SOLUCIÓN a la nueva variante del virus de la policía/SGAE

SOLUCIÓN
Ya tenemos instrucciones de como eliminar esta nueva variante y como conseguir descifrar los archivos infectados por el virus. Ojo, hace falta tener un archivo un archivo original (sin encriptar) que dispongamos en un USB, CD o podamos volver a descargar de Internet (por ejemplo un archivo de música o una imágen que hayamos descargado).
http://www.infospyware.com/blog/ransomware-sgae-y-locked/



La Policía alerta de un virus disfrazado de aviso de multa por descargas de la SGAE

La Policía Nacional ha alertado en un comunicado de un nuevo virus informático disfrazado de notificación de la Sociedad General de Autores de España (SGAE). En el mensaje, que bloquea el ordenador, se avisa en nombre de esta sociedad y de la policía de que se ha cometido una infracción por haber descargado música y que, para desbloquear el terminal, es necesario abonar una multa de 50 euros para evitar otras sanciones.

Los agentes explican que conocieron esta estafa gracias a la red social Twitter, donde varios usuarios alertaron de su existencia a la cuenta que mantiene la policía. "Esta estafa es una mutación de otro envío masivo de correos maliciosos, que también en nombre de la policía requiere el pago de 100 euros por acceder a páginas de pornografía infantil", asegura la nota policial.

La policía, que recuerda que nunca solicita pagos de sanciones por Internet, detalla las medidas básicas para evitar infecciones informáticas: disponer de antivirus y tenerlo actualizado, actualizar las aplicaciones (sistema operativo, navegadores, procesadores de texto), no ejecutar programas desconocidos, no acceder a enlaces acortados cuya fiabilidad se desconozca, evitar navegar por web inseguras.

http://sociedad.elpais.com/sociedad/2012/05/17/actualidad/1337242395_887025.html


Tal como me imaginaba esta nueva variante es mucho más agresiva que las que conocíamos. Ahora además de la pantallita de las narices y bloqueo del archivo explorer.exe (bloqueo total del sistema), el virus cifra los archivos de nuestro ordenador codificando sus primeros 4096 bytes y añadiendo 4 digitos al final de la extension y la palabra “locked-” antes del nombre del fichero. Además renombra los archivos y las extensiones.

Mas info por aquí: http://elblogdeangelucho.wordpress.com/2012/05/11/nuevo-ramsonware-virus-de-la-policia-el-trojan-ransom-win32-rannoh/

Por aquí un primer usuario que cuenta su experiencia con esta nueva variante. Le ha renombrado las extensiones de los documentos y fotos, además de cifrarselos.
http://www.hard2mano.com/index.php?showtopic=103625&pid=881769&st=0&#entry881769

Genial... mas trabajo

Mikel24 escribió:Genial... mas trabajo

Ya te digo... precisamente por eso he publicado por aquí esta noticia Llamadas en 3, 2, 1...

Lo que me resulta realmente curioso de este virus, es la razón por la cual la polícia no lo para. Conozco este virus desde Diciembre del año pasado y se que la policía estaba investigando de donde había salido este virus por timos y falsedad de identidad.
El caso es que no acabo de entender una cosa, si este virus pide dinero y ese dinero va a un número de cuenta, ¿cómo leñes no lo han detenido ya?

O la policía es muy torpe o Rajoy está sacando dinero de donde puede

Flanders escribió:

Mikel24 escribió:Genial... mas trabajo

Ya te digo... precisamente por eso he publicado por aquí esta noticia Llamadas en 3, 2, 1...

Lo que me resulta realmente curioso de este virus, es la razón por la cual la polícia no lo para. Conozco este virus desde Diciembre del año pasado y se que la policía estaba investigando de donde había salido este virus por timos y falsedad de identidad.
El caso es que no acabo de entender una cosa, si este virus pide dinero y ese dinero va a un número de cuenta, ¿cómo leñes no lo han detenido ya?

O la policía es muy torpe o Rajoy está sacando dinero de donde puede

Bueno, es posible que ya hayan cometido alguna detención y no lo sepamos, creo que no quieren darle mucho bombo para que la gente no eche más mierda sobre la SGAE.

Esta es una imagen de lo que muestra:


Es la única que encontré

Es prácticamente igual que el de "la policia española", solo que cambian el texto "La policia española" por "la mafia españ...." digoooo, "$GA€", digoooooo "SGAE"

lookmeandnotouchme escribió:Esta es una imagen de lo que muestra:


Es la única que encontré

Es prácticamente igual que el de "la policia española", solo que cambian el texto "La policia española" por "la mafia españ...." digoooo, "$GA€", digoooooo "SGAE"

Interesante, gracias
Lo que hay que descubrir es si ha cambiado internamente de código o sigue siendo igual que el de la policía.
Si no recuerdo mal, en el MalwareBytes se hacía una referencia al explorer.exe en el registro de Windows. Ya nos enteraremos dentro de poco si esto sigue siendo así o han incluido alguna sorpresa.

lookmeandnotouchme escribió:Esta es una imagen de lo que muestra:


Es la única que encontré

Es prácticamente igual que el de "la policia española", solo que cambian el texto "La policia española" por "la mafia españ...." digoooo, "$GA€", digoooooo "SGAE"

Todo el mundo a llamar a la SGAE a decirles que les demandamos por amenazas xD

No será una nueva manera de cobrar canon en vez de un virus?

Solo falta un comunicado de la $ga€ diciendo que no es un virus........ Te imaginas?.....

al igual que el virus de la policia/guardia civil este se elimina con el Polifix: http://www.infospyware.com/antimalware/polifix/

GalForD69 escribió:al igual que el virus de la policia/guardia civil este se elimina con el Polifix: http://www.infospyware.com/antimalware/polifix/

Hay mucha gente a la que el Polifix no le funcionó, debo suponer que es porque aparecieron nuevas variantes que el programa no reconocía. De hecho en la página oficial, el creador de esa programa advertía de que no eliminaba todas las variantes.

Las dos únicas opciones que yo ví que funcionaban 100% eran Malwarebytes y Restaurar Windows a un estado anterior.

Señores, tal como imaginaba, esta nueva variante es mucho más agresiva que las que conocíamos. Ahora además de la pantallita de las narices y bloqueo del archivo explorer.exe (bloqueo total del sistema), el virus cifra los archivos de nuestro ordenador codificando sus primeros 4096 bytes y añadiendo 4 digitos al final de la extension y la palabra “locked-” antes del nombre del fichero. Además renombra los archivos y las extensiones.

Mas info por aquí: http://elblogdeangelucho.wordpress.com/2012/05/11/nuevo-ramsonware-virus-de-la-policia-el-trojan-ransom-win32-rannoh/

Por aquí un primer usuario que cuenta su experiencia con esta nueva variante. Le ha renombrado las extensiones de los documentos y fotos, además de cifrarselos.
http://www.hard2mano.com/index.php?showtopic=103625&pid=881769&st=0&#entry881769