DirtyDecrypt et Virus Police : Ministère de l’intérieur

Merci à malware.lu pour le sample.

Une variante du virus Police/gendarmerie, avec en titre « Ministère de l’intérieur » : Votre fournisseur d’accès à Internet est bloqué.
Des images pornograhiques sont aussi affichées.

Note : Rien à voir avec les variantes Reveton.

Ransomware_virus_interieur Ransomware_virus_interieur2 Ransomware_virus_interieur3 Ransomware_virus_interieur4 Ransomware_virus_interieur5

J’ai finalement pu trouver comment il se propage par faux codec en proposant Adobe Flash :

DirDecrypt_FauxCodec DirDecrypt_FauxCodec2

 

Le malware se lance par une clef Run et F21, donc actif en mode sans échec.

Ransomware_virus_interieur_DirtyDecrypt2
Cette variante lance un programme DirtyDecrypt qui peux chiffrer vos documents, quelques sujets sur les forums en rapport :

Les documents sont remplacés par l’image ci-dessous :

Ransomware_virus_interieur_DirtyDecrypt_blocage

Malware.lu est en train d’étudier si une possibilité de récupération des documents est possible.
J’éditerai ce billet en conséquence.

Désinfection

Si vous avez la main :

Au démarrage de Windows, vous pouvez obtenir le message ci-dessus, cela permet de gagner la main sur Windows.
Ne touchez pas à cette fenêtre.
Ransomware_virus_interieur_DirtyDecrypt

 

  • Télécharger sur le bureau http://forum.malekal.com/roguekiller-t29444.html (suivre le lien officiel)
  • !!! ATTENTION !! Sur la page de RogueKiller – « Prendre Lien de téléchargement » – avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
  • Quitter tous les programmes
  • Lancer RogueKiller.exe.
  • Attender que le Prescan ait fini …
  • Lancer un scan afin de débloquer le bouton Suppression à droite.
  • Clicquer sur Suppression.
  • Copier/coller le contenu du rapport ici

Faire ensuite un scan Malwarebyte :

Restauration du système

Autre solution par une restauration du système.

Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263

http://www.youtube.com/watch?feature=player_embedded&v=bpp2x88ys7E

Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

CD Live Malekal

Démarrer le PC infecté sur le CD Live Malekal.
Lancer un scan RogueKiller, puis faire Suppression à droite.
Redémarre l’ordinateur, vous devriez être débarrassé du ransomware.

Se reporter à la page : http://www.malekal.com/2013/02/22/malekal-live-cd/

EDIT – 13 Avril 2014

La méthode de chiffrage a un peu changé.
Les fichiers sont modifiés en y ajoutant l’extension .enc (en réalité .enc.rtf mais si on masque l’affichage des extensions, on ne verra que .enc)

fichier_chiffre_enc Lorsque l’on double-clic sur le fichier, on obtient le message ci-dessous :fichier_chiffre_enc2

 

EN] The file is encrypted
To decrypt the file, follow these steps:
1. Disable antivirus (and firewall) installed on your computer
2. Enable internet connection
3. Unpack the archive C:\Documents and Settings\Mak\Local Settings\Application Data\AYTKFopV\LpBYCetr.zip (or archive with the same name on your desktop). Password eNDRaKlP
4. Run the unzipped pelbQiFi.exe
5. Enter the correct code voucher Ukash, Paysafecard or MoneyPack
6. Do not restart the computer. Expect complete decoding
[FR] le fichier est crypt
Pour déchiffrer le fichier, procédez comme suit:
1. Désactiver l'antivirus (et pare-feu) installé sur votre ordinateur
2. Activer connexion internet
3. Décompressez l'archive C:\Documents and Settings\Mak\Local Settings\Application Data\AYTKFopV\LpBYCetr.zip (archiver avec le même nom sur votre bureau). Mot de passe eNDRaKlP
4. Exécutez le fichier pelbQiFi.exe décompress
5. Entrez le code coupon correct Ukash, Paysafecard ou MoneyPack
6. Ne redémarre pas l'ordinateur. Attendez décodage complet
[DE] Die Datei ist verschlüsselt
Um die Datei zu entschlüsseln, gehen Sie folgendermaßen vor:
1. Deaktivieren Sie Antivirus-(und Firewall) auf Ihrem Computer installiert
2. Aktivieren Sie Internet-Verbindung
3. Entpacken Sie das Archiv C:\Documents and Settings\Mak\Local Settings\Application Data\AYTKFopV\LpBYCetr.zip (archivieren mit dem gleichen Namen auf dem Desktop). Passwort eNDRaKlP
4. Die entpackte pelbQiFi.exe
5. Geben Sie den richtigen Code Gutschein Ukash, Paysafecard oder MoneyPack
6. Starten Sie den Computer nicht. Erwarten Sie komplette Dekodierung

Attention, La procédure donnée va en réalité réinstallé la page de blocage « Ministère de l’intérieur » afin de forcer à payer la rançon.
Actuellement, il n’y a pas de solution pour récupérer ses documents.
Vous pouvez tenter, si vous êtes au minium sur Windows Vista, les versions antérieures : http://forum.malekal.com/windows-versions-precedentes-fichiers-t46739.html ou un logiciel de récupérations de fichiers.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 84 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *