Decrypt Protect de MBL Advisory es un virus de tipo troyano conocido
como Trojan REVENTON
que nos va a bloquear la pantalla con un mensaje “You have lost control over your computer” o "Has perdido el control de su equipo".
que nos va a bloquear la pantalla con un mensaje “You have lost control over your computer” o "Has perdido el control de su equipo".
¿Cómo podemos
infectarnos con Decrypt Protect?
Podemos infectarnos con este troyano por navegar por sitios
web maliciosos o sitios que hayan sido comprometidos. Un método cada vez más usado en general para
la infección por virus es el drive-by-download, webs vulneradas
con scripts maliciosos que buscarán vulnerabilidades en nuestro ordenador para
infectarnos. Otro método puede ser mediante emails spam con archivos adjuntos o
enlaces a webs maliciosas. También en las webs o programas donde se comparten
archivos P2P (peer to peer) donde podemos descargarnos software o archivos en
general comprometidos.
Una vez infectados con Decrypt Protect nos empezará a
mostrar falsos mensajes haciéndose pasar por MBL Advisory donde nos
dicen que se nos ha bloqueado el ordenador por estar metidos en actos ilegales
como distribución de material pornográfico o por vulnerar los derechos de
autor. Al iniciar nuestro ordenador va a mostrarnos una pantalla de bloqueo
donde se nos va a pedir el pago de una multa de 300$, que deberemos hacer
efectivos con un código Ukash, Paysafecard o MoneyPak.
Para dar más veracidad a la situación este virus tiene la
capacidad de acceder a la cámara web instalada, va a mostrarnos una cuenta
atrás para advertirnos del tiempo de pago de que disponemos, nos mostrará un número de caso que
se nos ha asignado, el nombre de agente del FBI que sigue nuestro caso, etc.. y
todo esto con el fin de engañar a los usuarios más inexpertos y robarles el dinero.
Decrypt Protect va a cifrarnos distintos tipos de archivos que encuentre
en nuestro y les cambiará la extensión por *.html. Al intentar iniciar estos
archivos nos redirigirá a una web http://xblblock.com en la que se nos pedirá
el rescate comentado.
Si al iniciar el ordenador lo tenemos bloqueado con Decrypt Protect, debemos realizar un análisis completo del sistema para eliminar todas las infecciones detectadas.
¿Cómo podemos eliminar Decrypt Protect?
Si al iniciar el ordenador lo tenemos bloqueado con Decrypt Protect, debemos realizar un análisis completo del sistema para eliminar todas las infecciones detectadas.
¿Cómo podemos eliminar Decrypt Protect?
- Descargaremos Kaspersky Rescue Disk desde mi sección Antivirus Live-CD. En los casos de infección por algún tipo de Ransomware, podemos tener nuestro ordenador bloqueado y muchas veces no podemos ni arrancarlo. Descargaremos desde un ordenador limpio de virus el programa, y en el caso de que queramos copiarlo en una memoria USB descargaremos un útil para realizarlo como podemos ver en la imagen.
- Arrancaremos el ordenador afectado y entraremos en la BIOS para modificar el modo de arranque. Dependiendo del ordenador será pulsando la tecla Suprimir, Tabulador, etc..
- Una vez arranque desde la unidad de CD o de USB nos aparecerá la pantalla donde podremos escojer el idioma > después veremos un menú y seleccionaremos Kaspersky Rescue Disk. Modo Gráfico
- Una vez cargada la interfaz gráfica iremos al botón de inicio (abajo a la izquierda) y escogeremos la opción de Terminal > se nos abrirá una pantalla negra donde escribiremos windowsunlocker para ejecutar una aplicación limpie el registro de entradas maliciosas > escogeremos la opción numero 1 y pulsaremos Enter.
- Ejecutaremos Kaspersky Rescue Disk y cuando haya arrancado, iremos al apartado de Actualizaciones y le diremos Iniciar la Actualización (en algunos casos puede que de algún error y no actualice. Entonces continuaremos con el paso siguiente) > una vez hecho iremos a la opción de Análisis de objetos donde deberemos analizar lo siguiente: Sectores de arranque del disco, los objetos de inicio ocultos y todas las unidades disponibles.
- El escaneo puede llevarnos algún tiempo > cuando termine nos indicará las amenazas detectadas > eliminaremos dichas amenazas y estaremos libres de infecciones.
- Reiniciamos el ordenador y vamos pulsando la tecla F8 hasta que nos aparezca un menú donde podamos escoger la opción Modo seguro con funciones de red.
- Malwarebytes Anti-Malware (analiza el sistema para eliminar malware) . Es posible que al estar infectados con el virus Policia Federal de Mexico, haya dado pié a que nos hayamos infectado con algún otro tipo de malware. Si es así lo detectaremos y eliminaremos con este programa. Lo podéis descargar desde mi sección de AntiMalware. Instalaremos el programa y lo actualizaremos > Realizaremos un análisis completo > Cuando haya terminado, seguiremos con el asistente y eliminaremos los malwares detectados.
- Realiza un análisis completo con Eset Nod32 online -> Versión Descargable E Instalable: En mi sección Antivirus OnLine podemos descargarla con el nombre Esetsmartinstaller_esn> marcaremos la opción Eliminar las amenazas detectadas y analizar archivos > realizamos clic en Configuración adicional y marcamos las casillas: Analizar en busca de aplicaciones potencialmente indeseables, Analizar en busca de aplicaciones potencialmente peligrosas y Activar la tecnolgía Anti-Stealth. > Clicamos Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.
- Eliminaremos entradas de registro maliciosas con RogueKiller, lo descargaremos de mi sección Herramientas. > una vez descargado lo ejecutaremos y esperaremos que haga un preescaneo > cuando termine clicaremos en el botón de Scan y realizaremos un escaneo del sistema > cuando termine clicaremos el botón Delete para eliminar lo detectado > reiniciaremos el ordenador y volveremos a ejecutar el programa > esta vez iremos a las Opciones y clicaremos en el botón Fix Host lo que nos restaurará el archivo hosts original de Windows > después clicaremos en el botón Fix Proxy con lo que eliminaremos la configuración del proxy y del navegador donde se ha configurado por el malware > después clicaremos en el botón Fix DNS con el fin de revertir el cambio realizado por el programa en la configuración de DNS > volveremos a reiniciar el ordenador > ahora volvemos a ir a las Opciones y clicamos sobre Fix Shortcuts para volver restaurar los accesos directos originales.
- Glary Utilities nos permitirá realizar un mantenimiento general del ordenador y optimizarlo en profundidad. Lo podemos descargar desde mi sección de Herramientas. Una vez instalado vas a la pestaña Estado y presionas Ver Actualizaciones y el programa actualizará su base de datos y de ser necesario te avisará si hay una nueva versión > después vamos a la opción Mantenimiento un clic > Clicamos la opción Ver resultados > y cuando termine Repararemos los problemas detectados.
Este análisis debería ser suficiente para eliminar este ransomware. En el caso contrario pueden abrir un nuevo tema en el Foro Solucionavirus para que realicemos un análisis del sistema de manera personal.
SOPORTE SOLUCIONAVIRUS (OPCIONAL)
Todos los artículos para la eliminación de malware y las utilidades recomendadas son completamente gratuitas. Si quieres apoyar el trabajo realizado con un donativo, cualquier cantidad será agradecida.
Puedes recomendar este artículo en las principales redes sociales:
No hay comentarios:
Publicar un comentario