Eliminar AntiChild Porn Spam Protection

AntiChild Porn Spam Protection es un Ransomware muy parecido al virus de la policía. Aparece también una ventana que bloquea nuestro ordenador impidiéndonos hacer nada y nos pide dinero para desbloquearlo, en este caso de 500 a 1000 $.

¿Qué hace AntiChild Porn Spam Protection?

• Ataca a servidores Windows escuchando el puerto 3389, puerto que usa Terminal Server.
• Cuando atacan al puerto 3389, si algún servidor contesta, utilizan la fuerza bruta para capturar la contraseña y poder así acceder al ordenador.
• Si consiguen acceder a un ordenador, comprimirá los archivos en formato RAR con clave AES de 256 bits. En este punto está la complicación del ransomware, no es posible liberarlo sin conocer la clave.
• Nos pedirán después entre 500 y 1000$ para facilitarnos la clave.
• Suele nombrar el fichero con un nombre parecido a este: 4B938B9752815F23_CSV_Fotos.zip(!! to decrypt email id 1192568416 to spainsec1@gmail.com !!).exe
• También se crea un log donde se indica como generar en cada caso con un DIR C:\ /s /a > “%userprofile%\dirc.log” > Tras ello se pide ejecutar el EXPLORER.EXE /SELECT,”%userprofile%\dirc.log

¿Cómo eliminar AntiChild Porn Spam Protection?

• Descargaremos en otro ordenador un Antivirus Live-CD para analizar el ordenador infectado. Podemos descargar alguno en mi sección de Antivirus Live-CD, como por ejemplo Kaspersky Rescue Disc. > preparamos el CD y lo llevamos al ordenador infectado > reiniciamos el ordenador y hacemos que arranque desde el cd y realizamos un análisis completo > una vez acabado iniciamos el ordenador.
• Desde Dr. Web nos van a ayudar a desencriptar estos archivos. Lo único que tenemos que hacer es mandar un archivo comprimido y el que le corresponda a la web: https://vms.drweb.com/sendvirus/?lng=en > luego ellos nos mandarán un email con los códigos de respuesta para desproteger los archivos de la contraseña.
• Una vez en la web seleccionaremos y subiremos los archivos > seleccionaremos en Submission category la opción Recuest for curing (Solicitud de Curación) > pondremos nuestro email > en los comentarios se debe incluir la dirección de correo electrónico que he ha agregado a los archivos renombrados.
• Finalmente usaremos el programa OTL para limpiar nuestro ordenador de las herramientas usadas durante la desinfección. La podemos descargar desde mi sección de Herramientas. > ejecutaremos el programa y haremos clic en la opción Limpiar. > reiniciaremos en ordenador en el caso que nos lo pida.

Estos pasos deberían ser suficientes para eliminar este ransomware. En el caso contrario, podéis acceder al Foro Solucionavirus y empezar un tema nuevo explicando vuestra problemática.