El Ministerio del Interior bloquea tu equipo: Virus Ransomware

Martes 17-enero-2012, 11:05 pm | Informática | David Cantón

Se ha bloqueado tu equipo y te exigen un pago de 100 Eur. para desbloquearlo. Además, te acusan de varios delitos (de pornografía, etc.). ¡Dios! ¡Qué susto! ¡Parece que se trata del Ministerio del Interior! Nada. Todo es falso, salvo el bloqueo de tu equipo. Se trata de un virus, clasificado como ransomware, pero tiene una solución fácil. Estos son los pasos que yo seguí:

  1. Entré en modo a prueba de fallos con funciones de red
  2. Instalé Malwarebytes Anti-Malware Gratuito.
  3. Lo actualicé y ejecuté.
  4. En un exámen rápido encontró dos vulnerabilidades:
    • Un fichero (wpbt0.dll) en la carpeta de ficheros temporales (C:\Users\[Nombre de Usuario]\AppData\Local\Temp\wpbt0.dll). Ten en cuenta que la máquina de la que te habla tiene Windows Vista. Con otro sistema operativo, esta carpeta tendrá otra ubicación, así que el fichero seguro que está en otro sitio. Podría ser posible que tuviera otro nombre también.
    • Una entrada en el registro (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr) que impedía que se mostrase el administrador de tareas (para evitar cerrar el proceso, supongo); vamos, que tenía el valor 1 cuando lo normal es que fuese 0.
  5. Busqué en el registro si existían referencias al primer fichero. Encontré una en HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder. La eliminé.
  6. Eliminé también el fichero wpbt0.dll
  7. Cambié en el registro el valor HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr. Lo marqué como 0

Parece que, con esto, funcionó. Se eliminó sin más. El bloqueo desapareció.

Comentarios (8) »

  1. lidia | 29-enero-2012 6:38 pm

    Hla!ami tambien m pasa eso pero no me dja meterme en internet ni en nada.solo cuando lo enciendo me lleva 2 minutos aproximadamente ala biblioteca y me vuelve a salir lo del bloqueo.si le apago m meto en vez de encenderlo cmo siempre en modo seguro pro no me dja meterm ni en internet ni ver las fotos.q hago?espero tu respuesta.gracias

  2. Julián | 30-enero-2012 10:22 pm

    Grande. Funciona. :-)

  3. Julián | 30-enero-2012 10:24 pm

    Para lidia. Salta los pasos 2, 3 y 4. solo tienes que borrar el ficherito y tocar las dos entradas del registro (ejecutar regedit.exe)

  4. sergio | 6-febrero-2012 4:44 pm

    muchas gracias, creo que e ha ido por el momento no me aparece. De verdad gracias!

  5. francisco | 8-febrero-2012 1:43 am

    gracias por la ayuda me ha venido estupedo. muchas gracias

  6. xavier | 11-febrero-2012 5:11 pm

    gracias yo tng el windows 7 i me meto en el modo seguro i no encuentro el wpbto …
    que tengo k acer para kitarlo k no m a kedado muy claro

  7. Roberto | 19-febrero-2012 10:37 pm

    Bueno os cuento, ya es la 3º vez que me pasa y esto es puro cachondeo, la dos primeras veces lo quite sin problemas con el Malware, pero ahora lo paso tanto con un analisis rapido como completo y no se me borra no lo entiendo me e descargado tambien el spybot y tampoco me lo ha podido solucionar…..haber si me dan una solucion o me veo obligado a formatearlo

  8. David Cantón | 22-febrero-2012 7:47 pm

    Yo probaría
    1º Intentar acceder al administrador de tareas. Si no puedes, ya ves en el post cómo se quita el bloqueo.
    2º Mirar qué procesos están ejecutándose. Comprobar en la web cuál o cuáles son procesos dañinos.
    3º Obtener información de ellos (fichero que se está ejecutando), pararlos y eliminarlos.

Generador RSS para los comentarios de este artículo

Envía un comentario sobre El Ministerio del Interior bloquea tu equipo: Virus Ransomware



Notificarme los nuevos comentarios por correo electrónico. Tambien puedes suscribirte sin comentar.



«