El Ministerio del Interior bloquea tu equipo: Virus Ransomware

Se ha bloqueado tu equipo y te exigen un pago de 100 Eur. para desbloquearlo. Además, te acusan de varios delitos (de pornografía, etc.). ¡Dios! ¡Qué susto! ¡Parece que se trata del Ministerio del Interior! Nada. Todo es falso, salvo el bloqueo de tu equipo. Se trata de un virus, clasificado como ransomware, pero tiene una solución fácil. Estos son los pasos que yo seguí:

  1. Entré en modo a prueba de fallos con funciones de red
  2. Instalé Malwarebytes Anti-Malware Gratuito.
  3. Lo actualicé y ejecuté.
  4. En un exámen rápido encontró dos vulnerabilidades:
    • Un fichero (wpbt0.dll) en la carpeta de ficheros temporales (C:\Users\[Nombre de Usuario]\AppData\Local\Temp\wpbt0.dll). Ten en cuenta que la máquina de la que te habla tiene Windows Vista. Con otro sistema operativo, esta carpeta tendrá otra ubicación, así que el fichero seguro que está en otro sitio. Podría ser posible que tuviera otro nombre también.
    • Una entrada en el registro (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr) que impedía que se mostrase el administrador de tareas (para evitar cerrar el proceso, supongo); vamos, que tenía el valor 1 cuando lo normal es que fuese 0.
  5. Busqué en el registro si existían referencias al primer fichero. Encontré una en HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder. La eliminé.
  6. Eliminé también el fichero wpbt0.dll
  7. Cambié en el registro el valor HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr. Lo marqué como 0

Parece que, con esto, funcionó. Se eliminó sin más. El bloqueo desapareció.

Comentarios (35) »

  1. lidia | 29-enero-2012 6:38 pm

    Hla!ami tambien m pasa eso pero no me dja meterme en internet ni en nada.solo cuando lo enciendo me lleva 2 minutos aproximadamente ala biblioteca y me vuelve a salir lo del bloqueo.si le apago m meto en vez de encenderlo cmo siempre en modo seguro pro no me dja meterm ni en internet ni ver las fotos.q hago?espero tu respuesta.gracias

  2. Julián | 30-enero-2012 10:22 pm

    Grande. Funciona. :-)

  3. Julián | 30-enero-2012 10:24 pm

    Para lidia. Salta los pasos 2, 3 y 4. solo tienes que borrar el ficherito y tocar las dos entradas del registro (ejecutar regedit.exe)

  4. sergio | 6-febrero-2012 4:44 pm

    muchas gracias, creo que e ha ido por el momento no me aparece. De verdad gracias!

  5. francisco | 8-febrero-2012 1:43 am

    gracias por la ayuda me ha venido estupedo. muchas gracias

  6. xavier | 11-febrero-2012 5:11 pm

    gracias yo tng el windows 7 i me meto en el modo seguro i no encuentro el wpbto …
    que tengo k acer para kitarlo k no m a kedado muy claro

  7. Roberto | 19-febrero-2012 10:37 pm

    Bueno os cuento, ya es la 3º vez que me pasa y esto es puro cachondeo, la dos primeras veces lo quite sin problemas con el Malware, pero ahora lo paso tanto con un analisis rapido como completo y no se me borra no lo entiendo me e descargado tambien el spybot y tampoco me lo ha podido solucionar…..haber si me dan una solucion o me veo obligado a formatearlo

  8. David Cantón | 22-febrero-2012 7:47 pm

    Yo probaría
    1º Intentar acceder al administrador de tareas. Si no puedes, ya ves en el post cómo se quita el bloqueo.
    2º Mirar qué procesos están ejecutándose. Comprobar en la web cuál o cuáles son procesos dañinos.
    3º Obtener información de ellos (fichero que se está ejecutando), pararlos y eliminarlos.

  9. Bloqueado | 17-marzo-2012 9:02 am

    Si sigues las fáciles instrucciones windows se desbloquea. INFORMACIÓN MUY ÚTIL. Muchas gracias por compartirla.

  10. Zacarías | 11-mayo-2012 4:31 pm

    Aunque a mi mi antivirus me lo detecta, y no lo deja ejecutar puesto que borra el .dll, tu posteado es estupendo. Gracias.

  11. Juan Carlos Garcia | 16-mayo-2012 2:46 pm

    Buenas tardes.

    Parece que ha salido una nueva version del virus del Ministerio del Interior (o de la Policia), porque una vez que hemos conseguido limpiar el virus con Restauración a un punto anterior, Malwarebytes, Avast, etc. nos quedan multitud de ficheros de usuario (jpg, mpe, doc, etc.) con el sufijo “locked” + “nombre de fichero original” + “nueva extensión”. Si quitamos el locked y la nueva extensión y dejamos el fichero con el nombre original, no se pueden abrir, ya que el virus ha añadido caracteres extraños al principio de cada fichero.

    ¿Saben de alguna solución a este nuevo problema?

    Gracias,
    Juan Carlos

  12. Ana | 19-mayo-2012 7:57 pm

    Hola. Yo también he sido atacada por este virus. Tengo windows XP y no sé cómo arrancar mi ordenador en modo prueba de fallos. Con F8 no me funciona.
    Según enciendo mi ordenador aparece la pantalla del Ministerior del Interior con lo que no puedo hacer nada, ni siquiera me deja apagar el ordenador (tengo que hacerlo pulsando el botón de apagar”). Alguién me puede ayudar ?
    Gracias

  13. jose angel | 22-mayo-2012 3:10 pm

    Buenas tardes.

    tambien me salio la nueva version del virus del Ministerio del Interior (o de la Policia), porque una vez que hemos conseguido limpiar el virus con Restauración a un punto anterior, Malwarebytes, Avast, etc. nos quedan multitud de ficheros de usuario (jpg, mpe, doc, etc.) con el sufijo “locked” + “nombre de fichero original” + “nueva extensión”. Si quitamos el locked y la nueva extensión y dejamos el fichero con el nombre original, no se pueden abrir, ya que el virus ha añadido caracteres extraños al principio de cada fichero.

  14. cañamon | 27-mayo-2012 3:47 pm

    a mi me paso lo mismo no habia manera de abrir nada hasta que encontre esta joya
    http://www.forospyware.com/t426359.html
    esto funciona..!

  15. cañamon | 27-mayo-2012 3:50 pm

    http://www.forospyware.com/t426359.html
    esto funciona..!

    recuperaras lamayoria de los archivos que estan locked

  16. Victor | 5-junio-2012 10:40 pm

    Tengo este mismo problema.
    Para Ana: a mi me pasaba eso, prueba f5 y cuando estes en la pantalla le das f8 y ya te da la opcion de ir a modo seguro

  17. lestatis | 26-julio-2012 1:28 pm

    A mi me ha salido hoy, solucion; reiniciar y entrar en prueba de fallos, restaurar sistema, al reinicia volver a prueba de fallos pasar ccleaner, pasada con el antivirus y pasar algun antispyware, reiniciar normal y no deveria salir mas.

  18. Jose | 7-agosto-2012 2:53 pm

    Muchas gracias he entrado en modo seguro con funciones de red he descargado gratis el anti malware y al hacer la exploracion con este programa se ha reiniciado el ordenador y ni rastro del dichoso virus este.MUCHISIMAS GRACIAS!!!!

  19. fabricio | 15-agosto-2012 4:47 pm

    Solo quiero agradecer..
    Entre al equipo como modo seguro con funciones de red..
    Busqué malwarebytes en google y descargué el software.. Instalé.. Los encontró (9 virus), los borré y listo.
    Gracias
    Fabricio

  20. alf | 23-agosto-2012 11:20 am

    Hice lo que comenta fabricio y me ha funcionado!!!!!!
    Gracias

  21. Eneko | 11-octubre-2012 7:22 pm

    A mi me ha pasado y saque foto con el movil.

    Os interesa la foto???

  22. RAUL | 12-octubre-2012 9:50 am

    Muchas gracias. La solución ha funcionado pasando solo el programa Malwarebytes. Aunque antes de ejecutarlo ya había programado un escaneo del antivirus (Avast) al arranque y le había pasado el CCleaner.

  23. Miguel | 15-octubre-2012 11:14 pm

    Me funciono ala perfeccion muchisimas gracias !!

  24. paloma | 21-noviembre-2012 4:29 pm

    No me deja ninguna de las opciones al arrancar y pulsar F8, se apaga el pc. No deja pasar el programa, ni nada.

  25. Jose | 24-noviembre-2012 10:46 am

    Hola.

    Hace unas semanas, bloqueo del equipo en usuario administrador, en el de invitado no.

    El virus en cuestión, me chafó el panda cloud, vamos que logró burlarlo.

    Desde el invitado pude bajarme el bit defender, e instalarlo. Escanea el equipo, lo dejé toda la noche en ello. A la mañana siguiente 16 mensajes de archivos dañinos. Me ha podido eliminar 13.

    El ordenador al fin arrancó. Pero desde entonces al iniciar, y salir el escritorio, me sale un recuadro de aviso: RUNDLL
    y en su interior pone:

    no se encuentra la ruta:

    C:/DOCUME(y ahora una virgulilla seguida de un 1)/Jose/CONFIG (virgulilla y 1)/Temp/wpbto.dll (ya se ahora que este dll es el troyano)

    Pues desde entonces el ordenador esta muy lento, y a veces se apaga de golpe.

    El Bit defender me dice que esta seguro. Pero trabajar con él es un suplicio!

    ¿que solución hay?

  26. Anónimo | 21-enero-2013 5:32 pm

    Hola, me salio el virus del ministerio del interior y como ustedes indicais no me atrevo a quitarlo, ni entrando con modo seguro, ni con modo seguro con funciones de Red, lo hago así y me salta directamente el virus. Aunque presione f8, , alguien sabría decirme en que fallo

  27. noe | 30-enero-2013 6:58 pm

    hola a mi tambien me sale lo del ministerio de interior, le doy a f8 modo seguro pero me sale igual lo del virus y no me deja andar en nada, y al final lo tengo que acabar apagando en el boton de apagar… un desastre si alguin me puede ayudar….

  28. Marilo | 18-julio-2013 11:46 am

    Yo tengo el windows 7 y vista en otro ordenador. A mi me han salido los dos virus, el de la policia y el del ministerio del interior.
    Tambien cuando entraba en f8 modo seguro se me apagaba y se me reiniciaba normal y me volvia a salir de nuevo la pantalla de bloqueo del virus.
    Hasta que me di cuenta que en la pantalla de modo seguro arriba pone una opcion que pone reparar equipo. Le das a esa opción y
    Te sale una pantalla donde puedes restauracion sistema a un estado anterior.
    Te restaura el sistema a una fecha anterior sin perder ningun archivo.
    Una vez restaurado el sistema, descargarse el Cleaner y ejecutar limpiador, y reparar registros , el Malwarebytes, actualizarlo y pasarlo. el SUPERAntiSpyware, actualizarlo y pasarlo, el antivirus que tengas en el equipo.
    A mi me ha funcionado las dos veces que me ha aparecido los virus.
    Suerte¡¡

  29. David Cantón | 18-julio-2013 3:27 pm

    Gracias por compartir tu experiencia, Marilo

  30. Sofía | 17-agosto-2013 7:14 pm

    AYUDA!!

    A mi no me deja hacer nada se enciende y ya esta bloqueado. ¿QUÉ HAGO?

  31. Alvaro | 20-enero-2014 10:34 pm

    Un susto de muerte porque ni siquiera estaba en una página como de las que me acusan y lo primero que pensé fue en pagar la supuesta multa pero pues mi pc está congelada con shadow mode y todo normal creo o me equivoco?

  32. Valdir Ramos | 25-abril-2014 7:46 pm

    Tengo una pyme y este fin de semana pasada fue atacado pero virus Ant child porn server 2003, todos los archivos del servidor estan encriptados, no se como desencriptar, necesito de ayuda amigos.
    Un gran saludo a todos los usuarios.

  33. Alex | 27-abril-2014 8:16 am

  34. Gustavo | 3-junio-2014 11:34 am

    A MI ME APARECIÓ HOY Y UN BUEN SUSTO ME LLEVÉ PORQUE ESTABA BUSCANDO UN VÍDEO PORNO PARA BUENO YA SE IMAGINAN ALIVIARME, PERO APAGUÉ EL ORDENADOR CON EL BOTÓN DE ENCENDIDO DIRECTAMENTE, LO VOLVÍ A ENCENDER Y FUNCIONA. PROMETO NUNCA MAS BUSCAR ESTE TIPO DE VÍDEOS UFFF NO SE SI EL VIRUS SE BORRO DEFINITIVAMENTE YA OS INFORMARÉ. MUCHAS GRACIAS

  35. Mario | 15-junio-2014 12:34 am

    Hola. Es mi primer acceso al foro. Comento mi caso:

    Cuando inicia normalmente el windows (XP SP3), aparece a los 5 segundos aprox la imagen con el mje. del ministerio del interior. Reinicio por hard (esperando que se apague normalmente con click a pulsador de inicio) y luego al querer ingresar ( F8) el modo seguro con funciones de red ( o cualquier otra de las opciones) parece que ingresa porque alcanza a mostrar las cuentas de administrador y usuario, pero finalmente se reinicia . Intenté reparar el sist. operat. booteando desde el CD de instalacion de Win XP, ejecuto bootfix y fixmbr y el resultado es el mismo. Me gustaría encontrarle la vuelta en vista a futuras infecciones. Gracias y saludos al foro.

Generador RSS para los comentarios de este artículo

Envía un comentario sobre El Ministerio del Interior bloquea tu equipo: Virus Ransomware



Notificarme los nuevos comentarios por correo electrónico. Tambien puedes suscribirte sin comentar.