Trojan.Winlock / Tropan.Ransomware : Virus Police (suite)

Un billet pour faire suite de ce billet sur les ransomware imitant des messages de la police : http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

J’ai enfin pu mettre la main sur la version Française via ce topic sur le forum (merci pour l’upload) : http://forum.malekal.com/virus-non-detecte-t35043.html

Le message d’alerte ci-dessous  :

Opérations sur les activités illégales ont été détectées sur votre ordinateur
Votre système d’exploitation a été verrouillé pour cette infractions. Vos actions sont considérées comme illégales en France et dans l’Union européenne. Votre adresse : xxxx
Cette Adresse IP a été détectée et signalée aux autorités policières. L’utilisateur de cette IP pour utiliser cet ordinateur pour voir pornographique contenant des éléments vidematerialov de la pornographie enfantine, la bestialité et la violence contre les enfants. En outre, ces fichiers ont été trouvés par nos scanners sur votre disque dur de votre e-mail personnelle ont été trouvés, a envoyé des e-mails comme spam, et à également constaté des e-mails avec un caractère terroriste. Nos serveurs ont l’ordinateur d’arrếter vos activités illégales. Nous vous faisons un avertissement officiel et définitif. 

Comme on peux le constater le message est vraiment mal redirigé, très certainement à cause de l’utilisation d’un traducteur (l’auteur du malware ne doit pas être français).
Pour ce qui est d’un avertissement officiel, on repassera, les logos Symantec, McAfee, Kaspersky et Microsoft pour soit disant légitimer l’avertissement, c’est vraiment léger.
Les ransomwares allemands ont l’air plus réalistes.

Le sample récupéré est bien détecté :

http://www.virustotal.com/file-scan/report.html?id=761528759ff705c12e6a65bbb1a98ecd8f3a76134e52aa0c1d163225bbded899-1323357485

File name: mahmud.exe
Submission date: 2011-12-08 15:18:05 (UTC)
Current status: finished
Result: 23/ 43 (53.5%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.12.08.02	2011.12.08	Trojan/Win32.Obfuscated
AntiVir	7.11.19.28	2011.12.08	TR/Offend.kdv.460046
AVG	10.0.0.1190	2011.12.08	Pakes.KZE
Comodo	10885	2011.12.08	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.2.03300	2011.12.08	Trojan.Winlock.4018
Emsisoft	5.1.0.11	2011.12.08	Trojan-Spy.Win32.SpyEyes!IK
F-Secure	9.0.16440.0	2011.12.08	Trojan:W32/Ransom.P
GData	22.301/22.560	2011.12.08	Trojan.Generic.KDV.460046
Ikarus	T3.1.1.109.0	2011.12.08	Trojan-Spy.Win32.SpyEyes
Kaspersky	9.0.0.837	2011.12.08	Trojan-Dropper.Win32.Dapato.qqh
McAfee	5.400.0.1158	2011.12.08	Artemis!B2B12C18DD26
McAfee-GW-Edition	2010.1E	2011.12.08	Artemis!B2B12C18DD26
Microsoft	1.7903	2011.12.08	Trojan:Win32/Ransom.DU
NOD32	6691	2011.12.07	a variant of Win32/Kryptik.WVB
Norman	6.07.13	2011.12.07	W32/Zbot.YFP
Panda	10.0.3.5	2011.12.08	Trj/CI.A
PCTools	8.0.0.5	2011.12.08	Trojan.Gen
Sophos	4.71.0	2011.12.08	Mal/Zbot-EZ
Symantec	20111.2.0.82	2011.12.08	Trojan.Gen
TrendMicro-HouseCall	9.500.0.1008	2011.12.08	TROJ_GEN.R3EC7L8
VBA32	3.12.16.4	2011.12.08	Malware-Cryptor.ImgChk
VIPRE	11219	2011.12.08	Trojan.Win32.Generic!BT
ViRobot	2011.12.8.4815	2011.12.08	-
VirusBuster	14.1.104.0	2011.12.07	-

Additional information
Show all
MD5   : b2b12c18dd26e30d69b64518ea074637
SHA1  : b2bdbb2f27dbe9f46cc9bd070fc16ad37fb5c01c
SHA256: 761528759ff705c12e6a65bbb1a98ecd8f3a76134e52aa0c1d163225bbded899

Désinfection

Le malware modifie donc la clef Shell pour remplacer le shell (bureau Windows) explorer.exe par lui même pour le moment mahmud.exe
Pour récupérer le bureau et empécher le démarrage du malware, il faut remettre la clef Shell.

Windows Seven

Pour Windows Seven, vous pouvez faire une restauration du système au démarrage via l’option Réparer l’ordinateur.
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez : Réparer l’ordinateur.
Pour plus d’informations, se reporter à la page : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Windows XP/Vista

Essayez de démarrer en mode sans échec avec prise en charge du réseau : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez mode sans échec avec prise en charge du réseau.
Si Windows est accessible, téléchargez et faire un scan Malwarebyte’s Anti-Malware, mettez le bien à jour et bien faire supprimer selection une fois le scan terminé : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Via l’invite de commande en mode sans échec

Si pas mieux, il faut aller en invite de commande en mode sans échec.
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec

Sur la fenêtre cmd.exe, tapez regedit et validez

Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
A droite, chercher Shell, il doit y avoir la valeur malicieuse avec mahmud.exe (si mahmud.exe n’est pas présent, c’est que vous avez la version Gendarmerie Nationale : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ ).
Double-cliquez dessus.

Effacez tout et mettez explorer.exe à la place.
Validez par OK. Fermez toutes les fenêtres et tapez exit pour redémarrer l’ordinateur.

 Avec un CD Live (toutes versions de Windows)

Dernière solution avec un CDLive,
Du coup, le malware est chargé très tôt et en même mode sans échec.
Vous pouvez le faire depuis OTLPE : http://forum.malekal.com/otlpe-live-t23453.html
ou Ultimate Boot CD :  http://www.malekal.com/download/UBCD4WinBuilder.iso

Voici un exemple avec Ultimate Boot CD, allez dans le menu Démarrer / Programs puis Registry Browser

Les clefs du registre sont celles de l’OS du CD Live et non celui de votre Windows.
Il faut charger la ruche du registre de votre Windows afin d’avoir accéder au clef.
Pour cela, positionnez vous sur HKEY_LOCAL_MACHINE

Cliquez sur le menu File et Load Hive
En bas positionnez Files of Type sur All files, puis naviguez dans vos dossier pour aller dans C:\\WindowsSystem32\\config
Vous devez avoir une liste de fichiers comme ci-dessous, double-cliquez sur SOFTWARE (celui sans extension à la fin).
Un nom vous sera donné, ce sera le nom du dossier contenant la ruche de votre Windows, donnez par exemple le nom SOFTWARE AVEC VIRUS.

Déroulez l’arborescence de SOFTWARE AVEC VIRUS puis SOFTWARE puis Microsoft puis Windows NT puis CurrentVersion puis Winlogon
A droite chercher la clef Shell, double-cliquez dessus et mettez explorer.exe à la place.
Validez et redémarrez l’ordinateur

Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html