Ransomware policial: Historia de una molesta amenaza

A pesar de que la gran mayoría de malware actual intenta pasar desapercibido el mayor tiempo posible, para poder robar así más datos confidenciales del usuario infectado, aun vemos ejemplos de códigos maliciosos que intentan obtener beneficios por la vía rápida.

Uno de estos ejemplos es el de un ransomware (o código malicioso que “secuestra” nuestro sistema operativo hasta que paguemos un rescate) que intenta suplantar a la Policía Nacional. Durante los últimos meses hemos visto varios casos de usuarios infectados por este malware e incluso algunos han cedido al chantaje y han abonado la cantidad solicitada por los ciberdelincuentes.

Una vez nuestro sistema ha sido infectado, cada vez que intentemos iniciar sesión en el mismo se nos mostrará un mensaje de aviso, como el que puede verse en el video preparado por Hispasec hablando de esta amenaza o en la siguiente captura de pantalla:

En la pantalla de alerta se nos comunica que hemos realizado múltiples infracciones como la posesión de pornografía infantil o el envío masivo de spam. Para dar más credibilidad al mensaje se proporcionan datos reales de nuestra conexión a Internet como la IP, el sistema operativo usado o el navegador. Este tipo de datos no son difíciles de obtener y crean en el usuario la sensación de estar siendo vigilado.

Seguidamente se nos insta a abonar una cantidad de dinero para poder acceder a nuestro sistema. En caso contrario se nos amenaza con eliminar todos los datos que almacenemos. Como método de pago, los delincuentes nos invitan a usar Ukash, que es una de tantas plataformas de pago online.

Este tipo de amenaza es algo que lleva tiempo propagándose y, en este caso en concreto, podemos observar como se hace referencia a la legislación alemana pese a suplantar a la policía española. Esto es debido a que los creadores detrás de este ransomware han usado como base otro muy similar que apareció tiempo atrás y lo han modificado ligeramente. Sin ir más lejos, en este mismo blog ya comentamos un caso similar que extorsionaba a los usuarios haciéndose pasar por asociaciones de derechos de autor.

De hecho, el ransomware está muy presente en determinados países. Investigadores de ESET descubrieron que existen multitud de variantes de este tipo de amenazas en Rusia y países limítrofes, siendo una de las amenazas más detectadas por el sistema de alerta temprana ThreatSense.Net en esos paises.

A pesar de ser una amenaza muy vistosa y que no pocos usuarios cederán al chantaje, la manera de eliminarla es relativamente sencilla. Si bien, la mayoría de soluciones de seguridad son capaces de detectar y eliminar este ransomware, aquellos usuarios que han sido infectados y quieran desbloquear su sistema tan solo deben seguir los siguientes pasos:

1.Reiniciar el sistema.
2.Iniciar Windows en modo seguro
3.Una vez iniciado el sistema, se debe acceder al registro del sistema escribiendo “regedit” en la línea de comandos y localizaremos la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

4.Buscar la clave “Shell” y reemplazar el valor que haya por Explorer.exe
5.Reiniciar el sistema

Como vemos, a veces las amenazas más simples y poco elaboradas son igualmente efectivas si se consigue llamar la atención de un usuario poco precavido. Desde el laboratorio de ESET en Ontinet.com recomendamos contar siempre con un sistema antivirus actualizado para evitar infecciones molestas como esta.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje