Kovter : Ransomware Fake Police

EDIT : La famille Kovter a changé et n’est plus un ransomware mais un Trojan Kovter passé en mode ‘fileLess’, plus renseignement sur la page : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit

 

Kovter est un ransomware Fake police pas vraiment nouveau puisque j’en parlais déjà sur ce topic : http://www.malekal.com/2013/09/27/13323/
Ce dernier ne visait pas la France jusqu’à aujourd’hui (chanceux que nous sommes !) (merci à http://malware.dontneedcoffee.com/2013/10/kovter-even-more-abominable-also-add.html pour l’info).

Kovter se propage par des malvertisings sur les sites pornographiques, il est notamment présent sur pornerbros.com / x3xtube.com et amateurdumper.com
Je vous conseille donc d’éviter ces sites WEB.

Une fois le malware installé sur le système ce dernier va ouvrir des pages WEB avec du contenu pédopornographiques.
Lorsque l’utilisateur va redémarrer le PC, la page de blocage va s’ouvrir.

Kovter_ransomwareKovter_ransomware2

La page de blocage reprends un skin précédemment utilisé par Reveton => http://www.malekal.com/2012/10/26/ransomware-reveton-variante-ministere-de-linterieur/

On trouve les logos de l’ANSSI, Gendarmerie Nationale et Police Nationale et le titre : Votre ordinateur est bloqué en raison de soupçons de téléchargement et de distribution du contenu illégale.
Surtout on retrouve un cadre avec le site pornographique visitée et les photos pédopornographiques précédemment ouverts sur l’ordinateur.
Il y a donc de fortes de chances que cela ait un impact psychologique fort.

Kovter_ransomware3

(source : http://malware.dontneedcoffee.com/2013/10/kovter-even-more-abominable-also-add.html)

Information techniques sur le malware Kovter

Le dropper injecte le processus système svchost.exe afin de pouvoir effectuer les opérations souhaitées.
Ce dernier commence par ajouter des policies pour empécher l’utilisation du gestionnaire de tâches et de l’éditeur du registre.
Une clef Run est créée et la clef Shell (en HKM) est modifiée pour charger le malware à l’emplacement : C:/Documents and Settings/Mak/Local Settings/Application Data/KB5911495/KB5911495.exe

Kovter_drop4
Kovter_drop
Kovter_drop2 Kovter_drop3  

 

Désinfection

Restauration du système en invite de commandes en mode sans échec (toutes versions)

Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263

http://www.youtube.com/watch?feature=player_embedded&v=bpp2x88ys7E

Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

RogueKiller en invite de commandes en mode sans échec (Windows Vista/Seven – toutes variantes)

Désinfection par RogueKiller en invite de commandes en mode sans échec par clef USB.
Suivre ce tutorial : http://www.malekal.com/2012/01/10/virus-hadopi-gendarmerie-office-central-lutte/

CD Live Malekal

Démarrer le PC infecté sur le CD Live Malekal.
Lancer un scan RogueKiller, puis faire Suppression à droite.
Redémarre l’ordinateur, vous devriez être débarrassé du ransomware.

Se reporter à la page : http://www.malekal.com/2013/02/22/malekal-live-cd/

Live_CD_Malekal_RogueKiller

CD Live Kaspersky

Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution.
Vous devez graver le CD et Booter dessus, tout ceci est expliqué sur la page suivante : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Le principe étant de graver le CD Kaspersky sur un CD ou mettre sur clef USB.
Redémarrer l’ordinateur et changer la séquence de démarrage http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.

Cliquez sur le menu pour obtenir le Terminal

Kaspersky Windows Unlocker

Dans la fenêtre noire, saisir windowsunlocker (respecter la casse) :

Kaspersky Windows Unlocker

Lorsque vous lancez Kaspersky Unlocker, repérez le fichier donné en suspicious modification.
Dans l’exemple ci-dessous :  C:\Documents and Settings\Mak\Application Data\flint4ytw.exe

En vidéo : http://www.youtube.com/watch?v=7Jn6yKH2r1w

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 37 times, 1 visits today)

2 thoughts on “Kovter : Ransomware Fake Police

  1. Un de mes client a eu un virus hier qui affichait la dernière capture d’écran.mais Impossible à éliminer, Pas de restauration, pas de gestionnaire des taches et RogueKiller laissait une « chose » (que je n’ai pas notée), qui n’était pas une clé. La clé Shell « habituellement » changée était bonne. En bref, aucune des méthodes n’a été efficace. Et pas de fichier skype, dat….Une idée ?

  2. 2 years agoI just tried Avira, Emisoft, and Bitdefender on a computer that had the TDSS rtiokot on it. None of them could get rid of it. I then used Kaspersky and it got rid if it. Good job Kaspersky!Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *