Ransomware « Trojan.Casier » Panel

Casier est un ransomware qui se ballade depuis quelques temps, la fiche est sur cette page : http://www.malekal.com/2012/07/07/ransomware-sur-votre-ordinateur-est-infecte/ et chez botnets.fr : https://www.botnets.fr/index.php/Casier

Le nom vient du message qui stipulait que le PC était soit disant infecté par le cheval de troie casier :

Les connexions effectuées par le ransomware sont du type:

POST http://host.tld/price.php
GET http://host.tld/gate.php?uid={uid}&user={user}&os={id}
GET http://host.tld/pics/FRTujP.dat
GET http://host.tld/pics/FRBukF.dat

J’en avais parlé là : http://www.malekal.com/2012/07/07/malvertising-trafficholder-et-multi-infection-et-nouveau-ransomware/

Le fichier droppé est de la forme : C:/Documents and Settings/Mak/Local Settings/Application Data/Microsoft/Windows/899/rasmxs.exe

Aujourd’hui, je suis tombé sur une variante qui affiche le message ci-dessous, c’est à dire le même screen que cette autre variante :  http://www.malekal.com/2012/09/12/ransomware-votre-ordinateur-est-bloque/ à part qu’on a pas le bas avec les images pornographiques.

Il y avait eu sur le forum quelques cas – exemple : http://forum.malekal.com/virus-votre-ordinateur-est-bloque-t39883.html#p311184
Tous les cas parlaient de recherche Google qui redirigeaient vers des exploits sur site WEB.

Voici des captures du panel qui est assez simple.
Le nombre de machines infectées :

Les vouchers récupérés :

La gestion du panel (remise à zéro etc) :