Documents .encrypt – Microsoft Licensing Service Center

Vu là : http://forum.malekal.com/virus-encrypt-photo-microsoft-bitlocker-t44400.html

La page de blocage  – cette dernière se fait passer pour Microsoft Licensing Service Center.
Microsoft_Licensing_Service_Center Microsoft_Licensing_Service_Center2

1377008895.324 48 192.168.1.12 TCP_MISS/304 272 GET http://www.microsoft-code.com/PCS/ – DIRECT/79.170.40.162 –
1377008895.554 492 192.168.1.12 TCP_MISS/200 283 GET http://microsoft-code.com/stats.php – DIRECT/79.170.40.162 text/html
1377008936.368 55 192.168.1.12 TCP_MISS/403 839 GET http://eloise013.olympe.in/external – DIRECT/46.105.118.15 text/html

Le malware se charge par une simple clef Run – il n’est donc pas actif en mode sans échec.

Microsoft_Licensing_Service_Center4

La suppression du malware ne pose pas de problème :

Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, <gras>choisis Mode sans échec avec prise en charge du réseau</gras> et appuye sur la touche entrée du clavier.

Télécharge et installe Malwarebyte : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté – puis bouton supprimer sélection pour tout supprimer.

Cependant les documents sont chiffrés et l’extension .encrypt est ajoutée :
Microsoft_Licensing_Service_Center3

Je vais voir si on peux décrypter.
Le tout fait penser à un malware fait dans un garage par un francophone.

http://malwaredb.malekal.com/index.php?hash=cc3719de0685bd35f0a66645b1383f83
https://www.virustotal.com/fr/file/5b01531d8ca5bef724d2a877cc651a5ff256ab51df92fc11e3f1b10395e6a80b/analysis/1377007843/

SHA256: 5b01531d8ca5bef724d2a877cc651a5ff256ab51df92fc11e3f1b10395e6a80b
Nom du fichier : updater.exe
Ratio de détection : 16 / 44
Date d’analyse : 2013-08-20 14:10:43 UTC (il y a 1 minute)

Comodo UnclassifiedMalware 20130820
DrWeb Trojan.DownLoader8.28125 20130820
Fortinet W32/Agent.XIQH!tr 20130820
Ikarus Trojan.Win32.Agent 20130820
Kaspersky Trojan.Win32.Agent.xiqh 20130820
McAfee Artemis!CC3719DE0685 20130820
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.O 20130820
NANO-Antivirus Trojan.Win32.Agent.bmsnvz 20130820
Norman Agent.ARCRS 20130820
nProtect Trojan/W32.Agent.2293942 20130820
Panda Trj/CI.A 20130820
SUPERAntiSpyware Adware.Vundo/Variant-MSFake 20130820
Symantec WS.Reputation.1 20130820
TheHacker Trojan/Dropper.Agent.ejd 20130820
TrendMicro-HouseCall TROJ_GEN.R0WH1D9 20130820
VBA32 Trojan.Agent 20130820

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 37 times, 1 visits today)

3 thoughts on “Documents .encrypt – Microsoft Licensing Service Center

  1. Pour le moment on voit que c’est fait avec Multimedia Builder et que ca utilise le plugin de chiffrement fyeo.dll.. Pukall étant un algo symétrique on devrait pouvoir trouver la clef 🙂

  2. Purée c’est pire que je le pensais. La clef de décodage est 123456…
    OMGWTFBBQ :p
    Bon, il se fait tard je doit y aller

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *