Virus Gendarmerie/Police Nationale/Virus Hadopi/Virus Interpol

Le ransomware/rançon logiciel Virus gendarmerie (voir la page sur les virus fake police) dans un nouveau design : Ce blocage de l’ordinateur sert à la prevetion de vos actes illegaux. Le systeme d’exploitation a ete bloque a cause de la deorgation de lois de la Republique.

Ce ransomware propage par exploits sur site WEB via des malvertising :

Mettez à jour vos programmes ! sinon votre PC est vulnérable !

Il existe maintenant deux variantes du « virus Hadopi »  :

La variante Urausy – normalement le mode sans échec ne fonctionne pas : Agence Nationale de la sécurité des systèmes d’information – Haute autorité pour la Diffusion des Oeuvres et la Protection des Droits sur Internet.
Cette variante se caractérise par la présence de l’image avec les menottes.
Cette variante empêche normalement le démarrage en mode sans échec.

Urausy_new_skin

La variante Reveton – l’image des menottes est remplacée par une WebCam.
Le démarrage en mode sans échec est possible pour cette variante :

Reveton_virus_Interpol

Attention, une autre variante « Office Central de Lutte contre la criminalité liée aux technologies de l’information et de la comunication » sans le logo HADOPI, se reporter à la page : http://www.malekal.com/2013/04/11/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/

Office_Central_Lutte_Criminalite_technologies_information_communication

Ci-dessous quelques captures d’anciennes variantes :
Ransomware Reveton : Office Central de lutte contre la criminalité

 

Autre variante avec l’Office Central de la Lutte contre la Criminalité liée aux Technologies de l’information et de la Communication qui ont été diffusées par le passé :Ransomware Activite illegale demelee

Virus Police Nationale : activite illégale révélée

Activite illégale a été révélée / Activite illicite démélée :

Ransomware Activite illegale a été revélée

Désinfection

Mode sans échec (version Reveton)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • !!! Choisissez la session infectée !!!
  • Téléchargez sur le bureau : http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
  • Lancez RogueKiller.exe.
  • Attendez que le Prescan ait fini
  • Lancez un scan à partir du bouton Scan en haut à droite.
  • RogueKiller doit détecter des éléments msconfig / CTFMON comme ci-dessous :

Reveton_Urausy_Skin6

  • Une fois que le scan est terminé, cliquez sur Suppression à droite.

Redémarrez l’ordinateur, le malware doit être éradiqué.
Suivez le dernier paragraphe « Après Désinfection » pour sécuriser votre ordinateur.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Restauration du système en invite de commandes en mode sans échec (toutes versions)

Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263

Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

RogueKiller en invite de commandes en mode sans échec (Windows Vista/Seven – toutes variantes)

Désinfection par RogueKiller en invite de commandes en mode sans échec par clef USB.
Suivre ce tutorial : http://www.malekal.com/2012/01/10/virus-hadopi-gendarmerie-office-central-lutte/

RogueKiller_invite_commandes2

 

Regedit en invite de commandes en mode sans échec (Seulement variante Urausy)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • !!! Choisissez la session infectée !!!
  • Tapez Regedit et validée par entrée – Cela doit ouvrir l’Editeur du Registre.

Urausy_regedit5

  • Déroulez en cliquant sur les + HKEY_CURRENT_USER
  • Déroulez Software
  • Déroulez MicrosoftUrausy_regedit
  • Déroulez Windows NT
  • Cliquez sur Winlogon
  • A droite, vous devez avoir une clef Shell.Urausy_regedit2
  • En double cliquant dessus, vous devez avoir explorer.exe,chemin/skype.dat (si vous avez pas skype.dat, laissez tomber)
  • Effacez tout pour n’avoir que explorer.exe et Valider
    Urausy_regedit3
  • Fermer l’éditeur du registre
  • tapez la commande ci-dessous sans faute avec les mêmes espace pour redémarrer l’ordinateur
    Urausy_regedit4

Invites de commandes en mode sans échec (Seulement variante Urausy)

La variante Urausy créé un fichier %APPDATA%/skype.dat ou %APPDATA%/cache.dat soit donc :

  • Pour Windows XP : C:/Document And Settings/sessioninfectee/Application Data/cache.dat
  • Pour Windows Vista/Seven et Windows 8 : C:/Users\sessioninfectee/Roaming/cache.dat

Il est possible aussi de supprimer ce dernier en invites de commandes en mode sans échec.
Pour cela :

  • Redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, invites de commandes en mode sans échec puis appuyez sur la touche entrée du clavier.
  • Choisissez la session infectée ET AUCUNE AUTRE.
  • Saisissez la commande cd %APPDATA% puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/ (Vista / Seven / 8 ) ou C:/Documents and Settings/SessionInfecte/Application Data (Windows XP)
  • tapez la commande dir, vous devez voir dans la liste le fichier skype.dat OU AltShell.dat

Urausy_invites_commandes_sans_echec2

Urausy_AltShell

  • Tapez alors la commande del AltShell.dat ou del skype.dat selon celui qi est présent et entrée afin de supprimer le fichier AltShell.dat / skype.dat
  • Eventuellement, tapez dir à nouveau afin de s’assurer que le fichier skype.dat ou AltShell.dat a bien été supprimé.

Urausy_invites_commandes_sans_echec

  • tapez alors shutdown /r afin de redémarrez le PC

Urausy_invites_commandes_sans_echec3

CD Live Malekal

Démarrer le PC infecté sur le CD Live Malekal.
Lancer un scan RogueKiller, puis faire Suppression à droite.
Redémarre l’ordinateur, vous devriez être débarrassé du ransomware.

Se reporter à la page : http://www.malekal.com/2013/02/22/malekal-live-cd/

Live_CD_Malekal_RogueKiller

CD Live Kaspersky

Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution.
Vous devez graver le CD et Booter dessus, tout ceci est expliqué sur la page suivante : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Le principe étant de graver le CD Kaspersky sur un CD ou mettre sur clef USB.
Redémarrer l’ordinateur et changer la séquence de démarrage http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.

Cliquez sur le menu pour obtenir le Terminal

Kaspersky Windows Unlocker

Dans la fenêtre noire, saisir windowsunlocker (respecter la casse) :

Kaspersky Windows Unlocker

Lorsque vous lancez Kaspersky Unlocker, repérez le fichier donné en suspicious modification.
Dans l’exemple ci-dessous :  C:\Documents and Settings\Mak\Application Data\flint4ytw.exe

En vidéo : http://www.youtube.com/watch?v=7Jn6yKH2r1w

Centre de sécurité et mode sans échec non fonctionnel

Si le centre de sécurité est non fonctionnel suite à ce ransomware Reveton.
Se reporter au paragraphe « Rétablir le centre de sécurité après Reveton » de la page : https://forum.malekal.com/remettre-retablir-les-services-windows-t36444.html

Urausy supprime les clefs Safeboot qui empêche le redémarrage en mode sans échec, il est possible de remettre les clefs en suivant les instructions de cette page:  http://forum.malekal.com/mode-sans-echec-bsod-stop-0x0000007b-t36550.html

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Variantes étrangères

En d’autres langues (merci http://secuboxlabs.fr/kolab/) :

 

Atention ! Cuerpo Nacional de Policia :

EDITION au début février 2012 :

quelques autres captures : http://secuboxlabs.fr/kolab/api?hash=da6016eccf90097e4053c62ce7654ce6dca2674f

EDIT MI Fevrier 2012

Nouveau Skin : Office Central de la lutte contre la ciminalité liée aux technologies de l’information et de la communication : Activite illicite demelée!

EDIT MAI 2012

Le screen a été modifié : http://www.malekal.com/2012/05/12/virus-police-nationale-francaise-activite-illegale-revelee/

Virus Police Nationale : activite illégale révélée