RESUMEN DE VARIANTES VIRUS "DE LA POLICIA", SU HISTORIA Y SOLUCIONES AL RESPECTOmsc hotline sat Wednesday, May 30, 2012 Como sea que el virus "de la policia" está tomando un auge extremo estos últimos días, editamos esta noticia como Resumen de todas las variantes conocidas hasta la fecha con sus caracteristicas principales y método sugerido para su eliminación. Básicamente este virus es un RANSOMWARE que presenta una pantalla con falso aviso de la policia (algunas variantes indican venir de la SGAE (Sociedad General de Autores y Editores), bien por multa sobre encontrar su IP en visitas a páginas pedofílicas y pornográficas, o bien por descargas ilegales que atentan a los derechos de autor, todo ello inventado, pero requiriendo el pago de una multa de 50 o 100 Euros a pagar a traves de UKASH con destiuno a servidores de Ukraina. Dicha pantalla bloquea el acceso a la normal operativa del ordenador, dejandolo bloqueado hasta la entrada del código que envian los ciberdelicuentes tras efectuar el pago requerido. Inicialmente se podía arrancar en MODO SEGURO y tras ello proceder con nuestras utilidades, pero actualmente altera el SAFE BOOT y al no poder arrancar de ninguna forma desde el disco duro afectado, se ha de recurrir a arrancar con un LIVE CD o colocando el disco infectado como esclavo en otro ordenador con un MASTER limpio y operativo. Se han visto varias subfamilias de dicho virus, recibiendo varios nombres como WINLOCK, REVETON, MALWARE POLICIA, etc, y dentro de cada uno de ellos, tropecientas variantes que dificultan su detección y eliminación. _____ En un principio, a finales de Noviembre de 2011 se detectaron las primeras variantes de esta familia, a la que se identificó como WINLOCK, lanzando un fichero malware de nombre MAHMUD.EXE desde un Shell del Explorer, y presentando esta pantalla: http://www.satinfo.es/blog/wp-content/uploads/2011/11/Imagen1.jpg Ya desde el ELISTARA 24.34 se controló, eliminando el fichero y restaurando la clave del registro, y para lanzar la utilidad simplemente se arrancaba en MDOO SEGURO CON SOLO SIMBOLO DE SISTEMA (para lo lanzar el Explorer ni el Shell) _____ Posteriormente, a primeros de Febrero de este año, sin la pantalla de la policia, pero con la misma intencion, llego otra variante a través del fichero PANEL.EXE , siendo lanzado desde un link en el INICIO, que se controló a partir del ELISTARA 24.78 : http://www.satinfo.es/blog/wp-content/uploads/2012/02/Panel.jpg Para su eliminacion bastaba con arrancar en modo seguro como ADMINISTRADOR o como otro usuario no infectado, o igual que en el caso anterior, en solo simbolo del sistema, y lanzar dicho ELISTARA. ______ La siguiente aparición de otra variante fue a finales de Febrero, a través de la ejecucion de un fichero que aparentaba ser un CODE de Adobe, con el nombre de ADOBEFLASH.EXE, para poder visualizar un video... http://www.satinfo.es/blog/wp-content/uploads/2012/02/ransomware-policia1.jpg Se pasó a controlar a partir del ELISTARA 24.93 _______ Otra variante similar, con la misma presentacion, llegó de la misma forma, aparentando ser un CODEC para un virdeo, en un fichero de nombre MEDIAPLAYER.EXE, y se paso a controlar a partir del ELISTARA 24.96 _______ La siguiente variante del mismo malware nos llegó en fichero de nombre KODAK.EXE, pasando a ser controlado a partir del ELISTARA 24.97 ________ A partir de Marzo empezaron los de la variante REVETON, que los descargaba el malware SENS, como este de nombre C860A046F7934EBC36672B76381C1C.exe.tmp, controlado a partir del ELISTARA 25.05 La imagen de la pantalla de bloqueo fue la siguiente: http://www.satinfo.es/blog/wp-content/uploads/2012/03/reveton2.jpg Con él empezaron los problemas de no poder arrancar en modo seguro, por lo que se aconsejó que se desconectará el cable de internet y se reiniciará el ordenador, con lo que al no encontrar conexión, ofrece una pantalla de ERROR, apareciendo al final un link sobre el que se pulsará con el botón derecho del mouse y se escogerá ABRIR CON NUEVA VENTANA, lo cual permitirá explorar el disco duro y lanzar el ELISTARA desde un pendrive en el que se haya copiado descargandolo de otro ordenador ________ En fichero 0.9292192072272115.exe llegó otra variante de esta gama REVETON, que se pasó a controlar a partir del ELISTARA 25.09 _________ La siguiente variante llegó a finales de Marzo, a través de una falsa DLL, wpbt0.dll, lanzada a través del RUNDLL32.EXE , la cual pasamos a controlar a partir del ELISTARA 25.20 __________ Ya en Abril 2012 llegó otra variante del Reveton en HJ8OL0.EXE, que se controló a partir del ELISTARA 25.25 __________ Otra muestra de Revetón, descargada por el malware SENS, llegó en el fichero F39E6EF111E04422D815C6F4021B69B.EXE.TMP y pasamos a detectarlo a partir del ELISTARA 25.31 ___________ La siguiente muestra de Reveton vino en el fichero msuu0.exe y fue controlada a partir del ELISTARA 25.32 ___________ Como que cada vez son mas complejos de detectar y eliminar, ofrecemos en esta NOTICIA, la manera de como lanzar una RESTAURACION A UN PUNTO ANTERIOR, arrancando con un LIVECD : http://www.satinfo.es/noticies/?p=400 Si no se dispusiera de punto de restauracion al efecto, cabe probar el método de borrar el fichero WINSH320, imagen de la dichosa pantalla, indicado en http://www.satinfo.es/blog/?p=28428 o crear el fichero PINOK.TXT en DATOS DE PROGRAMA del usuario - (o APPDATA, segun sistema) con lo cual en algunas versiones se cree que ya se ha pagado el rescate, y se desinstala el malware (lo cual puede hacerse arrancando con otro medio)o probar introduciendo los códigos conocidos de liberación para algunas variantes de dicho RANSOMWARE: posible codigo rescate (Hispasec): 1029384756 o este otro: 6337181511212098234 ___________ A finales de Abril, apareció la nueva gama de Reveton que se lanzaba desde un 04 RUN en lugar del menu de inicio, a saber: Nombre: seti0.exe.VIR Tamaño: 158.5 KB ( 162304 bytes ) Pasó a ser controlado a partir del ELISTARA 25.38 __________ A primeros de Mayo 2012 aparecen los primeros ficheros codificados tras conseguir acceder normalmente al disco duro y eliminar el virus, pero quedando fichero codificados, con el prefijo LOCKED y cuatro digitos tras la extension, para lo cual se desarrolló la uttilidad SDECODER.EXE que entrando un fichero codificado y el original del mismo (de la copia de seguridad o de otro ordenador), ofrece los ficheros sin codificar, basados en el algoritmo de codificacion obtenido. Tras comprobar el funcionamiento de los ficheros decodificados, puede procederse a la eliminacion de los correspondientes LOCKED, pero cuidado que puede haber mas de una infección y en consecuencia mas de una codificacion, por lo que se aconseja mantener los LOCKED hasta la comprobacion del correcto funcionamiento, y si algunos no funcionan, repetir la operacion, tras borrar los locked que se haya comprobado que ya se han recuperado. __________ Ya llegando a finales de Mayo, siguen las nuevas variantes, como esta de Nombre: T7F07IB.EXE. que pasa a ser controlada desde el ELISTARA 25.47 Y la ultima antes de escribir estas lineas, es mas de lo mismo, llegado en el fichero de Nombre: 0.0942601307712525.exe , y pasado a controlar desde ELISTARA 25.52 ____________ Otras posibilidades de descubrir variaNtes no controladas del mismo, es mirar en la carpeta de sistema *C:\windows\system32\ y en la carpeta de usuario, la presencia de dos ficheros de 20 digitos hexadecimales, lo cual puede verse dado que hay bastantes probabilidades que esten entre los primeros ficheros de dichas carpeta (al empezar de 0 a 9 o de A a F, al ser nombre en codigo hexadecimal). En tal caso, añadirles .VIR a su extension y enviarnoslos para analizar Y como que la ultima historia es lanzarse a traves de la clave del USER.INI, para poder saber los ficheros que se lanzan en dicha clave desde todas las unidades disponibles, ya que al haber arrancado como esclavo o con LIVE CD no es la del disco duro MASTER, hemos desarrollado la utilidad SUSERINI.EXE que muestra los ficheros que se lanyan desde dichas claves, z asi poder bloquear al sospechoso, añadiendole .VIR al final de la extension, y enviandonoslo para analizar Mas informacion generica, CON MAS INFORMACION sobre este malware, se puede ver en http://unaaldia.hispasec.com/2012/05/nuevas-versiones-del-malware-de-la.html, con mas ideas al respecto Esperamos que lo indicado les sea de utilidad saludos SATINFO, 30/5/2012 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |