El Ministerio del Interior bloquea tu equipo: Virus Ransomware
Se ha bloqueado tu equipo y te exigen un pago de 100 Eur. para desbloquearlo. Además, te acusan de varios delitos (de pornografía, etc.). ¡Dios! ¡Qué susto! ¡Parece que se trata del Ministerio del Interior! Nada. Todo es falso, salvo el bloqueo de tu equipo. Se trata de un virus, clasificado como ransomware, pero tiene una solución fácil. Estos son los pasos que yo seguí:
- Entré en modo a prueba de fallos con funciones de red
- Instalé Malwarebytes Anti-Malware Gratuito.
- Lo actualicé y ejecuté.
- En un exámen rápido encontró dos vulnerabilidades:
- Un fichero (wpbt0.dll) en la carpeta de ficheros temporales (C:\Users\[Nombre de Usuario]\AppData\Local\Temp\wpbt0.dll). Ten en cuenta que la máquina de la que te habla tiene Windows Vista. Con otro sistema operativo, esta carpeta tendrá otra ubicación, así que el fichero seguro que está en otro sitio. Podría ser posible que tuviera otro nombre también.
- Una entrada en el registro (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr) que impedía que se mostrase el administrador de tareas (para evitar cerrar el proceso, supongo); vamos, que tenía el valor 1 cuando lo normal es que fuese 0.
- Busqué en el registro si existían referencias al primer fichero. Encontré una en HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder. La eliminé.
- Eliminé también el fichero wpbt0.dll
- Cambié en el registro el valor HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr. Lo marqué como 0
Parece que, con esto, funcionó. Se eliminó sin más. El bloqueo desapareció.
lidia | 29-enero-2012 6:38 pm
Hla!ami tambien m pasa eso pero no me dja meterme en internet ni en nada.solo cuando lo enciendo me lleva 2 minutos aproximadamente ala biblioteca y me vuelve a salir lo del bloqueo.si le apago m meto en vez de encenderlo cmo siempre en modo seguro pro no me dja meterm ni en internet ni ver las fotos.q hago?espero tu respuesta.gracias
Julián | 30-enero-2012 10:22 pm
Grande. Funciona. 🙂
Julián | 30-enero-2012 10:24 pm
Para lidia. Salta los pasos 2, 3 y 4. solo tienes que borrar el ficherito y tocar las dos entradas del registro (ejecutar regedit.exe)
sergio | 6-febrero-2012 4:44 pm
muchas gracias, creo que e ha ido por el momento no me aparece. De verdad gracias!
francisco | 8-febrero-2012 1:43 am
gracias por la ayuda me ha venido estupedo. muchas gracias
xavier | 11-febrero-2012 5:11 pm
gracias yo tng el windows 7 i me meto en el modo seguro i no encuentro el wpbto …
que tengo k acer para kitarlo k no m a kedado muy claro
Roberto | 19-febrero-2012 10:37 pm
Bueno os cuento, ya es la 3º vez que me pasa y esto es puro cachondeo, la dos primeras veces lo quite sin problemas con el Malware, pero ahora lo paso tanto con un analisis rapido como completo y no se me borra no lo entiendo me e descargado tambien el spybot y tampoco me lo ha podido solucionar…..haber si me dan una solucion o me veo obligado a formatearlo
David Cantón | 22-febrero-2012 7:47 pm
Yo probaría
1º Intentar acceder al administrador de tareas. Si no puedes, ya ves en el post cómo se quita el bloqueo.
2º Mirar qué procesos están ejecutándose. Comprobar en la web cuál o cuáles son procesos dañinos.
3º Obtener información de ellos (fichero que se está ejecutando), pararlos y eliminarlos.
Bloqueado | 17-marzo-2012 9:02 am
Si sigues las fáciles instrucciones windows se desbloquea. INFORMACIÓN MUY ÚTIL. Muchas gracias por compartirla.
Zacarías | 11-mayo-2012 4:31 pm
Aunque a mi mi antivirus me lo detecta, y no lo deja ejecutar puesto que borra el .dll, tu posteado es estupendo. Gracias.
Juan Carlos Garcia | 16-mayo-2012 2:46 pm
Buenas tardes.
Parece que ha salido una nueva version del virus del Ministerio del Interior (o de la Policia), porque una vez que hemos conseguido limpiar el virus con Restauración a un punto anterior, Malwarebytes, Avast, etc. nos quedan multitud de ficheros de usuario (jpg, mpe, doc, etc.) con el sufijo «locked» + «nombre de fichero original» + «nueva extensión». Si quitamos el locked y la nueva extensión y dejamos el fichero con el nombre original, no se pueden abrir, ya que el virus ha añadido caracteres extraños al principio de cada fichero.
¿Saben de alguna solución a este nuevo problema?
Gracias,
Juan Carlos
Ana | 19-mayo-2012 7:57 pm
Hola. Yo también he sido atacada por este virus. Tengo windows XP y no sé cómo arrancar mi ordenador en modo prueba de fallos. Con F8 no me funciona.
Según enciendo mi ordenador aparece la pantalla del Ministerior del Interior con lo que no puedo hacer nada, ni siquiera me deja apagar el ordenador (tengo que hacerlo pulsando el botón de apagar»). Alguién me puede ayudar ?
Gracias
jose angel | 22-mayo-2012 3:10 pm
Buenas tardes.
tambien me salio la nueva version del virus del Ministerio del Interior (o de la Policia), porque una vez que hemos conseguido limpiar el virus con Restauración a un punto anterior, Malwarebytes, Avast, etc. nos quedan multitud de ficheros de usuario (jpg, mpe, doc, etc.) con el sufijo “locked” + “nombre de fichero original” + “nueva extensión”. Si quitamos el locked y la nueva extensión y dejamos el fichero con el nombre original, no se pueden abrir, ya que el virus ha añadido caracteres extraños al principio de cada fichero.
cañamon | 27-mayo-2012 3:47 pm
a mi me paso lo mismo no habia manera de abrir nada hasta que encontre esta joya
http://www.forospyware.com/t426359.html
esto funciona..!
cañamon | 27-mayo-2012 3:50 pm
http://www.forospyware.com/t426359.html
esto funciona..!
recuperaras lamayoria de los archivos que estan locked
Victor | 5-junio-2012 10:40 pm
Tengo este mismo problema.
Para Ana: a mi me pasaba eso, prueba f5 y cuando estes en la pantalla le das f8 y ya te da la opcion de ir a modo seguro
lestatis | 26-julio-2012 1:28 pm
A mi me ha salido hoy, solucion; reiniciar y entrar en prueba de fallos, restaurar sistema, al reinicia volver a prueba de fallos pasar ccleaner, pasada con el antivirus y pasar algun antispyware, reiniciar normal y no deveria salir mas.
Jose | 7-agosto-2012 2:53 pm
Muchas gracias he entrado en modo seguro con funciones de red he descargado gratis el anti malware y al hacer la exploracion con este programa se ha reiniciado el ordenador y ni rastro del dichoso virus este.MUCHISIMAS GRACIAS!!!!
fabricio | 15-agosto-2012 4:47 pm
Solo quiero agradecer..
Entre al equipo como modo seguro con funciones de red..
Busqué malwarebytes en google y descargué el software.. Instalé.. Los encontró (9 virus), los borré y listo.
Gracias
Fabricio
alf | 23-agosto-2012 11:20 am
Hice lo que comenta fabricio y me ha funcionado!!!!!!
Gracias
Eneko | 11-octubre-2012 7:22 pm
A mi me ha pasado y saque foto con el movil.
Os interesa la foto???
RAUL | 12-octubre-2012 9:50 am
Muchas gracias. La solución ha funcionado pasando solo el programa Malwarebytes. Aunque antes de ejecutarlo ya había programado un escaneo del antivirus (Avast) al arranque y le había pasado el CCleaner.
Miguel | 15-octubre-2012 11:14 pm
Me funciono ala perfeccion muchisimas gracias !!
paloma | 21-noviembre-2012 4:29 pm
No me deja ninguna de las opciones al arrancar y pulsar F8, se apaga el pc. No deja pasar el programa, ni nada.
Jose | 24-noviembre-2012 10:46 am
Hola.
Hace unas semanas, bloqueo del equipo en usuario administrador, en el de invitado no.
El virus en cuestión, me chafó el panda cloud, vamos que logró burlarlo.
Desde el invitado pude bajarme el bit defender, e instalarlo. Escanea el equipo, lo dejé toda la noche en ello. A la mañana siguiente 16 mensajes de archivos dañinos. Me ha podido eliminar 13.
El ordenador al fin arrancó. Pero desde entonces al iniciar, y salir el escritorio, me sale un recuadro de aviso: RUNDLL
y en su interior pone:
no se encuentra la ruta:
C:/DOCUME(y ahora una virgulilla seguida de un 1)/Jose/CONFIG (virgulilla y 1)/Temp/wpbto.dll (ya se ahora que este dll es el troyano)
Pues desde entonces el ordenador esta muy lento, y a veces se apaga de golpe.
El Bit defender me dice que esta seguro. Pero trabajar con él es un suplicio!
¿que solución hay?
Anónimo | 21-enero-2013 5:32 pm
Hola, me salio el virus del ministerio del interior y como ustedes indicais no me atrevo a quitarlo, ni entrando con modo seguro, ni con modo seguro con funciones de Red, lo hago así y me salta directamente el virus. Aunque presione f8, , alguien sabría decirme en que fallo
noe | 30-enero-2013 6:58 pm
hola a mi tambien me sale lo del ministerio de interior, le doy a f8 modo seguro pero me sale igual lo del virus y no me deja andar en nada, y al final lo tengo que acabar apagando en el boton de apagar… un desastre si alguin me puede ayudar….
Marilo | 18-julio-2013 11:46 am
Yo tengo el windows 7 y vista en otro ordenador. A mi me han salido los dos virus, el de la policia y el del ministerio del interior.
Tambien cuando entraba en f8 modo seguro se me apagaba y se me reiniciaba normal y me volvia a salir de nuevo la pantalla de bloqueo del virus.
Hasta que me di cuenta que en la pantalla de modo seguro arriba pone una opcion que pone reparar equipo. Le das a esa opción y
Te sale una pantalla donde puedes restauracion sistema a un estado anterior.
Te restaura el sistema a una fecha anterior sin perder ningun archivo.
Una vez restaurado el sistema, descargarse el Cleaner y ejecutar limpiador, y reparar registros , el Malwarebytes, actualizarlo y pasarlo. el SUPERAntiSpyware, actualizarlo y pasarlo, el antivirus que tengas en el equipo.
A mi me ha funcionado las dos veces que me ha aparecido los virus.
Suerte¡¡
David Cantón | 18-julio-2013 3:27 pm
Gracias por compartir tu experiencia, Marilo
Sofía | 17-agosto-2013 7:14 pm
AYUDA!!
A mi no me deja hacer nada se enciende y ya esta bloqueado. ¿QUÉ HAGO?