Confirmado, el “Ransomware” (Virus de la Policía) cabalga con el F.B.I.

  

   Supongo que recordáis una entrada en la que os comentaba que el Ransomware, “conocidíííííísimo” virus de la Policía, de la Sgae, del Ukash, a quién en una reciente entrada me atreví a ·rebautizarle como “Virus Mortadelo” por sus múltiples disfraces, y que estaba “cabalgando” de nuevo haciéndose pasar por el Federal Bureau of Intelligence (F.B.I) estadounidense.

   Ver entradas :

El “virus de la Policía” cabalga de nuevo, ahora con el FBI

ALERTA: El virus de la Policía no descansa, solo cambia de disfraz

.

   Pues bien, parece ser que no estaba muy equivocado, hoy aparece la noticia en la página oficial del F.B.I

¿Que no entendeís inglés? no os preocupeís, ¡yo tampoco!, pero ya sabeís que en este blog nos dedicamos a la “traducción” y en este caso contamos con la colaboración inestimable del que todo lo sabe, del “oráculo”, de Google que lo tengo “grabado” en mi ordenador.

TRADUCCIÓN CON TRADUCTOR DE GOOGLE

“Los residentes de Tennessee del Este continúan denunciando incidentes sobre la estafa de Internet relativa al REVETON ransomware. REVETON es un visus informático es instalado en un equipo  cuando un usuario visita un sitio web comprometido. Una vez instalado, el ordenador se bloquea mientras se visualiza una advertencia de que el FBI o el Departamento de Justicia ha identificado la computadora como implicada en actividades criminales.

   El mensaje falso aconseja al usuario a pagar una “multa” por medio de un servicio de dinero mediante una tarjeta de prepago, que se desbloqueará el ordenador. Los usuarios se ven amenazados con acciones penales si no realizan  el pago.

   Esto es una estafa para obtener dinero. Las multas resultantes de la actividad criminal son evaluados y tratados por el sistema judicial. El FBI nunca exigirá el pago para desbloquear un equipo.

   Cualquiera que sea víctima de esta estafa debe presentar una denuncia en el  Internet Crime Complaint Center en www.ic3.gov. Incluso han conseguido limpiar su equipos, este malware puede permanecer en el sistema y capturar información personal, crear nuevos riesgos de fraude. Las víctimas pueden ponerse en contacto con un profesional de la informática para eliminar el malware de la computadora infectada.”  

   Ver fuente de la noticia en http://www.fbi.gov/knoxville/press-releases/2012/internet-scam-warning-reveton-ransomware?utm_source=twitterfeed&utm_medium=twitter

   Bueno pues como se suele decir en los medios de comunicación “pofesionales”…. les seguiremos informando… 😉 , pero mientras tantes no os olvideis que…

Nosotros somos nuestra peor vulnerabilidad pero también nuestro mejor antivirus.

Nos vemos en la Red

X1Red+Segura

Fuente: http://www.fbi.gov

ALERTA: El virus de la Policía no descansa, solo cambia de disfraz

   Esta noticia la he leído en InfoSpyware una de mis principales fuentes de información en cuanto a malware en la red, y que os recomiendo que tengáis entre vuestros favoritos, para mí un referente de X1Red+Segura, y además porque os ayudará a estar más seguros en la red.

   Yo sé que a los seguidores, si es que hay alguno, de este blog, no les pillará de sorpresa esta noticia, puesto que deberían tener ya la lección bien aprendida para no caer en estos “engaños”

   El tema es que un viejo conocido vuelve a la carga,  en esta ocasión, y dada la confianza que ya tenemos con el, le voy a bautizar yo como “El virus Mortadelo” 😉 en memoria al famoso personaje creado por Francisco Ibañez y que aparece en los comics “Mortadelo y Filemón”. Evidentemente el nuevo nombre de este “amigo” es por su capacidad para disfrazarse de cualquier cosa.

   Supongo que ya os imaginareis que me refiero al archiconocido malware “Ransomware”, del que existen varias entradas en este blog (ver entradas), conocido como el “Virus de la Policía”, “Virus de la SGAE”, “Virus de la Gendarmería Francesa”, “Virus del FBI”, etc, etc, etc.

   Ya vimos, en entradas anteriores, concretamente en su versión “FBI”, que los cibercriminales habían cambiado su “modus operandi” con “el virus Mortadelo” 😉 combinándolo con un troyano bancario, el “Citadel”. (ver entrada)

   Pués bien, en esta nueva entrega los malos vuelven a utilizar la “combinatoria”, en este caso combinan a nuestro “amiguito” con un rogue, Recordaréis que los rogues son falsos antivirus  que se hace pasar por uno conocido para infectar nuestros equipos (ver entradas sobre rogues).

   En esta ocasión, y no es la primera vez que lo hace según nos informó ya InfoSpyware, el ransomware se camufla con un rogue emulando al antivirus gratuito de MICROSOFT, el Microsoft Security Essentials te ayuda a protegerte de virus, spyware y otros software malintencionados.

   Os reproduzco a continuación la entrada a InfoSpyware donde nos informa de esta nueva cara de nuestro “Mortadelo” y que podéis ver en

http://www.infospyware.com

 

   Microsoft Security Essentials es uno de los antivirus gratuitos más populares y no es nada nuevo que aparezcan versiones falsas de este (como ya hemos comentado anteriormente) que intenten engañar a los usuarios incautos.

   En este caso nos encontramos con un nuevo espécimen que tiene la particularidad de que aparte de ser un “Falso Antivirus” disfrazado como ‘Microsoft Security Essentials’ (MSE), utiliza técnicas de Ransomware secuestrando el sistema, alegando que este será bloqueado por razones de seguridad y solo podrá ser liberado a cambio la compra de un ‘módulo especial’ que obviamente es parte del timo.

Recordemos el ransomware es un tipo de virus informático (malware) que se caracteriza por secuestrar el acceso al sistema o archivos a cambio de un pago y de los que hemos venido hablando mucho @InfoSpyware debido al famoso “Virus de la Policía”

 Características del Fake MSE Alert:

 Propagación: A diferencia de sus primos ransomwares, este No se aprovecha de ninguna vulnerabilidad conocida o desconocida de JAVA y requiere si la ejecución de un archivo para infectar el sistema en primera instancia, como lo hacen la mayoría de los falsos AVs.

 Scareware: Su mensaje de alerta en lugar de ocupar toda la pantalla, se abre en forma de ventana emergente, simulando así las ventanas de alerta de ‘Microsoft Security Essentials’ en donde alerta que su sistema será bloqueado por razones de seguridad, mostrando además una seria de supuestos archivos infectados que dice son por visitar sitios webs pornográficos o infectados. Ver imagen de arriba.

 Estafa. Avisa a la víctima que podrá liberar su sistema, luego de enviar un pago a través Paysafecard o Ukash, para poder añadirle un ‘módulo especial’ para limpiar el sistema de esos malwares (algo que obviamente no existe y es parte del timo.) Ver imagen de abajo:

 

Bloqueos: No bloquea el acceso al ‘Task Manager’ ni al reinicio en ‘Modo Seguro’ del sistema.

 Eliminación: Su eliminación es relativamente sencilla, simplemente quitando esta llave del registro y su archivo: O4 – HKCU/../Run: [SkypePM] C:/Documents and Settings/Local Settings/Application Data/Skype/SkypePM.exe

 Detección. Al momento de enviar la muestra provista por el investigador francés (@Xylitol) a  VirusTotal, solo 24/42 AVs lo detectaron como malware, e irónicamente el verdadero ‘Microsoft Security Essentials’  no lo pudo detectar 🙁 cuac!

   Deciros que la propia página de InfoSpyware aporta información para eliminar el “Ransomware”.

   También podéis volver a “visitar” las entradas de este blog en la que se habla de la desinfección de nuestro querido amigo “Virus Mortadelo”

Desinfección de Rasomware

Siempre os lo digo

   Nosotros mismos somos nuestra peor vulneabilidad pero también nuestro mejor antivirus

Nos vemos en la red

X1Red+Segura

El “virus de la Policía” cabalga de nuevo, ahora con el FBI

   Parece ser que el llamado “Virus de la Policía”, de la “SGAE”, de la “Gendarmería Nacional Francesa” y ahora del FBI, sigue haciendo de las suyas y los “Ciberdelincuentes” no cesan en su empeño de conseguir dinero fácil.

   Buscando en la red de redes, sobre este incansable bichito, y utilizando el “oráculo” Google, he encontrado información que comparto con vosotros, e intento traducir para los menos técnicos.

   En esta ocasión el mensaje dice que el FBI o la Sección de Crímenes Virtuales y Propiedad Intelectual del Departamento de Justicia de los Estados Unidos detectó que la dirección IP del usuario se estaba utilizando en sitios web de pornografía infantil u otras actividades ilegales en Internet”.

   Para hacer todavía más creíble la amenaza, la nueva variante de este virus toma el control de la cámara web de los usuarios e incluyen una imagen del usuario en el mensaje.

    La nueva mutación del virus es una combinación del troyano bancario Citadel y del ransomware Reveton (“Virus de la policia”)

   Las víctimas son atraídas hacia sitios web comprometidos donde, sin saberlo, son infectados con el troyano Citadel. Entonces, éste procede a contactar a un servidor Command and Control (servidor central controlado por los ciberdelincuentes) de donde descarga el ransomware Reveton.

     Normalmente bloquea el ordenador de los usuarios infectados, y posteriormente aparece una ventana  con la amenaza de que si no pagan una supuesta sanción, en esta ocasión los cibercriminales piden a los usuarios que paguen una multa de 200 $ con un servicio de tarjetas prepago para desbloquear su equipo y evitar que el FBI inicie un proceso penal en su contra, en la versión “española” es a laAgencia Española de Protección de Datos (AEPD) y la sanción es de 100 euros por ver porno o haber realizado descargas ilegales no podrán volver a utilizar su ordenador.

   Por supuesto el pago SIEMPRE es solicitado mediante un medio poco “fiable” al no poder identificar al destinatario real del pago.

   Ningún Cuerpo y Fuerza de Seguridad del Estado u organismo público o privado va a ponerse en contacto con este tipo de técnicas.

   Como los “malos” vieron un filón de oro en estas “malas prácticas” se dedican a modificar el virus, en ocasiones además de recibir la amenaza, bloquear el ordenador, llegan incluso a cifrar los ficheros de nuestro ordenador codificando sus primeros 4096 bytes y añadiendo 4 digitos al final de la extensión y la palabra “locked-”, y como se ha detectado, en esta última mutación a tomar el control de la cámara web de nuestro ordenador y tomar capturas de pantalla para dar mas veracidad a la estafa.

   Se ha detectado que las infecciones vienen dadas por la navegación de los usuarios hacia páginas web maliciosas donde éstas tienen una versión de Java vulnerable, por lo que es DE EXTREMA IMPORTANCIA MANTENER ACTUALIZADOS NUESTROS ANTIVIRUS Y SOFTWARE. Especialmente aconsejable que actualicéis las versiones de Java de vuestros equipos, dado que unos de los principales focos de infección ha sido el Java, así como actualizar las firmas de virus de vuestras soluciones antivirus con la última versión facilitada por el proveedor

   El otro día me consultaba una persona sobre el problema al encontrarse con el menaje de advertencia en su ordenador utilizado por toda la familia. El desconocimiento del verdadero origen del mismo generaba un clima de duda sobre la utilización “sana” de internet por todos los integrantes de la familia.

    Ya hemos hablado en repetidas ocasiones de este virus, como detectarlo y como eliminarlo de nuestro ordenador. VER ENTRADAS

    En caso de haber sido afectados por este malware os reitero que tenéis que visitar la página de la Oficina de Seguridad del Internauta ( www.osi.es ) para eliminar el virus de vuestro ordenador.

   Para eliminar la amenaza, podría intentarse una medida muy sencilla que es la característica de ‘restauración del sistema’, remitiendo el equipo a un punto anterior a la infección, con la precaución que esta acción deshará todos los cambios de configuración de Windows y se eliminarán todos los ejecutables que se hayan creado o descargado desde la fecha del punto de restauración

   Si os veis ante este virus ¡NO HAGAIS MAS EL CANELO, NO PAGUEIS!, visitar páginas de confianza como la web de la Oficina de Seguridad del Internauta y limpiar.

   Ahora más que nunca, DIFUNDIR ESTE MESAJE, ¡ES UN VIRUS!, no es ningún Cuerpo Policial u Organismo Oficial quien se pone en contacto con vosotros.

   Información + Educación = Una red mas segura

   Nos vemos en la red

Fuentes: osi.es , satinfo.eszonavirus.com , losvirus.es,

Desinfección de Rasomware, llamado “Virus de la Policia”

  

   Parece ser que el RASOMWARE (Virus de la Policía, de la SGAE, de la Gendarmería Nacional Francesa, y de no se cuantas cosas mas) se está poniendo “duro” este malware, debe de haberle salido muy rentable a sus creadores y no paran de crear nuevas mutaciones para seguir llenándose los bolsillos a costa de los internautas poco precavidos e informados.

   Durante este mes de Mayo 2012 han aparecido dos nuevas y peligrosas variantes del comúnmente conocido ransomware “Virus de la Policía” con sus variantes: “SGAE y Rannoh locked-“. Si bien guardan ciertas similitudes en su modus operandi con variantes anteriores, estas incorporan también algunas diferencias que están logrando infectar a  cientos de nuevas victimas

    Por suerte los chicos de @InfoSpyware, ¡GRANDES en la materia!, no descansan en protegernos con sus informaciones y sobre todo aportando soluciones a nuestros “males” en la red.

    @InfoSpyware  a creado PoliFix que detecta y elimina el virus de la policía (también llamado Ukash virus) en todas sus variantes conocidas las cuales nos van reportando a través de nuestros Foros de Ayuda gratuita. (Policía Española, Argentina, Alemana, Bélgica, Francesa, Holandesa, Italiana, Inglesa y Suiza.)

Para usar PoliFix, siga los siguientes pasos:

Acceder a Guía de desinfección en página del autor (InfoSyware)

1- Descarga PoliFix en una memoria USB desde otro PC (pulsa aqui para descargarPolifix v2.0.3 versión)
2- Inicia el PC infectado en Modo a prueba de errores
3- Conecta el pendrive en el ordenador
4- Ejecuta PoliFix desde el pendrive y espera

Recuerda que tu eres tu principal vulnerabilidad pero tambien tu mejor antivirus.

Información + Educación = una red más segura

SI TE GUSTA ESTE BLOG PUEDES VOTARLO EN LOS PREMIOS BITÁCORAS 2014 COMO MEJOR BLOG DE SEGURIDAD INFORMÁTICA

Votar en los Premios Bitacoras.comNos vemos en la Red

FUENTE (!por si no ha quedado claro!): infospyware.com