martes, 21 de junio de 2011

Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico

Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración. Intenta que el usuario pague 100 euros por recuperar su equipo, acusándolo de almacenar contenido pedófilo, zoofílico y de enviar spam a favor del terrorismo.

El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor. No es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya hablamos en ocasiones anteriores de varios secuestradores del sistema que impedían el uso del ordenador culpando al usuario de haber realizado actos ilegales. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, le acusa de:

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."



La imagen que utiliza es la de la policía nacional española, aunque se ha visto unos días atrás un troyano de la misma familia que hacía alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía alemana". El procedimiento es el habitual. El troyano se ejecuta cada vez que se inicia sesión y no permite utilizar el sistema a no ser que se pague.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el
aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20 minutos).



Curiosidades:

* Se puede escapar del troyano cambiando de usuario. Pero los usuarios con XP tienen más complicado zafarse. XP lanza por defecto directamente el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de presentación que muestra las opciones de bloquear la sesión, cambiar la contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la tarea. Obviamente, hay que haber creado dos usuarios definidos.

* Comprueba la dirección IP, el user agent del navegador y el país de la IP y los muestra en pantalla para ganar credibilidad. Lo toma del servicio http://tools.ip2location.com/ib2/.

* Utiliza el logotipo oficial del cuerpo nacional de policía.

* El trabajo de traducción y la redacción son muy malas.

* El troyano se ejecuta en el comienzo de cada sesión gracias a la clave
creada en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

http://www.virustotal.com/file-scan/report.html?id=ef6980603136ffa42aebd6b9bfa864fe5223fa09c505bd80b386ee253a979aa7-1308643658

Vídeo: Troyano "Dot-Torrent" aprovecha el miedo a las descargas "ilegales"
http://www.hispasec.com/unaaldia/4301

38 comentarios:

  1. Si uno entra en modo seguro y restaura a una version anterior el windows se soluciona

    ResponderEliminar
    Respuestas
    1. como entro en modo seguro?, perdona mi ignorancia

      Eliminar
  2. pues a este tio me voy a enterar donde vive y quien es y se le va acabar la tonteria voy a ir a por ti no te procupes que tengo mis contactos

    ResponderEliminar
  3. a mi salio la pantalla de la policia ayer por la tarde pero apague y encendi el ordenador y ya funciona normal

    ResponderEliminar
  4. Me ha pasado lo mismo que a la persona del comentario anterior: "a mi salió la pantalla de la policia ayer por la tarde, pero apagué y encendí el ordenador y ya funciona normal". Ha tardado un poco en reaccionar y al principio no funcionaba el administrador de tareas, ni aparecían los iconos de la barra de tareas.

    La verdad es que es un timo bastante cutre.

    De todas formas he realizado un escaneado con el antivirus de Avira y ha salido negativo.

    ResponderEliminar
  5. Oye a mi lo que me ocurre es que me meto en lo se Shell y tal y me sale Explorer.exe ya, con lo cual por mucho que lo cambie el problema no se me soluciona

    ResponderEliminar
    Respuestas
    1. A mí me pasa lo mismo que a tí y estoy hasta la polla. Formateando el PC se arregla. ya lo arregle yo, pero a mi tio le a salido y no encontramos el Disco de Formatear, hay otra solución?

      Eliminar
    2. yo he ido a MODO SEGURO y luego RESTAURAR SISTEMA y se ha solucionado,,,ya lo tengo desbloqueado
      he puesto denuncia en la página web de la policía,,,,es muy sencillo y opino que es necesario para que busquen a los estafadores

      Eliminar
    3. Pues a mí me ha funcionado con la fórmula iniciar en MODO SEGURO (f8) y luego RESTAURAR EL SISTEMA. Muchas gracias por vuestra ayuda.

      Eliminar
  6. Con Windos XP. (F5) Inicia a prueba de fallos y restaura el equipo a un estado anterior. Seguro que funciona de nuevo

    ResponderEliminar
  7. Buenas, ¿ como es posible que con antivirus activado se cuele este troyano sin motivo aparente y sin haberlo detectado el antivirus?

    Me ha ocurrido en dos ocasiones y luego al reazar un analisis del sistema no localiza ningún troyano.

    Un salduo

    ResponderEliminar
  8. Como puedo hacer para desbloquear el ordenador antes de 24h?

    ResponderEliminar
  9. a mi hace dos dias se bloqueo mi ordenador con el msm de la policia que hablais lo parè lo he vuelto a encender varias veces y me dice que no tiene señal de internet y no me deja acceder a nada k puedo hacer?

    ResponderEliminar
  10. a mi paso ayer y me puse nervioso y me fui a la comisaria de policia,cuando llege me dijeron que era un virus,y me tranquilize.entre en modo seguro le pase malwarebytes y parece que va bien

    ResponderEliminar
  11. ENTRAD EN MODO SEGURO. ARRANCA BIEN. CON CCLEANER IR A OPCION INICIO, VER PROGRAMAS QUE SE ARRANCAN. LOCALIZAR EL VIRUS, NO ME ACUERDO DEL NOMBRE, PERO SE LE VE RAPIDO, SIMPLEMENTE BORRARLO DE LA LISTA.

    ResponderEliminar
  12. Usen un sistema operativo de verdad y no la mierda de Windows.
    Problema arreglado!

    ResponderEliminar
  13. menos mal q existe la policia,pero el susto q te llevas......

    ResponderEliminar
  14. ESCUCHEN ATODOS UN MOMENTO PORFAVOR HAY ALGUIEN QUE SEPA COMO DESCARGAR O EL ENLACE DE DESCARGA DE ESTEMALWARE?
    SI ALGUIEN LO TIENE O TIENE EL ENLACE PORFAVOR QUE LO PUBLIQUE AQUI..........
    HAA... I LO SIENTO POR LAS MAYUSCULAS ESQUE ME HA ENTRADO UN VIRUS I ME LO A BLOQUEADO... :) BUENO ADIOS!!!
    ATENTAMENTE: ALBERT WESCKER

    ResponderEliminar
  15. El troyano suele entrar, si estás buscando una película online o paginas porno, si te pasara , fuerza el apagado de tu pc , lo arranca y entra en modo seguro con símbolo de sistema, té saldrá un recuadro hay pone rstruir.exe ,te saldrá restaurar sistema, lo restaura a una fecha anterior y troyano eliminado

    ResponderEliminar
  16. Esta mañana me ha ocurrido, he tenido que apagar a lo bestia el ordenador y arrancarloa prueba de fallos, le he pasado el malwarebites antimalware, me lo ha limpiado, lo he reiniciado y le he limpado el registro y listo funcionando

    ResponderEliminar
  17. a AnónimoMar 14, 2012 04:47 AM

    ¿q es el registro???

    ResponderEliminar
  18. Para los usuarios de XP, durante la fase de arranque de Win F8, y modo a prueba de fallos, de esta manera no carga controladores ni el inicio, una vez en el escritorio, ejecutar --> msconfig, en inicio desactivar la ejecucion del archivo scl3.exe ( o parecido no me acuerdo ahora mismo ), normalmente es facil de encontrar ya que su ubicacion de arranque es en temporal, reiniciar y listos, una vez arrancado limpiar temporal y ccleaner.

    Un Saludo

    ResponderEliminar
  19. Mi hijo se acaba de contagiar, y no me arranca a prueba de fallos ni en modo seguro ni en modo seguro y red.
    Empieza a mostrar lineas de números y letras, da un pantallazo azul que no me da tiempo a leer, y se reinicia.

    Alguna ayuda?

    ResponderEliminar
  20. Me ocurre lo mismo, pantallazo azul y no hay maner. Ayuda por favor

    ResponderEliminar
  21. Arrancando en modo seguro,y pasando el MalwareBytes o el Polifix.

    ResponderEliminar
  22. Nos acaba de entrar el troyano, menudo susto, he estado a punto de ir a la comisaria. No sabemos como ha podidp entrar. Es necesario formatear el ordenador? Puede entrar el virus al abrir algun correo electronico?

    ResponderEliminar
  23. descargais bitdefender en el el otro usuario y hagais el analisis!!! os lo soluciona!!! y descargais luego rannohdecryptor para desencriptar ficheros locked

    ResponderEliminar
  24. llevo toda la tarde con el p.....virus.... Hay denuncias, la policia lo sabe. y no hacen nada???????????????

    ResponderEliminar
  25. Nosotros nos metimos en "modo seguro" y le dimos a restaurar sistema a un punto anterior. Para hacerlo,cuando el ordenador se está iniciando le das a una tecla de función (no recuerdo si F1 o F5) y con el cursor le das a modo seguro. Busca una fecha de las que te aparecen y el resto ya te ayuda Windows (yo tengo WX-p).
    Para no tener ni idea de informática se ha solucionado, de momento, pero el susto que tellevas es menudo.....

    ResponderEliminar
  26. A mi me acaba de pasar. Y tras casi 3 horas buscando soluciones (admito que soy un negado para la informática) parece que lo he conseguido solucionar. Gracias a la oficina de seguridad del internauta, en la que hay varios pasos a seguir.
    https://www.osi.es/es/actualidad/avisos/2012/01/virus-muestra-un-falso-mensaje-del-cuerpo-nacional-de-policia
    La verdad es que no se seguro si es el mismo virus. En el que me a afectado a mi incluso llegaba a conectar la cámara del ordenador pero por lo demás es bastante parecido a lo que he podido encontrar por internet.
    Espero que lo haya solucionado y no vuelva a salirme
    un saludo.

    ResponderEliminar
    Respuestas
    1. A mi también me ha conectado la cámara del ordenador. Me he llevado un susto de muerte, aún estoy temblando, he estado buscando a alguien si se le había conectado la cámara también y no encontraba a nadie, ahora me quedo mas tranquila porque esto era lo que mas me ha asustado. He entrado a la página web de osi, gracias por publicar el enlace.
      Espero que no vuelva a ocurrir, menudo susto, por dios!

      Eliminar
  27. A este hijo de puta, mal nacido le tendrían que colgar por los cojones hasta que se le secaran.
    Cabronazo

    ResponderEliminar
  28. Cuiadadin, si navegais por páginas de dudoso contenido moral.... usad Linux es más seguro

    ResponderEliminar
  29. Vamos a ver...yo estaba navegando de lo mas normal en mis "sitios de siempre" de motociclismo de toda la vida vamos, a veces aparecen fotos de supermodelos en bikini que de tanto en tanto apetece ver ...pero poco más...¿que duda hay?,

    pues resulta aparece este problema, y ¿saben que?,me han fastidiado el sitio..

    Afortunadamente se "algo" de informática y lo he podido solucionar dentro de mi mismo ordenador !

    He conseguido congelarlo, me toco la versión mutante que dicen que no te deja reiniciar en modo seguro, lo he congelado sin cambio de usuario, ni desconectar el ordenador, ni la red ni esas historias, también lo pude congelar sin el taskmanager que no me dejaba ejecutarlo.

    La solución es novedosa de verdad pero no la voy a decir porque ya no tengo confianza en ningún sitio y no quiero dar más ideas a algún posible vividor.

    Lo que eso si, cada día tendremos que actualizar más el antivirus para disfrutar de la red como siempre lo hemos hecho..que tristeza.

    Deseo que no vaya a más y que nadie nos quite nuestro derecho de un uso pleno del Internet.

    Saludos !!

    ResponderEliminar
    Respuestas
    1. Yo lo he solucionado rápido, he mandado a la porra la partición con Windows que tenía (no tenía más que el sistema operativo y algún programa instalado, nada de datos), ahora soy un chico 100% linux y me he quedado más tranquilo que nada.
      Era fácil de solucionar pero he preferido tomar esta medida tan expeditiva porque era la gota que colma el vaso de mi paciencia.

      Eliminar
  30. Este virus que obviamente es horrible (entiendo a los que comentan que se casi se mueren del susto cuando vieron que se les conectaba la cam, porque yo casi me muero y no tengo cam) es además de virus una estafa y yo me pregunto ...¿Dado que utiliza el nombre de la Policia Nacional o el Ministerio del Interior y luego facilita un sistema de pago que seguramente alguien habrá pagado no se puede detener a estos estafadores y que se pudran en la cárcel por cometer varios delitos?

    ResponderEliminar
  31. jajajaja eso le paso a mi vecino por andar viendo porno...soy informatica y vino a pedirme ayuda el pobre temblaba me decia que la poli le habia fichao y too por la cam ... jajajajajajaja seguid mirando porno !!! jajajaja XXDD !!!

    ResponderEliminar
  32. Mi ordenador se ha infectado hoy con este virus y tambien se conecto la camara. He intentado restaurar el sistema pero no me aparece esa opcion por ningun lado solo el modo seguro, modo seguro con funciones de red y modo seguro con el simbolo del sistema, que puedo hacer?

    ResponderEliminar