Aunque este suceso cuenta ya con algunos meses, doy fe de que hasta hace poco aun se sufrían sus consecuencias y probablemente conozcan a alguien que les ha venido con esta historia. Este relato está dividido en dos partes. Vamos hoy con la primera.
Un día estás tan tranquilamente navegando por tus páginas habituales y de repente tu antivirus salte preguntando si deseas procesar un fichero que ha detectado sospechoso, al parecer temporal. Lo bloqueamos porque no conocemos su contenido y no tiene buena pinta y, continuamos navegando. Pero a medida que pasan los minutos notas como el PC cada vez funciona más y más lentamente, que apunta a que está realizando de repente alguna tarea; parece que el antivirus sigue procesando ese fichero detectado y finalmente, el equipo deja de responder.
Acabamos reiniciando y voilà apenas un segundo después de acceder a nuestro escritorio, aparece una imagen con un aviso similar a esta:
A partir de ahí, era imposible hacer cualquier cosa; la imagen ocupaba toda la pantalla y las teclas habituales para tomar el control tampoco respondían. Justo entonces caí en que esa misma mañana, había leído una noticia de este malware a través de mis compañeros del CSIRT-CV.
A pesar de que muchas personas creyeron que el mensaje era real, para una persona mínimamente acostumbrada a este tipo de estafas era muy fácil darse cuenta de que ese mensaje supuestamente de la policía que pedía un ingreso por multa no era real: la imagen era un tanto cutre, tenía fallos de ortografía y evidentemente y por último la policía no utiliza esos métodos en aspectos tan sensibles como la pornografía infantil.
A partir de ese momento solo pude volver a leerme la noticia desde otro ordenador, que casualmente se había dado esa misma mañana, buscar información y seguir los pasos para eliminar el virus. El equipo de CSIRT-CV realizó una brillante guía de cómo deshacerse de este molesto virus, la cual podéis encontrar en: www.csirtcv.gva.es/es/noticias/ciudadanos-infectados-por-el-virus-de-la-policía.html.
Pero esta entrada no tendría ningún sentido si no fuese porque el virus que estaba en mi equipo era diferente al original: había mejorado y las soluciones planteadas hace unos meses para sus primeras versiones ya no eran útiles.
En este caso, el virus de la policía no permitía entrar en modo seguro al sistema, ni a cualquiera de las otras opciones, ni restaurar… nada de nada. Al arrancar en cualquier modo, seguía apareciendo la imagen, tras lo cual vino un momento de desesperación puesto que las soluciones que se pretendían realizar ya no servían. Obviamente, introducir el código PIN que recomendaban tampoco funcionaba ya (había que probarlo todo).
Tras varios intentos infructuosos, parecía que la única solución posible era formatear, con sus implicaciones: pérdida de toda la información de la que no tuviese copia de seguridad, tiempo dedicado, etc. Afortunadamente, ¡finalmente conseguí acceder al sistema y encontrar el .EXE maldito!
Hasta aquí, la primera parte, cuya intención es dejar constancia que a pesar de estar al día en las actualizaciones de navegador, antivirus, sistema operativo, etc. cualquier día un intruso puede meterse en nuestra “casa” y hacer que acabemos haciendo de poli ;-)
En la segunda parte del relato indicaremos como se consiguió acceder al sistema aún con el virus y sin disponer del modo seguro, así como las consecuencias ocasionadas por este malware y la limpieza llevada a cabo después.
muy buena, Julio…
El virus de la policia esta afectando a mucha gente, a un amigo mio cercano le ocurrio, no podía hacer absolutamente nada con el PC.
arrancar con la distro gnu/linux que mas te guste (en modo livecd/liveusb/livesd ). detectar el exe o pasarle uno de los tantos antivirus que tenemos de modo nativo y listo :) . la proxima utilizar algo mas serio para navegar y listo.