{"id":1128,"date":"2012-01-17T23:05:16","date_gmt":"2012-01-17T22:05:16","guid":{"rendered":"https:\/\/david.xn--cantn-3ta.com\/blog\/?p=1128"},"modified":"2018-03-11T10:51:06","modified_gmt":"2018-03-11T09:51:06","slug":"ministerio-del-interior-bloquea-equipo-virus-ransomware","status":"publish","type":"post","link":"https:\/\/david.xn--cantn-3ta.com\/blog\/informatica\/ministerio-del-interior-bloquea-equipo-virus-ransomware\/1128\/","title":{"rendered":"El Ministerio del Interior bloquea tu equipo: Virus Ransomware"},"content":{"rendered":"<p>Se ha <strong>bloqueado tu equipo<\/strong> y te exigen un <strong>pago de 100 Eur. para desbloquearlo<\/strong>. Adem\u00e1s, <strong>te acusan de varios delitos<\/strong> (de pornograf\u00eda, etc.). \u00a1Dios! \u00a1Qu\u00e9 susto! \u00a1Parece que se trata del <strong>Ministerio del Interior<\/strong>! Nada. <strong>Todo es falso, salvo el bloqueo de tu equipo<\/strong>. Se trata de un <strong>virus<\/strong>, clasificado como <a href=\"https:\/\/es.wikipedia.org\/wiki\/Ransomware\" title=\"ransom=rescate, en ingl\u00e9s\" rel=\"noopener\" target=\"_blank\"><strong>ransomware<\/strong><\/a>, pero tiene una <strong>soluci\u00f3n f\u00e1cil<\/strong>. Estos son los pasos que yo segu\u00ed:<\/p>\n<p><!--more--><\/p>\n<ol>\n<li>Entr\u00e9 en <strong>modo a prueba de fallos con funciones de red<\/strong><\/li>\n<li>Instal\u00e9 <a href=\"https:\/\/es.malwarebytes.org\/products\/malwarebytes_free\" title=\"Malwarebytes Anti-Malware Gratuito\" rel=\"noopener\" target=\"_blank\"><strong>Malwarebytes<\/strong> Anti-Malware Gratuito<\/a>.<\/li>\n<li>Lo actualic\u00e9 y ejecut\u00e9.<\/li>\n<li>En un ex\u00e1men r\u00e1pido encontr\u00f3 <strong>dos vulnerabilidades<\/strong>:\n<ul>\n<li><strong>Un fichero (wpbt0.dll)<\/strong> en la carpeta de ficheros temporales (C:\\Users\\[Nombre de Usuario]\\AppData\\Local\\Temp\\wpbt0.dll). Ten en cuenta que la m\u00e1quina de la que te habla tiene Windows Vista. Con otro sistema operativo, esta carpeta tendr\u00e1 otra ubicaci\u00f3n, as\u00ed que el fichero seguro que est\u00e1 en otro sitio. Podr\u00eda ser posible que tuviera otro nombre tambi\u00e9n.<\/li>\n<li><strong>Una entrada en el registro<\/strong> (HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr) que imped\u00eda que se mostrase el administrador de tareas (para evitar cerrar el proceso, supongo); vamos, que ten\u00eda el valor 1 cuando lo normal es que fuese 0.<\/li>\n<\/ul>\n<\/li>\n<li>Busqu\u00e9 en el registro si exist\u00edan referencias al primer fichero. Encontr\u00e9 una en HKLM\\SOFTWARE\\Microsoft\\Shared Tools\\MSConfig\\startupfolder. La elimin\u00e9.<\/li>\n<li>Elimin\u00e9 tambi\u00e9n el fichero wpbt0.dll<\/li>\n<li>Cambi\u00e9 en el registro el valor HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr. Lo marqu\u00e9 como 0<\/li>\n<\/ol>\n<p>Parece que, con esto, funcion\u00f3. Se elimin\u00f3 sin m\u00e1s. <strong>El bloqueo desapareci\u00f3<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha bloqueado tu equipo y te exigen un pago de 100 Eur. para desbloquearlo. Adem\u00e1s, te acusan de varios delitos (de pornograf\u00eda, etc.). \u00a1Dios! \u00a1Qu\u00e9 susto! \u00a1Parece que se trata del Ministerio del Interior! Nada. Todo es falso, salvo el bloqueo de tu equipo. Se trata de un virus, clasificado como ransomware, pero tiene [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[26],"class_list":["post-1128","post","type-post","status-publish","format-standard","hentry","category-informatica","tag-virus"],"_links":{"self":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts\/1128","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/comments?post=1128"}],"version-history":[{"count":1,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts\/1128\/revisions"}],"predecessor-version":[{"id":1457,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts\/1128\/revisions\/1457"}],"wp:attachment":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/media?parent=1128"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/categories?post=1128"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/tags?post=1128"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}