Si se nos está mostrando un mensaje como “All activities on this computer has been recorded. All your files are encrypted. Don’t try to unlock your computer!” que pretende hacerse pasar por la autoridades de EEUU, entonces estamos infectados con el troyano Ranosmware.
¿Cómo podemos infectarnos con National Security Agency-Central Security Service?
Podemos infectarnos con este troyano por navegar por sitios web maliciosos o sitios que hayan sido infectado con virus. Un método muy usado para la infección con este ransomware es el drive-by-download, webs vulneradas con scripts maliciosos que buscarán vulnerabilidades en nuestro ordenador para infectarnos. Otro método puede ser mediante emails spam con archivos adjuntos o enlaces a webs maliciosas. También en las webs o programas donde se comparten archivos P2P (peer to peer) donde podemos descargarnos software o archivos en general comprometidos. Otras infecciones también pueden descargar este troyano.
Una vez infectados con el virus, nos modificará la configuración para que al iniciar el ordenador se nos muestre la pantalla de bloqueo de National Security Agency-Central Security Service pretendiendo hacerse pasar por una autoridad. Se nos informa que el bloqueo del ordenador es debido a que desde el ordenador se han cometido actividades ilegales (como tratar con archivos con derechos de autor o archivos pornográficos), y nos ponen una multa de 300,00 $ a pagar normalmente en un plazo de 48 horas, para que hagamos efectivo con un vale de MoneyPack o MoneyGram, o por lo contrario tomarán acciones legales contra nosotros. Cualquier mensaje mostrado por National Security Agency-Central Security Service es un engaño y solo busca robarnos el dinero.
Va a mostrarnos un mensaje como:
National Security Agency
Central Security Service
All activities on this computer has been recorded.All your files are encrypted. Don’t try to unlock your computer!
This computer has been locked for violating the law of the United States of America.
Your Internet Service Provider in cooperation with the Internet Watch Foundation (IWF) monitors and takes action against illegal and offensive content on the Internet
...
Va a mostrarnos un mensaje como:
National Security Agency
Central Security Service
All activities on this computer has been recorded.All your files are encrypted. Don’t try to unlock your computer!
This computer has been locked for violating the law of the United States of America.
Your Internet Service Provider in cooperation with the Internet Watch Foundation (IWF) monitors and takes action against illegal and offensive content on the Internet
...
¿Cómo podemos eliminar National Security Agency-Central Security Service?
Voy a detallaros a continuación tres opciones distintas para eliminar esta infección. Las tres opciones son válidas, aunque puede haber ciertos casos donde alguna de ellas no funcione. Escoge alguna de las tres y sigue los pasos en orden:
OPCION 1: Eliminar con HitmanPro Kickstart
- Vamos a necesitar una unidad USB de al menos 32 Mb para crear una unidad USB de arranque con el programa HitmanPro.Kickstart. (lo podemos descargar de mi sección AntiSpyware). > una vez descargado lo ejecutaremos y visualizaremos la siguiente pantalla, donde deberemos realizar un clic en el icono del hombrecito del lado del botón Configuración.
- Nos abrirá otra pantalla donde veremos la manera de crear esta unidad USB Kickstart. > introduciremos la unidad USB en el ordenador y pulsaremos el botón Instale KickStart > cuando termine ya estaremos listo para limpiar el PC infectado.
- Arrancaremos el ordenador afectado con la unidad USB insertada y entraremos en la BIOS para modificar el modo de arranque. Dependiendo del ordenador será pulsando la tecla Suprimir, Tabulador, etc..
- Una vez que arranquemos el ordenador desde la unidad USB veremos una pantalla como la que sigue y eligiremos la opción 1 para que Windows se inicie de manera normal > cuando haya arrancado, después de unos segundos deberá iniciarse HitmanPro
- Pulsaremos el botón Siguiente para iniciar la desinfección del ordenador afectado > escojeremos la opción No, solo quiero realizar un escaneo una sola vez para comprobar este equipo. > el programa va a empezar a buscar virus en el equipo > cuando termine, seguiremos el asistente para eliminar las infecciones detectadas > y finalmente reiniciaremos cuando nos lo pida y nos debería entrar de manera normal.
OPCION 2: Eliminar con la Funcion Restaurar Sistema
- Reiniciamos el ordenador y vamos pulsando la tecla F8 hasta que nos aparezca un menú donde podamos escoger la opción Modo seguro con Símbolo del sistema. En el caso de Windows 8, podemos seguir los pasos del artículo Iniciar Windows 8 en Modo Seguro, aunque al final deberemos escoger la opcion de Modo seguro con Símbolo del sistema.
- Alternativamente, dependiendo del sistema operativo que estemos usando deberemos entrar en una carpeta u otra > si usamos Windows Vista, 7 y 8, se puede escribir: C: \ windows \ system32 \ rstrui.exe, y pulsar Enter > Y si usted es un usuario de Windows XP, escribiremos C: \ windows \ system32 \ restore \ rstrui.exe, a continuación, pulsar Enter.
- Restaurar sistema debe iniciarse y nos mostrará una lista de puntos de restauración. Escogeremos un punto de restauración creado antes de la fecha y hora en que el ordenador se haya bloqueado con el virus.
- Malwarebytes Anti-Malware (analiza el sistema para eliminar malware) . Analizaremos el sistema en busca de otras posibles infecciones de malware. Si es así lo detectaremos y eliminaremos con este programa. Lo podéis descargar desde mi sección de AntiMalware. Instalaremos el programa y lo actualizaremos > Realizaremos un análisis completo > Cuando haya terminado, seguiremos con el asistente y eliminaremos los malwares detectados.
- Realiza un análisis completo con Eset Nod32 online -> Versión Descargable E Instalable: En mi sección Antivirus OnLine podemos descargarla con el nombre Esetsmartinstaller_esn> marcaremos la opción Eliminar las amenazas detectadas y analizar archivos > realizamos clic en Configuración adicional y marcamos las casillas: Analizar en busca de aplicaciones potencialmente indeseables, Analizar en busca de aplicaciones potencialmente peligrosas y Activar la tecnolgía Anti-Stealth. > Clicamos Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.
- Eliminaremos entradas de registro maliciosas con RogueKiller, lo descargaremos de mi sección Herramientas. > una vez descargado lo ejecutaremos y esperaremos que haga un preescaneo > cuando termine clicaremos en el botón de Scan y realizaremos un escaneo del sistema > cuando termine clicaremos el botón Delete para eliminar lo detectado.
OPCION 3: Eliminar con Kaspersky Rescue Disk
Uno de estas tres opciones de análisis debería ser suficiente para eliminar este ransomware. En el caso contrario pueden abrir un nuevo tema en el Foro Solucionavirus para realizar un análisis del sistema de manera personal.- Descargaremos Kaspersky Rescue Disk desde mi sección Antivirus Live-CD. En los casos de infección por algún tipo de Ransomware, podemos tener nuestro ordenador bloqueado y muchas veces no podemos ni arrancarlo. Descargaremos desde un ordenador limpio de virus el programa, y en el caso de que queramos copiarlo en una memoria USB descargaremos un útil para realizarlo como podemos ver en la imagen.
- Arrancaremos el ordenador afectado y entraremos en la BIOS para modificar el modo de arranque. Dependiendo del ordenador será pulsando la tecla Suprimir, Tabulador, etc..
- Una vez arranque desde la unidad de CD o de USB nos aparecerá la pantalla donde podremos escojer el idioma > después veremos un menú y seleccionaremos Kaspersky Rescue Disk. Modo Gráfico
- Una vez cargada la interfaz gráfica iremos al botón de inicio (abajo a la izquierda) y escogeremos la opción de Terminal > se nos abrirá una pantalla negra donde escribiremos windowsunlocker para ejecutar una aplicación limpie el registro de entradas maliciosas > escogeremos la opción numero 1 y pulsaremos Enter.
- Ejecutaremos Kaspersky Rescue Disk y cuando haya arrancado, iremos al apartado de Actualizaciones y le diremos Iniciar la Actualización (en algunos casos puede que de algún error y no actualice. Entonces continuaremos con el paso siguiente) > una vez hecho iremos a la opción de Análisis de objetos donde deberemos analizar lo siguiente: Sectores de arranque del disco, los objetos de inicio ocultos y todas las unidades disponibles.
- El escaneo puede llevarnos algún tiempo > cuando termine nos indicará las amenazas detectadas > eliminaremos dichas amenazas y estaremos libres de infecciones.
No hay comentarios:
Publicar un comentario