Flimrans : Ransomware Office Central de la lutte contre la criminalité lié aux technologies

Une nouvelle variante qui fait assez mal depuis plusieurs semaines.
J’ai eu du mal à avoir un dropper fonctionnel. Je remercie Kafeine pour l’aide.

La variante affiche une page de blocage Police de type Office Central de la lutte contre la criminalité lié aux technologies de l’information et de la communication, sans les logo HADOPI contrairement à d’autres variantes : http://www.malekal.com/2012/01/10/virus-hadopi-gendarmerie-office-central-lutte/

Son petit est nom est Flimrans – La fiche sur botnet.fr : https://www.botnets.fr/index.php/Flimrans

Exemple de campagne de malvertising qui charge le malware : http://www.malekal.com/2013/05/29/en-ero-advertising-malvertising-for-flimrans-ransomware-campaign/

Flimrans_ransomware_Office_central_lutte

Une capture d’écran de l’Exploit sur Site web qui lance le malware.
Le malware est un ransomware qui va télécharger ensuite le ransomware via le processus wuauclt.exe.

https://www.virustotal.com/fr/file/0671fe7ad245405202029808400dad3965ea20dea456b558cee90da098a8538a/analysis/1369477921/

SHA256: 0671fe7ad245405202029808400dad3965ea20dea456b558cee90da098a8538a
Nom du fichier : 3730187.exe
Ratio de détection : 1 / 47
Date d’analyse : 2013-05-25 10:32:01 UTC (il y a 0 minute)

Malwarebytes      Trojan.FakeMS      20130525

Flimrans_ransomware_Office_central_lutte2
Un fichier dans Mes documents est droppé et la clef Run est créée pour l’utilisateur courant : Flimrans_ransomware_Office_central_lutte3
Flimrans_ransomware_Office_central_lutte4
La clef Shell de l’utilisateur courant est modifée vers cmd.exe
Flimrans_ransomware_Office_central_lutte5
Une DLL est aussi droppée et enregistré  : Flimrans_ransomware_Office_central_lutte6
Le malware touche donc une session en particulier.
Si vous avez plusieurs sessions, les autres ne sont pas touchées.

Le malwarare se trouve donc dans le dossier Mes Documents sous forme d’un fichier .exe et .dll aléatoire.

Le .exe :

http://malwaredb.malekal.com/index.php?hash=041550b347da1ded96956701cac7a4c9

https://www.virustotal.com/fr/file/831af342eed7820a4bdfcf893ff431f481bdc032a471aaee8be11c9e4511bedb/analysis/1369475587

SHA256: 831af342eed7820a4bdfcf893ff431f481bdc032a471aaee8be11c9e4511bedb
Nom du fichier : 139d2e78.exe
Ratio de détection : 10 / 47
Date d’analyse : 2013-05-25 09:53:07 UTC (il y a 0 minute)
Avast Win32:Malware-gen 20130525
AVG BackDoor.Generic17.JGS 20130525
Emsisoft Backdoor.Win32.Androm.AMN (A) 20130525
Fortinet W32/Moure.A!tr.dldr 20130525
GData Win32:Malware-gen 20130525
Kaspersky Backdoor.Win32.Androm.rhy 20130525
McAfee Artemis!041550B347DA 20130525
McAfee-GW-Edition Heuristic.BehavesLike.Win32.ModifiedUPX.F 20130525
TheHacker Posible_Worm32 20130524
TrendMicro-HouseCall TROJ_GEN.R47H1EP 20130525

et la DLL :

SHA256: fb46127aab4102c46324fdc6b01606b131c2e4d00f7e66dda6944a8406432082
Nom du fichier : 139d2e78.dll
Ratio de détection : 6 / 47
Date d’analyse : 2013-05-25 10:29:15 UTC (il y a 0 minute)

AntiVir TR/Crypt.ULPM.Gen2 20130525
AVG BackDoor.Generic17.JGS 20130525
Fortinet W32/Moure.A!tr.dldr 20130525
Kaspersky Backdoor.Win32.Androm.rie 20130525
Panda Suspicious file 20130525
TheHacker Posible_Worm32 20130524

 

Désinfection

Le malware fait rebooter le PC en mode sans échec sur toutes les sessions.
L’invite de commande est disponible sur les autres sessions que celles infectées.

Restauration du système en invites de commandes en mode sans échec (toutes versions)

Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263

ATTENTION : Le malware provoque le redémarrage du PC en invites de commandes en mode sans échec sur la session infectée, vous devez choisir une autre session que celle infectée.

http://www.youtube.com/watch?feature=player_embedded&v=bpp2x88ys7E

Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

RogueKiller en invites de commandes en mode sans échec (Windows Vista/Seven)

Suivre ce tutorial : http://www.malekal.com/2013/05/30/windows-vistaseven-roguekiller-en-invite-de-commandes-en-mode-sans-echec/

En invite de commandes, s’identifier sur une autre session que celle infectée.

CD Live Malekal

RogueKiller ne gère pas cette variante.

Démarrer le PC infecté sur le CD Live Malekal
Ouvrez mon ordinateur et aller dans le dosser Mes Documents de la session infectée.

Supprimer les deux fichiers .exe et .dll avec les noms aléatoires.

Flimrans_ransomware_Office_central_lutte7
Flimrans_ransomware_Office_central_lutte8

Si vous n’avez aucun fichier, allez dans le dossier Local Settings puis Temp.
Affichez les éléments par liste et cliquez sur la colonne date pour lister les éléments du plus récents au plus anciens.
Si vous avez des fichiers avec des noms aléatoires comme ci-dessus, supprimez le.

Ouvrez le menu Démarrer / System Tools / Registry et Remote Registry

Flimrans_ransomware_Office_central_lutte_regedit

A gauche déroulez l’arborescence suivante :

HKEY_USERS
\SESSIONINFECTEE_ON_C
\SOFTWARE
\Microsoft
\Command Processor
A droite supprimer la clef Autorun.

puis, déroulez ensuite :

HKEY_USERS
\SESSIONINFECTEE_ON_C
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

A droite, supprimer la clef Shell Flimrans_ransomware_Office_central_lutte9

Redémarrez l’ordinateur

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 100 times, 1 visits today)

10 thoughts on “Flimrans : Ransomware Office Central de la lutte contre la criminalité lié aux technologies

  1. Salut merci pour cette procédure, pour info je sais pas si c’est indiquer sur la fiche botnet, la webcam prend une photos, je sais pas à qu’elle moment d’ailleurs, et l’affiche dans le petit cadre en haut à droite à la place des mains menottés de l’exemple !

    Sympathique ! Encore merci !

  2. Merci pour l’info cela fait déja deux fois que je le croise et cette fois enfin je vasi réussir a le virer correctement. Il est aussi vrai que ce ransomware prend une photo avec la webcam.

    Merci encore, beau boulot comme d’habitude.

  3. Merci pour cette aide et encore merci pour le live CD, sinon pour la ligne shell pour command processor, je ne l’avais pas, juste un raccourcis de démarrage pointant sur l’exe dans mes documents », il y avait aussi un photo via la webcam^^

  4. Sans compter les nombreuses fautes sur le message « d’alerte ». Pour commencer : communication avec un seul « m », déjà pas sérieux.

    Merci pour ton travail Malekal, une mine d’or et d’informations que nous pouvons trouver sur ton site.

  5. Je ne connaissais pas la version avec le dropper et la modif du shell … encore MERCI et pourvu que ça dure !

  6. Merci pour cette info très précieuse. Je crois qu’il y a une coquille dans les copies de registre (deux fois la même vue).
    Sur l’ordi que j’ai désinfecté, avec votre excellente méthode, le shell pointait sur « Explorer.exe ».
    Encore merci pour cette mine d’informations.

  7. Bonjour,

    J’ai un de mes amis qui a eu ce virus sur 1 de ses postes de travail le 26/06.
    Le poste est sur XP SP3 dans un domaine windows. Quelque soit l’utilisateur la page identique à celle figurant plus haut apparait. J’ai tenté, dans le mode en invite de commande des tas de rootkit killer, rien à faire.
    C’est grâce à GMER que j’ai pu voir que dans la registry à cette section
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    2 programmes étaient lancés qui se trouvaient dans le répertoire temp situé dans localsetting de l’utilisateur qui avait infecté la machine.

    J’ai supprimé les sections puis tous les utilisateurs du domaine inscrit sur cette machine.
    Et là plus de virus.
    Ce qui est aussi remarquable c’est les mises à jour effectuées normalement par WSUS ne l’était pas sur cette machine. Après le retour à la normale plus de 140 mises à jour à faire.
    à bientôt
    vivement le 08/04/2014 fin de XP

  8. Variante:
    – Clé « Autorun » dans « HKEY_USERS\SESSIONINFECTEE_ON_C\SOFTWARE\Microsoft\Command Processor »
    – Fichier « xxxx.exe » et « xxxx.dll » à supprimer dans « %USERPROFILE%\AppData\Local\Temp »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *