Virus Trojan.Ransom, aka "Virus de la Policía Nacional"

Un PC "cercano" a mi ha sufrido un ataque del virus Trojan.Ransom, más conocido como "El virus de la pantalla de la Policía Nacional"

Descripción:

Nombre: Trojan.Ransom
Tipo: Ransomware - "Secuestrador"
Alias: Trojan-Ransom.Win32.Chameleon.mw, Trojan-Ransom.Win32.*****Blocker.jtg, bunda.exe, Trojan.Chameleon, Win32.HmBlocker, Trojan.Win32.Ransom!IK. Trojan.Win32.Ransom, Win32/LockScreen

Es un virus que te muestra una pantalla diciendo que tu PC ha sido bloqueado por la Policía Nacional porque está implicado en delitos de pornografía infantil, envío de spam, tráfico de drogas, tenencia ilícita de armas, asesinatos en masa y yo-no-se-qué hostias mas. En fin,

lo típico para acojonar. Y claro, te dicen que si pagas 100 euracos en menos de 24 horas te lo desbloquean o si no, borran todo el contenido del disco duro, acceden a tus cuentas y se quedan con tu dinero, le quitan el aceite del motor a tu coche, violan a tu madre y te hacen socio del Real Madrid. Vamos, la hecatombe!!!!

Cómo funciona el virus:

Al infectarnos con el “virus de la policía” se crea una nueva amenaza para eliminar TaskManager y suspender Windows Explorer.

Pero antes de hacerlo, el malware toma el control del shell predeterminado de Windows dentro de la llave de registros

(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)

y reemplaza explorer.exe por el nombre aleatorio del archivo infectado. Luego, el muy mamoncete, inicia un bucle infinito y trata de destruir el proceso “taskmgr.exe” si se está ejecutando. También suspende "explorer.exe" cada 100 milisegundos para bloquear las interacciones del usuario.

Se supone que haciendo los pasos siguientes, se elimina el virus:

Solución manual:

1) Reinicie el PC
2) Antes de la pantalla de bienvenida de Windows XP, pulse la tecla F8 para entrar en el menú de Opciones avanzadas de Windows y selecciona: Modo seguro con símbolo del sistema
3) Teclea "regedit" en la consola y entra aquí:

Código:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

4) Buscar la clave "Shell" y vuelva a colocar el valor de 'Explorer.exe'
5) Reinicie su PC.

Otra forma es la siguiente:

1) Matar el proceso: juzched.exe accediendo para ello al administrador de tareas.

2) Pulse Inicio/Ejecutar y escriba Regedit. Una vez que tenga acceso al registro elimine la siguiente clave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\juzched

3) Después suprima el fichero C:\Documents and Settings\[nombre deusuario]\Datos de Programa\NortonUpdate.exe

4) Finalmente elimine el directorio C:\Documents and Settings\[nombre de usuario]\Datos de Programa\Extensions\ con todo lo que tenga dentro. Es importante borrar C:\Documents and Settings\[nombre de usuario]\Datos de Programa\Extensions\juzched.exe, ya que se trata del propio troyano que se ejecuta al reiniciar el sistema.

Lo que pasa es que esta última opción yo no pude hacerla porque no me dejaba acceder al administrador de tareas, pero sirve la última parte: la de acceder a la clave de registro y la de borrar el juzched.exe

Pero bueno, lo mejor es pasarle el Malwarebytes Anti-Malware que nos lo va a detectar y eliminar de forma efectiva. Con este programa fue como yo lo hice, pero luego debes entrar en el registro y eliminar las entradas que se indican mas arriba.

Y como siempre, lo mejor para evitar contagios es "usar la cabeza". Debemos tener el antivirus actualizado y el sistema con las últimas actualizaciones correctas. Pasarle un programa anti-malware como el que os he comentado también viene bien... y sobre todo DEJAD DE ENTRAR EN PÁGINAS GUARRAS!!!!!!!! que ahí es donde entra toda la mierda!!!!!!!!!!!!

.