El virus de la Policía Nacional es uno de los malwares que más quebraderos de cabeza trae a los usuarios. Este malware «secuestra» el ordenador y muestra un mensaje, haciéndose pasar por la policía, que indica que se han detectado contenidos pornográficos ilegales en el ordenador de la víctima e insta a pagar una multa económica para desbloquear el ordenador y conseguir así un falso «perdón».
Aunque el virus no es peligroso de por sí (ya que no borra ningún dato, ni cifra los discos duros, únicamente engaña al usuario para que pague), este puede suponer más de un problema para estos ya que, normalmente, aunque los usuarios reinicien el sistema, este quedará aún infectado y volverá a mostrar el aviso al reiniciar el equipo, llegando a ser verdaderamente molesto.
La eliminación de este malware es más o menos sencilla. Podemos hacerlo de 2 formas diferentes:
Eliminación del virus de la policía, método 1
- Iniciaremos el sistema en modo seguro (F8 durante el arranque).
- Instalaremos y analizaremos nuestro equipo con Malwarebytes. Realizaremos un escaneo rápido y uno completo.
Eliminación del virus de la policía, método 2
- Arrancamos el ordenador con ERD Commander.
- Restauramos el sistema a un estado anterior antes de la infección.
- Analizar el equipo con un antivirus online, por ejemplo, ESET.
Cómo protegernos de este malware
Analizando a fondo el malware conocido como el virus de la policía podemos descubrir que, en su funcionamiento interno, modifica algunas ramas del registro, que serán las que tenemos que modificar para evitar volver a infectarnos con este malware en el futuro. Hay servicios de antivirus online para detectar amenazas.
En Windows XP debemos modificar la siguiente entrada del registro:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
En este apartado podremos ver una entrada llamada «shell». Esta es la que se encarga de ejecutar el troyano en el escritorio. Para evitar que nos vuelva a infectar debemos hacer click con el botón derecho sobre «shell» y eliminar únicamente los permisos de escritura para los administradores del sistema. No debemos tocar ninguna entrada más de los permisos ya que podemos dejar el sistema inservible y, bajo ningún concepto, eliminar los permisos de SYSTEM sobre esta entrada.
Bajo Windows 7, el funcionamiento es algo diferente. El troyano trabaja bajo la siguiente entrada del registro:
- HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon
Una vez en esta entrada, debemos «desheredar» los permisos para los administradores. Para ello seleccionaremos la casilla «Incluir todos los permisos heredables del objeto primario de este objeto».
A continuación pulsaremos sobre «editar» y eliminaremos de nuevo los permisos de escritura para el grupo de «administradores» únicamente, dejando los demás grupos, en especial SYSTEM, por defecto.
De esta manera, en caso de ser infectados de nuevo por el virus de la policía, el sistema nos mostrará un aviso pero, al reiniciar, nuestro sistema estará limpio de nuevo y podremos seguir trabajando con él de forma normal.
Fuente: Tecnicobat