Ransomware Office centrale de la lutte contre la criminalité (variante 3 – Nymaim / Lyposit/Adneukine)

Merci à @kafeine pour le sample.

La semaine dernière, je signalais que la variante Reveton reprenait l’écran Office Central de Lutte contre la criminalité liée aux technologies de l’information et de la comunication initialement utilisée par la variante Urausy => https://www.malekal.com/2013/04/02/reveton-reprends-les-skins-durausy-virus-hadopi/

Voici une troisière variante, comme vous pouvez le constater, celle-ci utilise utilise une ancienne version d’un skin et ne comporte pas le logo Hadopi (qui sera peut-être ajouté plus tard).
Cette variante se caractérise surtout par l’ajout de photo pornographique avec des enfants ou des animaux histoire de faire peur.

(Si l’écran ci-dessus ne correspond pas à ce que vous avez, alors vous avez une autre variante. Pour avoir la liste des autres variantes, se reporter à la page suivante : https://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/)

Office_Central_Lutte_Criminalite_technologies_information_communication

Variante Nymaim :

Cette variante modifie la clef Shell et la remplace par un fichier mcafee.ini ce qui donne donc :

  • C:/Documents and Settings/Mak/Application Data/mcafee.ini ? (Windows XP)
  • C:\Users\Mak/App Data/Roaming/mcafee.ini ? (Windows Vista / Seven / 8 )Office_Central_Lutte_Criminalite_technologies_information_communication2

Variante Lyposit/Adneukine : http://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html

Même chose, c’est la clef Shell qui est touchée avec une nom de fichier aléatoire.

Shell_Lyposit

Nymaim_clefShell

Cette variante vide aussi les points de restauration, la restauration en invites de commandes en mode sans échec est donc impossible.
Office_Central_Lutte_Criminalite_technologies_information_communication3

RogueKiller s’en charge depuis le CD Live Malekal : Office_Central_Lutte_Criminalite_technologies_information_communication4

Une autre solution consiste à :

  • Toujours à partir du CD Live de copier le fichier explorer.exe à la place du fichier mcafee.ini ainsi le bureau sera chargé à la place du malware. Après avoir redémarré sur Windows, il faut restaurer la clef Shell, RogueKiller devrait s’en charger.
  • Restaurer la clef Shell depuis un CD Live en remattant explorer.exe (avec rien d’autres).

Lancer Remote Regedit

Office_Central_Lutte_Criminalite_technologies_information_communication5

Les clefs shell se trouvent dans :
HKEY_LOCAL_MACHINE/SOFTWARE_ON_C/Microsoft/Windows NT/CurrentVersion/Winlogon
Ceci modifie le shell pour tous les utilisateurs, donc plutôt pour les utilisateurs de Windows XP.
Pour Windows Vista/Seven/8, dû à l’UAC, il y a plutôt des chances qu’il y est qu’une session de touchée.

A ce moment là, il faut regarder dans :
HKEY_USERS/NOMSESSION_ON_C/Microsoft/Windows NT/CurrentVersion/Winlogon
Exemple ci-dessous avec une session Robert :
Office_Central_Lutte_Criminalite_technologies_information_communication6 Office_Central_Lutte_Criminalite_technologies_information_communication7

 

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => https://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => https://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Print Friendly, PDF & Email
(Visité 254 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet