Documents .encrypt – Microsoft Licensing Service Center

Vu là : https://forum.malekal.com/virus-encrypt-photo-microsoft-bitlocker-t44400.html

La page de blocage  – cette dernière se fait passer pour Microsoft Licensing Service Center.
Microsoft_Licensing_Service_Center Microsoft_Licensing_Service_Center2

1377008895.324 48 192.168.1.12 TCP_MISS/304 272 GET http://www.microsoft-code.com/PCS/ – DIRECT/79.170.40.162 –
1377008895.554 492 192.168.1.12 TCP_MISS/200 283 GET http://microsoft-code.com/stats.php – DIRECT/79.170.40.162 text/html
1377008936.368 55 192.168.1.12 TCP_MISS/403 839 GET http://eloise013.olympe.in/external – DIRECT/46.105.118.15 text/html

Le malware se charge par une simple clef Run – il n’est donc pas actif en mode sans échec.

Microsoft_Licensing_Service_Center4

La suppression du malware ne pose pas de problème :

Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, <gras>choisis Mode sans échec avec prise en charge du réseau</gras> et appuye sur la touche entrée du clavier.

Télécharge et installe Malwarebyte : https://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté – puis bouton supprimer sélection pour tout supprimer.

Cependant les documents sont chiffrés et l’extension .encrypt est ajoutée :
Microsoft_Licensing_Service_Center3

Je vais voir si on peux décrypter.
Le tout fait penser à un malware fait dans un garage par un francophone.

http://malwaredb.malekal.com/index.php?hash=cc3719de0685bd35f0a66645b1383f83
https://www.virustotal.com/fr/file/5b01531d8ca5bef724d2a877cc651a5ff256ab51df92fc11e3f1b10395e6a80b/analysis/1377007843/

SHA256: 5b01531d8ca5bef724d2a877cc651a5ff256ab51df92fc11e3f1b10395e6a80b
Nom du fichier : updater.exe
Ratio de détection : 16 / 44
Date d’analyse : 2013-08-20 14:10:43 UTC (il y a 1 minute)

Comodo UnclassifiedMalware 20130820
DrWeb Trojan.DownLoader8.28125 20130820
Fortinet W32/Agent.XIQH!tr 20130820
Ikarus Trojan.Win32.Agent 20130820
Kaspersky Trojan.Win32.Agent.xiqh 20130820
McAfee Artemis!CC3719DE0685 20130820
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.O 20130820
NANO-Antivirus Trojan.Win32.Agent.bmsnvz 20130820
Norman Agent.ARCRS 20130820
nProtect Trojan/W32.Agent.2293942 20130820
Panda Trj/CI.A 20130820
SUPERAntiSpyware Adware.Vundo/Variant-MSFake 20130820
Symantec WS.Reputation.1 20130820
TheHacker Trojan/Dropper.Agent.ejd 20130820
TrendMicro-HouseCall TROJ_GEN.R0WH1D9 20130820
VBA32 Trojan.Agent 20130820

(Visité 81 fois, 1 visites ce jour)

Vous pouvez aussi lire...