Votre ordinateur est bloqué en raison du délit de la loi France

Un nouveau ransomware Trojan.Winlock de type Fake Police avec un message :

Votre ordinateur est bloqué! 

Attention!

Votre ordinateur est bloqué en raison du délit de la loi de la France

Pour la variante observé, celle-ci se charge par win.ini :

F3 – REG:win.ini: load=C:\Users\Kevin\AppData\Local\Temp\5DEA297348A03E55264A.exe,

De ce fait le malware peux être actif en mode sans échec.

 

Exemple de détection du dropper actif observé : http://www.virustotal.com/latest-report.html?resource=20f0c2834a8344a017dff61f311d519fa4992761

SHA256: 59555ee2f8f38b198b3be49fb94a492524d68d252b288ced82895cad2b43881f
File name: a48375064933d81543132a66a79c2e7c.exe
Detection ratio: 3 / 43
Analysis date: 2012-03-12 12:11:17 UTC ( 56 minutes ago )
NOD32    a variant of Win32/Injector.OXY    20120312
TrendMicro Cryp_Driller 20120311
TrendMicro-HouseCall Cryp_Driller 20120312

 

Comme vous pouvez le constater les détections sont mauvaises.

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

 

 

Windows Seven

Windows Seven : Lancez une restauration du système au démarrage de l’ordinateur – paragraphe Réparer votre ordinateurhttp://forum.malekal.com/windows-recuperer-son-systeme-t20428.html

Mode sans échec

Edit Fin Mars : certains variantes du malware peux supprimer les clefs SafeBoot – dès lors le redémarrage en mode sans échec est impossible (écran bleu BSOD).
Toutes le ne le font pas, à tester si le mode sans échec est disponible.

  • Démarrez l’ordinateur en mode sans échec avec prise en charge du réseauhttp://www.malekal.com/2010/11/15/mode-sans-echec/
    • Redémarrez en mode sans échec,
    • Pour cela, redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier.
  • Téléchargez RogueKiller et passe l’option 2.

On peux aussi supprimer l’infection manuellement – Toujours en mode sans échec avec prise en charnge du réseau :

CD Live Kaspersky : WindowUnlocker

Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

  • Graver le CD ou mettre sur Clef USB en suivant les indications du lien ci-dessus.
  • Redémarrer l’ordinateur en modifiant la séquence de démarrage afin de démarrer sur CD ou clef USB : http://forum.malekal.com/booter-sur-dvd-t9447.html
  • Lancer le Terminal à partir du menu K
  • Dans la fenêtre noire, saisir : windowsunlocker.

en vidéo :

 

Afin d’optimiser les chances de nettoyage, il faut supprimer les fichiers malicieux.
Clicquez sur le menu K et lancer le gestionnaires de fichiers.

  • Si vous êtes sur Windows XP : Allez dans le dossier C:\Documents and Settings => votre session => Application Data, vous devez y trouver un ou plusieurs dossiers avec une lettre majuscule et 3/4 lettres en minuscules aléatoires.
  • Si vous êtes sur Windows Vista/Seven : Allea dans le dossier C:\Users => votre session => AppData => Roaming, vous devez y trouver un ou plusieurs dossiers avec une lettre majuscule et 3/4 lettres en minuscules aléatoires.

 

Ces dossiers contiennent le fichier de l’infection, une suite de lettre et de chiffres.
Supprimer le ou les dossiers en question.

Allez ensuite dans le dossier system32 de Windows (si vous êtes sur Windows Vista/Seven en 64bits, allez dans le dossier SysWow64 de Windows).
Cliquez sur le menu Affichage et cocher la case « Afficher les fichiers cachés ».
Allez aussi dans le mode d’affichage et mettez détails.

Cliquez en haut à droite sur la colonne Date afin de trier la liste par ordre croissant (des fichiers/dossiers plus récents au plus anciens).
Vous devez aussi y trouver le fichier malicieux avec la suite de lettres et de chiffres, supprimer le.
Supprimer aussi les fichiers winshXX

Microsoft Standalone System Sweeper Tool

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.
Cela peux être pratique dans le cas où Windows est bloqué notamment par des ransomwares / Trojan.Winlock.

Microsoft Standalone System Sweeper Tool est téléchargeable depuis ce lien : http://connect.microsoft.com/systemsweeper

Tutoriel Microsoft Standalone System Sweeper Tool : http://forum.malekal.com/microsoft-standalone-system-sweeper-tool-t36850.html

  • Télécharger le programme et le lancer
  • Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.
  • Lorsque la clef USB ou le CD est prêt : Redémarrer l’ordinateur et modifier la séquence de démarrage : http://forum.malekal.com/booter-sur-dvd-t9447.html
  • Laissez le Scan s’opérer
  • A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».
  • Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquer.

Autre CD Live

Pour les pros : Depuis OTLPE, vous pouvez aussi accéder à la ruche Software_on_C puis Microsoft => Microsoft => Windows NT => CurrentVersion => Winlogon
Vous pouvez alors éditer la clef Userinit, vous devez avoir C:/Windows/system32/userinit.exe,C:/WINDOWS/system32/C21B66A894573D7F355A.exe

La partie malicieuse est ,C:/WINDOWS/system32/C21B66A894573D7F355A.exe qu’il faut supprimer en laissant la virgule : C:/Windows/system32/userinit.exe,C:/WINDOWS/system32/C21B66A894573D7F355A.exe
afin de n’avoir que C:/Windows/system32/userinit.exe,

La clef UserInit en temps normal :

 

Remettre les clefs SafeBoot

Télécharger et executer :  http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

Après la désinfection – Tres important

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares et pour filtrer les régies de publicités qui distribuent des malvertising, vous pouvez installer HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

 

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

 

Debut Avril – EDITION du billet : prise en otage des documents

La nouvelle variante prend en otage les documents sur le bureau et dans le dossier Documents.
Ces derniers ne sont plus utilisables.
Un prefixe locked- est ajoute ainsi qu’un sufixe de quelques lettre.

Exemple :

locked-cports.exe.wify
locked-HiJackThis.exe.vpdm
locked-liste.txt.hyst
locked-N?nuphars.jpg.kvtf
locked-Procmon.exe.rrfn
locked-readme.txt.pvtl
locked-v4omn0r8.exe.kgye
locked-go.cmd.darl
locked-Index of -malwares.url.ejre
locked-mbr.exe.rysr
locked-OTL.exe.fahf
locked-prout.txt.vinq
locked-Thumbs.db.llab

Pour le moment aucune solution n’est disponible.
Un dropper est disponible : http://www3.malekal.com/malwares/index.php?hash=c3ca822c0d8c1abffda67fcf6264336e

 

TCP_MISS/200 366 GET http://minkolow4.com/dy797CDFddd.php?id=4043B68C4B4A414E014B&cmd=geo – DIRECT/188.190.98.231 text/html
TCP_MISS/200 571638 GET http://minkolow4.com/dy797CDFddd.php?id=4043B68C4B4A414E014B&cmd=img – DIRECT/188.190.98.231 text/html
TCP_MISS/200 332 GET http://minkolow4.com/dy797CDFddd.php?id=4043B68C4B4A414E014B&cmd=lfk&data=z9AEZwynvP0RZYlS5c1Ej%2FDfvmYOGRMd%2Bl0A – DIRECT/188.190.98.231 text/html

EDIT Fin Avril – Fix Dr.Web – matsnu1decrypt

Bonne nouvelle Dr. Web a mis au point un fix pour récupérer les fichiers.

Pour que cela fonctionne, vous devez au moins un des fichier original qui a été crypté et sa version cryptée.

Lancer le fix et cliquez sur Continuer.
Le fix vous demande la version non cryptée du document, indiquez lui.

puis le fix demande la version cryptée.

Le fix rétablit ensuite les fichiers en les recopiant.

EDIT – 4 Mai 2012

Kaspersky a sorti son tool RannohDecryptor : http://support.kaspersky.com/faq/?qid=208286527

Le principe est le même il faut fournir un fichier original et son équivalent crypté.
Le fichier original doit faire 4Mo au minimum.

En premier,  RannohDecryptor demande le fichier sain.

puis son équivalent crypté

et la décryptage s’effectue.

NOTE dans les paramètres, il est possible de faire supprimer les fichiers locked :

 EDIT – version italienne

une version italienne est disponible : http://forum.malekal.com/virus-locked-t37705.html#p294154

Virus Gendarmerie version italienne

 

Le fix de Kaspersky ne doit pas fonctionner pour débloquer cette variante – Avira a sorti un fix : http://www.avira.com/en/support-for-business-knowledgebase-detail/kbid/1253

EDIT – 10 Juillet 2012 : la variante précédente revient en France via une campagne par email => http://www.malekal.com/2012/07/10/trojan-trustezeb-ransomware-virus-coder-de-windows/

EDIT – 2 Août : Nouvelle campagne avec Windows Anytime Upgrade : http://www.malekal.com/2012/08/02/windows-anytime-upgrade-ransomware-lock-files/