Si en tu computadora te encuentras con una pantalla como la siguiente donde se indica que el ordenador ha sido bloqueado por razones de seguridad, en realidad te han infectado con un malware conocido como Urausy:
Virus de la policía en versión uruguaya
Se trata de un ransomware que bloquea la pantalla del equipo haciéndose pasar por la policía para engañar a las víctimas y convencerlas de pagar una supuesta multa de 100 dólares.
En este ejemplo utilizan la imagen del presidente de Uruguay, además de la bandera y otros elementos propios del país. También muestran algunos datos del equipo como la IP, el sistema operativo y el nombre de usuario con el objetivo de hacer más creíble el asunto.
Muchos usuarios se creen el mensaje, otros no saben que hacer o no pueden eliminarlo y terminan pagando para desbloquear rápidamente sus sistemas. Esta técnica basada en la ingeniería social está permitiendo que los ciberdelincuentes llenen sus bolsillos de dinero incluso más que con los falsos antivirus.
Cabe mencionar que no se trata de un malware diseñado exclusivamente para Uruguay, en realidad sólo es una plantilla o diseño que adaptan para cualquier país. Este formato en particular que incluye fotos de los presidentes opera con más de 30 países.
Los anteriores son ejemplos de Ecuador, México y España… puedes ver más aquí.
¿Realmente han infectado a personas de Uruguay?
Este ransomware funciona bajo un sistema de afiliación para ciberdelincuentes que alguna vez mencioné en el blog. Básicamente hay dos partes, quienes desarrollan el malware y administran la plataforma de afiliación y quienes se encargan de propagarlo para ganar una comisión.
La siguiente captura la publicaron en el blog de seguridad Malware don’t need Coffee, se trata de un mensaje dejado en un foro ruso donde promocionan el sistema de afiliados y mencionan como ejemplo a Uruguay diciendo que con mil infecciones realizadas (en febrero de 2013) obtuvieron 2.500 dólares de ganancias:
«за последнюю неделю 1к UY на миксе давал до 2.5к$»
Es decir que al menos 25 personas terminaron pagando y créanme que mil infecciones no es nada si están utilizando crimewares para propagarlo.
En la siguiente captura se puede ver el panel de administración de un ciberdelincuente afiliado, la columna «Installs» muestra la cantidad de instalaciones o infecciones que ha realizado para los distintos países, sobre la derecha el dinero obtenido:
¿Cómo eliminar este ransomware?
Lo ideal al encontrarse con un equipo bloqueado por esta clase de malware es apagarlo y realizar un análisis desde afuera con un antivirus en CD o pendrive, también sería bueno realizar un respaldo de seguridad con la información importante accediendo al sistema con un Live-CD.
La idea es evitar que el malware se cargue y haga de las suyas en los archivos del sistema, pues algunos simplemente bloquean la carga de Windows o la pantalla sin dañar los documentos personales, pero otros más agresivos tienen la capacidad de cifrar los archivos a tal punto que la única forma de recuperarlos es pagando un rescate (de ahí el nombre «ransom» que significa secuestro o rescate en español).
Ahora bien, teniendo esto en cuenta… además de los antivirus «offline» también existe un programa llamado PoliFix desarrollado por InfoSpyware que permite eliminar estas variantes de Urausy accediendo desde el Modo Seguro o a prueba de fallos. Es gratuito y fácil de usar, en el enlace anterior encontrarán las instrucciones.
Variantes que no permiten acceder al Modo Seguro:
Algunas versiones nuevas del virus de la policía no permiten acceder al modo seguro y en la versión normal bloquean la pantalla cerrando todos los programas que se intentan abrir, incluyendo al Administrador de Tareas por lo que tampoco se puede buscar al proceso del virus para terminarlo.
Si te encuentras en esta situación, puedes intentar lo siguiente desde el Menu Inicio, pues en algunas variantes se encuentra activo (puedes verlo presionando la tecla Windows):
Simplemente busca alguna entrada extraña en «Inicio» y elimínala, luego reinicia el equipo. Es posible que esta entrada eliminada vuelva a aparecer, pero en algunas variantes este método es suficiente para poder acceder a Windows normalmente y terminar de eliminar al virus de forma definitiva realizando un análisis completo con el antivirus actualizado.
Si este método no te funciona, la opción que te queda es recurrir a los antivirus en CD.
Por ultimo también les recomiendo tener en cuenta el uso de Anti Ransom, una nueva aplicación de seguridad desarrollada por Yago de Security by Default para detectar la presencia de estos programas maliciosos que cifran los documentos y pueden provocar una pérdida importante de información.