Cómo eliminar el virus Ukask (virus de la policia).

Una de las infecciones más extendidas ultimamente es la del virus Ukask (virus de la policia). Este malware bloquea el acceso al equipo deshabilitando programas del sistema (como el Administrador de Tareas), eliminando o corrompiendo lo puntos de restauracion y muestra una ventana a pantalla completa donde advierte que el equipo ha sido bloqueado (variantes del virus dan diferentes razones, entre las cuales se encuentra infracciones de copyright, visionado de pornografia infantil, etc) e insta al usuario a pagar 100€ (algunas variantes 50€) a traves de servicios como Ukask o Paysafe para desbloquearlo.

Algunos pantallazos del virus:

Evidentemente de ningun modo el virus desaparecerá aunque caigamos en la trampa y pagemos el dinero que nos pide, por lo que es recomendable que empecemos a segurir el

Tutorial para eliminar el Virus Ukash (Ransomware) :

Herramientas que vamos a necesitar:

- Malwarebytes (www.malwarebytes.org)
- Superantispyware (www.superantispyware.com)
- Memoria USB (solo para algunas variantes)

1. ¿Funciona el modo seguro con funciones de red?

Vamos a comprobar que el equipo puede arrancar en modo seguro con funciones de red. Las primeras versiones del virus Ukash no bloqueaban el acceso al modo seguro, por lo que era relativamente facil deshacerse de el, pero de un tiempo a esta parte hemos ido encontrando virus cada vez mas dificiles de quitar.

1.1 Encender el equipo pulsando repetidas veces F8 hasta encontrarnos con esta pantalla:

1.2 Seleccionar “Modo seguro con funciones de red”

1.2.1 Si puedes acceder, estas de suerte, pasa al punto “3. Eliminar el malware”

1.2.2 Si al intentar acceder el equipo se reinicia o el virus se sigue ejecutando pasa al punto “2. Reparar el modo seguro con funciones de red”

2. Reparar el modo seguro con funciones de red

Necesitaremos otro equipo que no este infectado para preparar una memoria USB en la que copiaremos los archivos que hemos descargado al principio del tutorial.

2.1 Encender el equipo pulsando repetidas veces F8 hasta encontrarnos en la pantalla que ya vimos en el punto 1.1

2.2 Seleccionar “modo seguro con simbolo del sistema”

2.2.1 Si no puedes acceder tampoco en “modo seguro con simbolo del sistema” continua con el punto “4. Desinfectar desde fuera del sistema”

2.3 Conectar la memoria USB con los archivos descargados y esperar 1 minuto (de reloj) para asegurarnos que se detecta y que podemos usarla

2.4 Escribe “diskpart” (sin comillas) y pulsa enter

2.4.1 Escribe “list volume”, pulsa enter y toma nota de la letra que el equipo le ha asignado a la memoria “extraible”

2.4.2 Escribe exit y pulsa enter (para salir de diskpart)

2.5 Escribe la letra de tu memoria USB, dos puntos (por ejemplo “E:”) y pulsa enter

2.5.1 Ejecuta SuperantiSpyware y en la seccion arreglos selecciona “Reparar modo seguro (safeboot)”. Ten en cuenta que si intentas desinfectar desde este modo el programa no estará actualizado y es probable que no de buenos resultados

2.6 Reinicia el equipo y vuelve al punto “1. ¿Funciona el modo seguro con funciones de red?”

3. Eliminar el malware

Hemos iniciado en “modo seguro con funciones de red”, vemos el escritorio y el virus no se está ejecutando, asi que vamos a desacernos de él utilizando un par de buenos antimalware. Algunas variantes del virus Ukash ocultan todos los documentos y programas del menu inicio, asi que si este es tu caso no te preocupes, en el punto “6. Arreglos” veremos como arreglarlo, pero primero debemos desinfectar completamente el equipo.

3.1 Instala MalwareBytes, actualizalo y ejecuta un analisis rápido. Elimina cualquier infeccion que haya encontrado. Si te pide reiniciar, selecciona “reinicar mas tarde”

3.2 Instala SuperantiSpyware, actualizalo y ejecuta un analisis rápido. Elimina cualquier infeccion que haya encontrado. Si te pide reiniciar, selecciona “reinicar mas tarde”

3.3 En la ventana principal de SuperantiSpyware ve a Preferencias -> Arreglos y seleccionalos todos. Si tienes alguna notificacion del tipo no se puede reparar winsock o similar, ignorala, no es importante.

3.4 Pulsa en “reparar todos los seleccionados”

3.5 Reinicia en modo normal y comprueba que la infección ha desaparecido :)

3.6 Si esta todo correcto termina con el punto “5. Limpieza”

4. Desinfectar desde fuera del sistema

La suerte no te ha favorecido y te encuentras ante una de las peores variantes. Solo queda una opcion y es desinfectar desde fuera del sistema. Esto lo puedes hacer de varias formas, montando el disco duro en otro ordenador y ejecutando una desinfeccion con tu antivirus favorito o usando un LiveCD tipo Avira AntiVir Rescue System (http://www.avira.com/en/downloads#tools) o Kaspersky Rescue Disk (http://support.kaspersky.com/viruses/rescuedisk)

4.1 Si ejecutas un LiveCD, debes arrancar el sistema desde el CD y seguir las indicaciones que te aparezcan en pantalla (la desinfeccion puede durar varias horas)

4.2 Una vez desinfectado, reinicia en modo normal y comprueba que la infección ha desaparecido :)

4.3 Si esta todo correcto termina con el punto “5. Limpieza”

5. Limpieza

Es recomendable despues de una desinfeccion realizar una limpieza de archivos temporales y del registro de windows como CCleaner (http://www.piriform.com/CCLEANER). Instalalo y realiza una limpieza de archivos y del registro

6. Arreglos

6.1 Archivos “locked” (encriptados)

Algunas variantes encriptan los archivos del usuario y cambian el nombre de los archivos con el formato “locked-<nombredearchivo>.<extension aleatoria>”. Si este es tu caso necesitaras usar la herramienta de Kaspersky Rannoh Decryptor (http://support.kaspersky.com/faq/?qid=208286527) y tener una copia sin encriptar de alguno de los archivos que ya tienes encriptados.

6.2 Archivos ocultos

Nos podemos encontrar tambien con que no aparecen nuestros iconos, el menu inicio está vacio y aparentemente nos lo ha borrado todo, pero en realidad solo están ocultos. Desde las opciones de visualizacion de carpetas de Windows puedes “mostrar todos los archivos ocultos”, seleccionarlos y quitarles la marca “Archivo oculto” para que vuelvan a estar visibles.

Esperamos haberos ayudado.

www.macopc.es

About these ads