y si, es compatible con Vista.
Para acceder al Panel de Control se hace desde el menú Inicio, como siempre :)
A mí me ha aparecido uno, solo que tengo windows vista.
Cómo puedo acceder al panel de control? No me he acostumbrado a utilizar el sistema.
Saben si Avast está actualizado para Vista?
Si alguien puede ayudarme, por favor, me urge.
Saludos!
Yo me he visto infectado por uno de estos ramsonware como el de la «policia».
En principio las soluciones no me sirvieron , ya que el registro parecía intacto.
Después me dí cuenta que solo había sido afectada la cuenta de administrador y las demas cuentas
no tenían ningun problema .Asi que accedí a traves de una de estas cuentas al panel de control desde donde eliminé la cuenta de administrador que estaba afectada para después volver a crearla .
Hasta el momento no he tenido ningun otro problema .
Otra cosa , instalé el antivirus Avast que inmediatamente descubrió el virus en un archivo que previamente había guardado con los documentos de la cuenta borrada.
Eso es todo.
Este no tiene clave que se pueda descifrar, el que encontró el método para eliminarlo es XyliBox.
No es algo sencillo de hacer, se necesita práctica. En su canal de YouTube puedes ver varios videos de cómo lo hace.
Como hiciste para decifrar la clave?