El Ministerio del Interior bloquea tu equipo: Virus Ransomware
Se ha bloqueado tu equipo y te exigen un pago de 100 Eur. para desbloquearlo. Además, te acusan de varios delitos (de pornografía, etc.). ¡Dios! ¡Qué susto! ¡Parece que se trata del Ministerio del Interior! Nada. Todo es falso, salvo el bloqueo de tu equipo. Se trata de un virus, clasificado como ransomware, pero tiene una solución fácil. Estos son los pasos que yo seguí:
- Entré en modo a prueba de fallos con funciones de red
- Instalé Malwarebytes Anti-Malware Gratuito.
- Lo actualicé y ejecuté.
- En un exámen rápido encontró dos vulnerabilidades:
- Un fichero (wpbt0.dll) en la carpeta de ficheros temporales (C:\Users\[Nombre de Usuario]\AppData\Local\Temp\wpbt0.dll). Ten en cuenta que la máquina de la que te habla tiene Windows Vista. Con otro sistema operativo, esta carpeta tendrá otra ubicación, así que el fichero seguro que está en otro sitio. Podría ser posible que tuviera otro nombre también.
- Una entrada en el registro (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr) que impedía que se mostrase el administrador de tareas (para evitar cerrar el proceso, supongo); vamos, que tenía el valor 1 cuando lo normal es que fuese 0.
- Busqué en el registro si existían referencias al primer fichero. Encontré una en HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder. La eliminé.
- Eliminé también el fichero wpbt0.dll
- Cambié en el registro el valor HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr. Lo marqué como 0
Parece que, con esto, funcionó. Se eliminó sin más. El bloqueo desapareció.
Alvaro | 20-enero-2014 10:34 pm
Un susto de muerte porque ni siquiera estaba en una página como de las que me acusan y lo primero que pensé fue en pagar la supuesta multa pero pues mi pc está congelada con shadow mode y todo normal creo o me equivoco?
Valdir Ramos | 25-abril-2014 7:46 pm
Tengo una pyme y este fin de semana pasada fue atacado pero virus Ant child porn server 2003, todos los archivos del servidor estan encriptados, no se como desencriptar, necesito de ayuda amigos.
Un gran saludo a todos los usuarios.
Alex | 27-abril-2014 8:16 am
Valdir, mira a ver si esto te sirve: http://www.pandasecurity.com/spain/enterprise/support/card?id=1676
Gustavo | 3-junio-2014 11:34 am
A MI ME APARECIÓ HOY Y UN BUEN SUSTO ME LLEVÉ PORQUE ESTABA BUSCANDO UN VÍDEO PORNO PARA BUENO YA SE IMAGINAN ALIVIARME, PERO APAGUÉ EL ORDENADOR CON EL BOTÓN DE ENCENDIDO DIRECTAMENTE, LO VOLVÍ A ENCENDER Y FUNCIONA. PROMETO NUNCA MAS BUSCAR ESTE TIPO DE VÍDEOS UFFF NO SE SI EL VIRUS SE BORRO DEFINITIVAMENTE YA OS INFORMARÉ. MUCHAS GRACIAS
Mario | 15-junio-2014 12:34 am
Hola. Es mi primer acceso al foro. Comento mi caso:
Cuando inicia normalmente el windows (XP SP3), aparece a los 5 segundos aprox la imagen con el mje. del ministerio del interior. Reinicio por hard (esperando que se apague normalmente con click a pulsador de inicio) y luego al querer ingresar ( F8) el modo seguro con funciones de red ( o cualquier otra de las opciones) parece que ingresa porque alcanza a mostrar las cuentas de administrador y usuario, pero finalmente se reinicia . Intenté reparar el sist. operat. booteando desde el CD de instalacion de Win XP, ejecuto bootfix y fixmbr y el resultado es el mismo. Me gustaría encontrarle la vuelta en vista a futuras infecciones. Gracias y saludos al foro.