|
Virus: Eliminar virus policía Interpol Ukash manualmente y con Kaspersky Rescue Disk
Cómo eliminar y limpiar el virus de la policía también conocido como virus interpol, europol o virus Ukash. Mostramos en este tutorial cómo funciona este virus (troyano de tipo ransomware), cómo eliminarlo y cómo evitarlo.
Cómo funciona el virus de la policía, Interpol, Europol, UkashEl virus de la policía, también conocido como viruls Interpol o Europol y también como virus Ukash es un troyano de tipo Ransomware (secuestra el control del ordenador y nos exige un rescate). Muchas de sus mutaciones, en un momento determinado del tiempo, son capaces de burlar a los antivirus aprovechando vulnerabilidades de Java. Utilizando la ingeniería social, el virus de la policía aprovecha el desconicimiento de muchos usuarios y, una vez infectado el equipo (por diversos métodos pues hay numerosas mutaciones y muchas son capaces de eludir los antivirus, el principal es usando una vulnerabilidad de determinadas versiones de Java, por lo que se recomienda que siempre estén actualizadas) en el arranque ejecuta una aplicación que se muestra a pantalla completa y no se puede cerrar, indicando al usuario que su equipo ha sido bloqueado por razones de seguridad y que ha de pagar una determinada cantidad para que sea desbloqueado o podría ir a la cárcel. Obviamente esto es falso pero hay muchos usuarios que por desconimiento realizan el pago, lo cual no hará que su equipo se desbloquee. Nunca haga caso de estos avisos, siempre son falsos. Este virus tiene multitud de variantes, mutaciones o versiones y puede mostrar mensajes diversos, uno de ellos:
El gran inconveniente es que este virus se carga como aplicación shell de inicio del equipo y, por lo tanto, no se carga el escritorio habitual y no se puede cerrar si el usuario con el que iniciamos sesión es usuario limitado. Dependiendo del nivel de infección y usuario infectado del equipo este virus podría desactivar el acceso en modo a prueba de fallos, por lo que puede resultar MUY molesto y difícil de quitar. El virus de la policía (interpol, europol, ukash) presenta, desde su aparición hace ya años, numerosas variaciones o mutaciones, modifica varias claves del Registro de Configuraciones de Windows (regedit) para garantizar su ejecución y genera varios ficheros ejecutables y dll, entre otros, con nombres variables. Desde la primera "versión" de este troyano del año 2011 hasta hoy cada nueva versión "mejora" para complicar más su eliminación como por ejemplo deshabilitar la opción de inicio en modo seguro (a prueba de fallos), encripta los ficheros, ha mejorado considerablemente el aspecto de la ventana que se muestra a pantalla completa, pasando de una traducción algo rudimentaria al español a una cuidada basada en artículos reales del código penal. Aunque hay artículos que dicen haber capturado a la banda que desarrollaba este troyano, parece que siguen saliendo nuevas versiones dado que parece que no era una sola banda la que actuaba sino varias. Así pues a día de hoy siguen infectándose multitud de equipos con este virus. Este virus también accede a la webcam del equipo y muestra lo que captura en la propia ventana del virus, por lo que da la impresión de que nos están espiando. En principio no envía imágenes a Internet, pero esto es en las versiones actuales, en las futuras podría realizar cualquier acción. Lo más fiable, aunque rudimentario, es desconectar la webcam, si es de portátil y no se puede desconectar la podemos tapar con algún material, es rudimentario pero efectivo, hasta haber limpiado el virus por completo. El virus de la policía (ukash, europol, interpol) modifica la clave de registro "shell" de:
del valor normal que es "Explorer.exe" por la ruta del fichero de virus, de esta forma en el inicio del PC ya no se arrancará el escritorio normal, si no que se ejecutará el virus ocupando todo el escritorio y no podrá cerrarse. Si el PC infectado tiene varios usuarios, lo normal es que se instale para el usuario actual, en la clave:
A continuación mostramos cómo queda la clave de registro:
en un equipo con Windows 7 x64 tras ser infectado por el virus de la policía: En cuanto al proceso del virus, si conseguimos abrir la ventana del Administrador de tareas, veremos que se "camufla" con un "rundll32.exe", pues se ejecuta de la forma:
Por lo que a priori no veremos el nombre de la dll o ejecutable del virus. Para ello hay que recurrir a algún software de terceros, como Process Explorer (gratuito y disponible en la web oficial de Microsoft), con el que sí podremos ver el proceso rundll32.exe y sus subprocesos hijos. Podremos ver que es, realmente, el virus de la policía: Si mostramos las propiedades del proceso podremos ver que en realidad es el virus de la policía (en Command line) El virus de la policía cuenta, como ya hemos mencionado, con varios métodos de propagación, una vez en el equipo también cuenta con varios métodos de infección, uno de ellos es usando un fichero .bat de proceso por lotes que ejecuta el virus "camublado" con rundll32.exe y suele tener el siguiente contenido:
Otro método un poco más elaborado es usando un fichero .js, dicho fichero suele contener el código en VBScript necesario para ejecutar el virus. En este caso aparece "camuflado" en caractes decimales para que no se vea directamente lo que realmente hace, analizando cada línea (en cursiva lo que contiene el virus de la policía, en negrita a lo que equivale):
Para convertir el valor decimal a ASCII hemos usado el programa gratuito AjpdSoft Conversor Hexadecimal, Decimal, Texto: El código real de ejecución del virus de la policía:
Detección del virus de la policía por varios motores antivirusEl virus de la policía (Interpol, Europol, Ukash), en las pruebas realizadas en nuestro laboratorio, a día 14 de septiembre de 2013 fue detectado por:
Más detalles del fichero DLL del virus:
El fichero .js de script que lanza el virus fue detectado por:
Cómo desinfectar y eliminar manualmente el virus de la policía, interpol, europol, ukash y mediante Kaspersky Rescue DiskLimpiar manualmente el virus de la policía, interpol, europol, ukashPara eliminar el virus de la policía manualmente sin utilizar herramientas de terceros hay que tener conocimientos avanzados de informática y saber qué variante o mutación exacta ha infectado nuestro equipo. Cada variante y mutación nombra los ficheros de una forma determinada y escribe en diferentes claves de registro. En todos los casos, este virus, modifica varias claves en el Registro de Configuraciones de Windows, entre otras, la más importante para W7 x64:
Para WXP y W7 x32:
Por lo tanto lo primero que tendremos que hacer será acceder al equipo en modo a prueba de fallos (es posible que el propio virus haya desactivado esta opción) y, mediante "regedit", cambiar la clave "Shell" del actual valor (el del virus) a "Explorer.exe". Esto sólo podremos hacerlo si el virus no se ejecuta, o bien accediendo en modo a prueba de fallos o bien con un usuario que no haya sido infectado (con el "administrador" es lo más recomendable). Una vez que consigamos acceder al PC y hayamos eliminado el shell de inicio del virus deberemos limpiar cualquier posible fichero del virus y clave de registro. Esto es recomendable hacerlo con alguna herramienta de alguna empres antivirus a tal efecto, siempre descargada de sitios webs oficiales y fidedignos.
Quitar virus de la policía mediante Kaspersky Rescue DiskLa opción recomendada para eliminar y limpiar el virus de la policía (y cualquier otro que el antivirus en modo normal no haya podido limpiar) es usando un disco de rescate. La gran parte de las empresas fabricantes de antivirus cuentan con esta herramienta que suele ser gratuita y permite crear un CD de arranque con el antivirus correspondiente para poder escanear nuestro equipo en busca de virus. Puesto que arranca con su propio sistema operativo (normalmente alguna distribución de Linux) el virus no estará ejecutándose por lo que podrá ser eliminado. Para crear el CD de rescate de Kaspersky, desde otro PC o desde el PC infectado (si podemos iniciar sesión con un usuario no infectado) accederemos a la web oficial y descargaremos el fichero ISO correspondiente, desde la URL:
Una vez descargado el fichero kav_rescue_10.iso instalaremos cualquier software gratuito para crear un CD a partir de un fichero ISO, por ejemplo ImgBurn, descargaremos este software de su web oficial, lo instalaremos y pulsaremos en "Write image file to disc": Pulsaremos en el botón de selección de fichero ISO: Seleccionaremos el fichero ISO descargado kav_rescue_10.iso: Introduciremos un CD/DVD en la grabadora y pulsaremos en el botón inferior para iniciar la creación de Kaspersky Rescue Disk: Una crea creado el CD de inicio de rescate de Kaspersky lo introduciremos en el PC infectado, apagaremos el PC y lo arrancaremos, si es necesario configuraremos la BIOS para que arranque desde el CD, para ello en el arranque pulsaremos la tecla F2 (o la correspondiente para acceder a la BIOS) y desde la opción "Boot" (secuencia de arranque) de la BIOS estableceremos como primer dispositivo de arranque la unidad de DVD: Guardaremos los cambios en la BIOS seleccionando "Exit Saving Changes": Si hemos generado correctamente el CD de rescate de Kaspersky y hemos configurado correctamente la secuencia de arranque en la BIOS se iniciará Kaspersky, pulsaremos cualquier tecla para continuar: Elegiremos el idioma: Leeremos los términos de licencia, si estamos de acuerdo pulsaremos la tecla "1": Seleccionaremos "Kaspersky Rescue Disk. Graphic Mode" y pulsarmeos INTRO: Se iniciará el Live CD de Kaspersky Recue Disk 10: Se iniciará Kaspersky Rescue Disk, automáticamente montará las particiones NTFS y FAT32 de Windows:
Si disponemos de conexión a Internet es recomendable actualizar la base de datos de virus, para ello pulsaremos en la pestaña "My Update Center" y pulsaremos en "Start update": Si el Live CD de Kaspersky ha detectado la tarjeta de red y si disponemos de conexión a Internet se actualizará la base de datos de virus: Ahora pulsaremos en la pestaña "Objects Scan" para marcar qué unidades queremos analizar (a ser posible todas las unidades). Una vez marcadas pulsaremos en "Start Objects Scan": Se iniciará el análisis, Kaspersky Recue Disk irá mostrando en mensajes los ficheros infectados que vaya encontrando: Si detecta algún fichero peligroso nos dará la opción de enviarlo a cuarentena (Quarantine), eliminarlo (Delete), o saltarlo y no hacer nada (Skip). Lo recomendable es pulsar en "Quarantine", el antivirus lo moverá de la ubicación actual y lo comprimirá para que no pueda ser ejecutado. Si detectamos que no es un virus y es un fichero válido (no suele ser normal) podremos recuperarlo de la cuarentena:
Una vez finalizado el análisis del equipo podremos ver el resultado pulsando en "Report": Como podemos observar, el virus de la policía se ha propagado por todo el equipo con nombres aleatorios: Una vez limpiado el equipo de virus pulsaremos en el menú y en "Restart" para reiniciar el equipo y arrancar el sistema operativo Windows de forma normal (extraeremos el CD de Kaspersky): El inconveniente de este tipo de CDs de rescate es que si el virus ha provocado algunos cambios en el Registro de Configuraciones de Windows muchos no los reparan. El virus de la policía, como ya hemos comentado aquí, modifica varias claves de registro, la más "dañina" es la clave "shell" que impide que aparezca el escritorio. Puesto que el fichero de virus ha sido eliminado por Kaspersky, al arrancar el equipo veremos que nos aparece una pantalla vacía y no se inicia el escritorio de Windows normal, esto es debido a que la clave shell del registro sigue "apuntando" al fichero del virus que ya no existe. Para solucionar este problema en sistemas operativos Windows XP (para Windows Vista, Windows 7 y Windows 8 el proceso es similar) accederemos al administrador de tareas pulsando las teclas Control + Alt + Suprimir. En el administrador de tareas pulsaremos en "Archivo" - "Nueva tarea (Ejecutar)": Escribiremos "regedit" y pulsaremos "Aceptar": Accederemos a la clave del registro:
En la parte derecha pulsaremos con el botón derecho sobre la clave "Shell" y pulsaremos "Modificar" en el menú emergente: En "Información del valor" esta clave debe tener el valor "Explorer.exe", si no lo tiene escribimos dicho valor y pulsamos en "Aceptar": Repetiremos el proceso anterior para todas las claves "Shell" de todos los usuarios del equipo (si tenemos varios), pues el virus podría haber cambiado el valor "Explorer.exe" en todos ellos. Para el usuario con el que hemos iniciado sesión la clave es:
Una vez reestablecido el valor correcto de la clave Shell a Explorer.exe podremos reiniciar el equipo, para ello, desde la ventana del Administrador de tareas de Windows pulsaremos en "Apagar" - "Reiniciar": Desde la ventana del Administrador de tareas de Windows, si lo necesitamos, también podremos ejecutar el Escritorio normal del usuario pulsando en "Archivo" - "Nueva tarea (Ejecutar)" y escribiendo "Explorer.exe". Existen herramientas específicas para la limpieza del virus de la policía y el restablecimiento de las claves de registro, si bien hemos usado Kaspersky Recue Disk porque no sólo limpiará el virus de la policía sino cualquier otro al ser un antivirus completo.
Recomendaciones para evitar la infección futura de nuestro PC o portátil con este virus de la policía y otrosEn primer lugar hay que mencionar que no hay antivirus ni sistema de seguridad capaz de evitar el 100% de las amenazas de virus y malware, en sistemas operativos Microsoft Windows y en otros como Linux o MAC OS X, incluso los smartphones tampoco están exentos de infecciones (iOS de iPhone o Android). Esto es debido a multitud de factores que no siempre tienen que ver con el propio sistema operativo y sí con software de terceros instalado en el equipo. El primer y más importante factor para evitar posibles infecciones de nuestro PC es el sentido común, por ejemplo, no ejecutar y hacer caso omiso de mensajes extraños del navegador que nos indiquen que tenemos que actualizar la versión de flash player o que hay que instalar un determinado visualizador de vídeo. Siempre deben descargarse las actualizaciones de las webs oficiales de cada producto. Tampoco ejecutar software de dudosa procedencia, sobre todo el descargado de aplicaciones P2P como eMule, Bit Torrent, uTorrent, Kazaa, Ares y otros. Si necesitamos ejecutar algún software de este tipo de dudosa procedencia, siempre es recomendable analizarlo antes con el antivirus de que dispongamos e incluso ejecutarlo en un entorno seguro, algunos antivirus cuentan con métodos de ejecución controlada como Avast (Sandbox). Este tipo de ejecuciones de software de dudosa procedencia también puede realizarse en una máquina virtual a tal efecto, para virtualización gratuita sobre Windows podremos usar VirtualBox. En los siguientes enlace mostramos varios tutoriales para trabajar con VirtualBox:
Por supuesto hemos de contar con un buen antivirus residente en el equipo y siempre actualizado, hay muchos en el mercado y algunos con versiones gratuitas (como Avast, FortiClient, Avira, AVG, etc.). En el siguiente enlace mostramos una pequeña comparativa de algunos antivirus gratuitos: A continuación mostramos algunos consejos para evitar que nuestro equipo se infecte por virus, troyanos y malware:
Artículos relacionados
CréditosArtículo realizado íntegramente por Alonsojpd fundador del Proyecto AjpdSoft. Anuncios
Enviado el Viernes, 13 septiembre a las 21:29:17 por ajpdsoft
|
|