Eliminar el virus de la Policía Nacional

Troyano que simula ser de la Policia Nacional

Mucha gente que se infecta en Windows con el troyano de la policía nacional, se queda un tanto en estado de shock y he oído respuestas que me han dejado, si cabe, más sorprendido aún:

-Voy a ir a la comisaría y les voy a decir cuatro cosas, y pienso destrozar el ordenador delante de sus narices.
-Yo voy a pagar los 100 euros para que mi padre no se entere. (Y si pagas los 100 euros, te piden otros 100).
-Es el ordenador de mi hijo, y me da mucha vergüenza que sepa que he visto páginas porno. Voy a pagar...

Esta semana he desinfectado un portátil y, viendo que el troyano parece que todavía sigue vivo (tal vez por sus mutaciones), os voy a mostrar cómo he hecho  para eliminarlo de varios ordenadores.

Primer impacto, síntomas

El primer problema es el impacto que produce verlo. Cuando te infectas con este troyano, percibes los siguientes síntomas:

• Aparece una imagen simulando ser de la policia nacional que ocupa toda la pantalla
• No es posible quitarla, ni abrir el administrador de tareas, ni pulsar Ctr + Sup, ni nada de nada.
• Al reiniciar el ordenador vuelve a controlar todo, aparece de nuevo la imagen y vuelves al punto anterior.

La imagen

¿Cómo o por qué aparece? No lo sé con certeza y aunque he preguntado intentando averiguar la procedencia, no he encontrado una respuesta convincente. Yo siempre digo a todo el mundo que descargue sus archivos desde fuentes fiables, que compruebe la integridad (tamaño, uso de funciones hash...), que analice los archivos y que utilice el sentido común.

En este caso hice una fotografía de la pantalla del ordenador, la siguiente:

Voy a transcribir lo que pone. Los datos son ficticios e inventados y he borrado la IP que aunque también era incorrecta, podría constituir un dato de otro dispositivo real conectado en la red:

¡Atención! Ha sido detectada actividad ilegal en su ordenador! Su sistema operativo ha sido bloqueado debido a violaciones de las leyes de la Reino de España! Su Dirección IP es: "inventada". Su dirección IP detectada y registrada por El Cuerpo Nacional de Policia de España. Con su dirección IP son reveladas violaciones siguientes: Usabais el ordenador para mirar las porno películas o para visitar los sitios web con contenido porno o orientadas que difusión de la porno, pornografía infantil, bestialidad, y la violencia contra los niños. Además, estos archivos fueron encontrados por nuestros expertos en su ordenador.
Además, ha sido descubierto que el envío de mensajes de correo masivo mensajes de correo con un contenido comercial, político u otro, u otras formas de mensajes de correo electrónico de Spam, o el envío de mensajes de correo electrónico que contienen proyectos terroristas secretos fueron ejecutados de su ordenador. Esto es suficiente para bloquear su ordenador para detener sus actividades ilícitas...

...A fin de desbloquear su ordenador, usted es obligado de pagar una multa en cantidad de 100 euros. ¡La multa debe ser pagada durante 24 horas a partir del momento cuándo su ordenador personal fue cerrado con llave!

Sentido común

Sentido común. Olvida por un momento la imagen e intenta entender lo que hay escrito. Como puedes observar, existen muchas faltas de ortografía y gramática. Ve también a la web del Cuerpo Nacional de Policía, y observa que se habla de ello.

¡NO PAGUES!, ¡NI SE TE OCURRA! Vamos a intentar seguir unos sencillos pasos y entender lo que ocurre.

¿Qué está pasando?

No puedo afirmar que siempre sea así ya que el virus puede mutar, trabajar de forma diferente o ser sencillamente otro. Yo, los 3 casos que he reparado han sido prácticamente iguales y es lo que voy a explicar hoy aquí.

Este troyano, para que lo entiendas de forma muy generalizada, es un programa que bloquea tu ordenador y se ejecuta en el inicio de Windows. Pienso que es conocido y lleva ya tiempo infectando ordenadores, seguramente tengas tu antivirus desactualizado pero esto lo veremos después.

Desde mi punto de vista y, en mi caso, no es muy virulento porque no realiza muchas modificaciones y es sencillo de quitar.

Desinfectando

Como el virus muta, es posible que no puedas iniciar el Sistema Operativo ni en modo a prueba de fallos. Para desinfectarlo deberás usar una herramienta externa al Sistema Operativo, por ejemplo, Windows Defender Offline. Aquí explicamos su descarga y creación de un CD, DVD o USB booteable.

Borrarlo del inicio de Windows

El primer paso será descubrir la ubicación del troyano. Como se ejecuta tras el arranque del S.O., en el ordenador infectado instalaré un software que me muestre los programas que se inician con Windows. Yo elijo CCleaner, que descargo desde otro ordenador y guardo el setup en un pendrive. Uso también Panda USB Vaccine para evitar que la memoria USB se me pueda infectar.

Apago el ordenador infectado, lo vuelvo a encender y dejo pulsada la tecla F8 antes de que aparezca el logo, para que salga el menú de Windows. En este tendré que seleccionar con la flechas la opción "Modo Seguro" y pulsar Enter.

Una vez que Windows se inicie (entro como administrador), instalo CCleaner, lo ejecuto y a la izquierda voy a Herramientas ? Inicio. En este caso observo un programa que a simple vista me hace sospechar. La ruta es la siguiente:

C:\Users\MI_CUENTA\AppData\Roaming\tvJcrgR.exe

Lo selecciono y, desde CCleaner, lo elimino del inicio pulsando a la derecha en el botón borrar. Físicamente está todavía, pero ya no se ejecutará cuando arranques el ordenador.

Limpiar el ordenador, protegerlo

Este ordenador se había infectado porque el antivirus no estaba actualizado. Tenía una versión de pago caducada y el usuario no sabía actualizarlo. No quiero centrarme en limpiarlo porque esto se alargaría demasiado. Simplemente comentaré por encima los principales pasos que seguí:

• Eliminé con CCleaner los programas innecesarios del inicio, desinstalé las toolbars y otros programas similares.
• Le instalé el antivirus AVG en su versión gratuita, lo actualicé e hice un análisis en profundidad que dejé durante la noche. Mira lo que encontró a la una de la madrugada:

• Le instalé el programa Malwarebytes e hice un nuevo análisis.
• Actualicé el Sistema Operativo (duró muchísimo tiempo, era un Windows Vista sin ningún SP y con reinicios obligatorios. Tuve un problema que comentaré en otro artículo al usar Windows Update) y algunos programas.
• Limpié con CCleaner los archivos y registro.
• Limpié exteriormente el ordenador y por dentro el ventilador del disipador.
• Canté una canción en la ducha.

Consejos

Hasta la persona más precavida se puede infectar. Para minimizar este hecho yo te recomiendo:

• Tener actualizado y en vigor tu antivirus, antimalware, cortafuegos y otros sistemas de protección que uses.
• Actualiza tu Sistema Operativo
• Intenta actualizar los programas que uses (lector pdf, navegadores, office etc.), corregirán vulnerabilidades.
• Descarga siempre tus archivos desde fuentes fiables, comprueba la integridad de los archivos y el tamaño. Si tienes dudas, existen herramientas de análisis online, busca en la red, pregunta en foros en los que confíes y participes y si aún así sigues teniendo dudas, no ejecutes el programa en tu ordenador. Puedes usar una máquina virtual.
• Limpia el ordenador de archivos en desuso u obsoletos, limpia el registro, observa periódicamente los programas que se ejecutan y los que se inician con el Sistema Operativo.
• Recurre a tu sentido común.