El llamado virus de la policía es un troyano que está volviendo a circular mucho ultimamente principalmente por sistemas españoles, que "secuestra" el ordenador del usuario mostrando en pantalla un mensaje imitando a la policía nacional y en el que se exige un pago para poder continuar trabajando con nuestro ordenador. Aunque relativamente inofensivo nos sirve de claro ejemplo para reseñar una de los consejos básicos de seguridad que siempre tratamos de reforzar desde Cyberseguridad.net, el uso adecuado de los permisos de sistema.

Troyano Policia Nacional

Justamente ayer por la mañana recibí la llamada de una compañera de trabajo el sistema de la cual mostraba la citada pantalla azul de bloqueo, como no conocía personalmente este troyano, tras leer un par de líneas del texto obviamente me dí cuenta de que era algún tipo de troyano o algo similar y al momento también comprobé su característica principal, el bloqueo del administrador de tareas y otras combinaciones de teclas del sistema.

Este rogueware, lo que nos exige es el pago de una cantidad (100 o 50 euros dependiendo de la versión) para liberar nuestro sistema a través de ukash o paysafecash.

Para eliminar este troyano lo primero que debemos hacer es matar el proceso. depende del nombre del archivo .exe se llamará de una forma u otra aunque en el administrador de tareas aparecerá ejecutado por nuestro usuario local, por ejemplo si el archivo se llamara troyano.exe, el proceso aparecería en el administrador de tareas como Troyano.exe y ejecutado por nuestro usuario local.

Como podréis comprobar al intentar llevar a cabo este proceso y como hemos dicho antes, el troyano siempre bloquea al administrador de tareas, por lo que hay 2 maneras de librarse de ello. La primera y más lógica es si estamos en Windows Vista o Windows 7 es cambiar de usuario y lanzar desde este otro el administrador de tareas y matar el proceso. En mi caso, llevé a cabo un segundo método más casero pero igualmente efectivo y aprovechando que el usuario tenía archivos abiertos, en ese momento no visibles por la pantalla del troyano, pulsé el botón de power del ordenador y este cerró el troyano en el proceso de apagarse el pero se quedó en otro de los documentos abiertos gracias a la pregunta de confirmación "desea salir sin guardar"... sin mayores consecuencias para el usuario.

En todo caso, si somos usuarios de un Windows XP deberíamos reiniciar el equipo en modo seguro y limpiar el registro, aunque las últimas versiones del troyano impiden este arranque seguro modificando también el registro de sistema. En este escenario deberíamos usar un cd autoarrancable para poder modificar el registro del sistema.

Como decimos el troyano intenta modificar el registro para autoarrancarse cada vez que encendamos nuestro ordenador, por lo que una vez infectados y sin haber limpiado el proceso previamente nuestro ordenador seguirá bloqueado ya que el troyano borra las siguiente entradas del registro para evitar este modo de arranque

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

haciendo un backup de las mismas a

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net

Posiblemente para una vez realizado el pago restaurar el sistema del usuario, aunque desconocemos si es así realmente. Dejando de lado esta modificación del registro para evitar el arranque seguro, el troyano añade al registro la siguiente entrada

Shell=Explorer.exe, troyano.exe

En Windows XP la añade en

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

y en Windows Vista y Windows 7 la añade en:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

copiándose en todos los sistemas operativos (si el troyano es de las últimas versiones) a:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Lamentablemente aunque el troyano ya fue detectado hace meses la mayoría de los antivirus siguen sin detectarlo, por lo que para para protegernos de sus acciones lanzamos un consejo básico, el de limitar los derechos del usuario con el que trabajemos, de esta manera y en acción combinada con una buena solución antivirus que bloquee cambios en el registro, una vez nos libremos del molesto pantallazo, eliminar el troyano será sencillo. De esta manera nos obligaremos a tener al menos un par de usuarios en el sistema lo que a su vez nos facilitará y mucho acabar con el proceso del troyano para meternos directamente con el registro de sistema.

Tenéis mucha más información sobre este troyano en Hispasec.