Hola a todos. Necesito me ayuden con esto. Hoy me llamo un amigo porque cada vez que abre el explorador le sale una pagina de bloqueo y extorsionandolo a que deposite plata en una cuenta de bitcoin para que se le desbloquee el internet. Soy novato en esto asi que necesito un poco de ayuda. Para mi es obvio que tiene un troyano de conexion inversa que cada vez que se conecta le tira la ip global al atacante, ahora lo que no entiendo, como hace para redireccionar todo el trafico para su pc sin tocar el modem?, en esto ya quedan cortos mis conocimientos. Les muestro lo que rescate en .txt al guardar la pagina de bloqueo, borre el mail que da abajo la pagina por si llega a ser alguno que frecuenta estos foros, lo unico que eligio un servidor de mail que esta en el otro extremo del planeta ja ja. Gracias a todos por la ayuda.
...
*Advertencia*! Su conexión a Internet se ha
incautado.      *Advertencia*! Su conexión a Internet se ha
incautado.      *Advertencia*! Su conexión a Internet se ha
incautado.      *Advertencia*! Su conexión a Internet se ha incautado.


  _Su Internet está parcialmente bloqueada_


  *ULTIMA ADVERTENCIA!*


    Por favor, siga las siguientes instrucciones para desbloquear todos
    los sitios web (y _www.google.com_)

Este sitio web ha sido bloqueado debido a tu actividad reciente. Para
visitar este sitio web, por favor siga las instrucciones: _debe pagar un
rescate de *USD $ 150*_. Si usted no coopera, o si se comunica con las
autoridades, que se revele toda aquella información personal que hemos
recopilado sobre usted (mensajes de Facebook, correos electrónicos,
fotos, etc) para sus amigos y familiares. Tienes hasta el *4 de agosto
2014* para pagar. Una vez pagado el malware se autodestruirá, la
restauración de su acceso normal a Internet.

------------------------------------------------------------------------
⌛ Time left: *_NaN days_, NaN hours, NaN minutes and NaN seconds* before
_*termination*_ of your connection!
------------------------------------------------------------------------

Procedure ID: #lock-06c4


      1) How to unlock your internet access?

To restore your access, you have to pay *_$150 USD_* (1223) using *Bitcoin*. Your Internet access will be restored within a
few hours after the payment is made. If you don't pay within the first
*8 days*, the price will increase to *$300 USD*. If you fail to pay and
don't cooperate, after the 20th of August we'll block *all* your
internet connections and _we'll release all *private* data (such as
browser history, messages, ...) we have on you to your contacts_.


      2) How do I pay?


        1.a) Acquire Bitcoins

It's easy! You can go to *blockchain.info*
<https://blockchain.info/wallet/new> or *coinbase.com*
<https://coinbase.com/> to create an online wallet and buy Bitcoins now.
You can also visit *localbitcoins.com*
<https://localbitcoins.com/country/> to get bitcoins in ** or
*howtobuybitcoins.info* <http://howtobuybitcoins.info/> to get bitcoins
online (currently 1 BTC = $600.4 USD).


        1.b) Pay with Bitcoins

Send exactly *0.2498 BTC ($150 USD)* to this bitcoin address:
|18SrU7ouwXUFMn6nwDZzVb1zi74VAqJCvd|


      3) Unlock your access

Once paid, you can fill out the form below:

Procedure ID
IP address
Payment method
Transaction ID
Validate

------------------------------------------------------------------------

Mi primo tuvo un problema similar con el conocido virus de la policía, otro tipo de randsoware que te pide dinero por dejar de extorsionarte. A mi me vino muy bien el Rescue Disk de Kaspersky, que lo puedes encontrar en:
http://support.kaspersky.com/4162

Para poder usarlo tienes que grabar la ISO en un CD/DVD y reiniciar el ordenador. En el momento en que te salgan las opciones de arranque, con el disco en el lector, seleccionar arrancar desde CD y seguir las instrucciones. Suele ser bastante efectivo al no depender del arranque del windows...

Espero q te sirva, si no, indicalo y miramos más opciones.

Puede usar varias técnicas..

1. Envenenar el fichero hosts (:C\system32\drivers\etc\hosts) de la máquina de tu amigo para resolver las consultas DNS sin tener que lanzar la petición al servidor DNS.
2. Cambiando el servidor DNS obtenido por tu router por uno controlado por el atacante de tal forma que resuelva los dominios hacia otra máquina controlada por él.
3. Mediante algún tipo de programa en background que capture las consultas DNS y las resuelva sin enviar ninguna comunicación al servidor DNS.

Seguramente existan muchas mas formas, el malware evoluciona día a día.

Un saludo

Muchas gracias por las respuestas. Lo de ingenieria inversa por el momento paso ja ja. Pero la verdad que seria la mejor manera de hacer las cosas