Ransomware Office centrale de la lutte contre la criminalité (variante 3 – Nymaim / Lyposit/Adneukine)

Merci à @kafeine pour le sample.

La semaine dernière, je signalais que la variante Reveton reprenait l’écran Office Central de Lutte contre la criminalité liée aux technologies de l’information et de la comunication initialement utilisée par la variante Urausy => http://www.malekal.com/2013/04/02/reveton-reprends-les-skins-durausy-virus-hadopi/

Voici une troisière variante, comme vous pouvez le constater, celle-ci utilise utilise une ancienne version d’un skin et ne comporte pas le logo Hadopi (qui sera peut-être ajouté plus tard).
Cette variante se caractérise surtout par l’ajout de photo pornographique avec des enfants ou des animaux histoire de faire peur.

(Si l’écran ci-dessus ne correspond pas à ce que vous avez, alors vous avez une autre variante. Pour avoir la liste des autres variantes, se reporter à la page suivante : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/)

Office_Central_Lutte_Criminalite_technologies_information_communication

Variante Nymaim :

Cette variante modifie la clef Shell et la remplace par un fichier mcafee.ini ce qui donne donc :

  • C:/Documents and Settings/Mak/Application Data/mcafee.ini ? (Windows XP)
  • C:\Users\Mak/App Data/Roaming/mcafee.ini ? (Windows Vista / Seven / 8 )Office_Central_Lutte_Criminalite_technologies_information_communication2

Variante Lyposit/Adneukine : http://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html

Même chose, c’est la clef Shell qui est touchée avec une nom de fichier aléatoire.

Shell_Lyposit

Nymaim_clefShell

Cette variante vide aussi les points de restauration, la restauration en invites de commandes en mode sans échec est donc impossible.
Office_Central_Lutte_Criminalite_technologies_information_communication3

RogueKiller s’en charge depuis le CD Live Malekal : Office_Central_Lutte_Criminalite_technologies_information_communication4

Une autre solution consiste à :

  • Toujours à partir du CD Live de copier le fichier explorer.exe à la place du fichier mcafee.ini ainsi le bureau sera chargé à la place du malware. Après avoir redémarré sur Windows, il faut restaurer la clef Shell, RogueKiller devrait s’en charger.
  • Restaurer la clef Shell depuis un CD Live en remattant explorer.exe (avec rien d’autres).

Lancer Remote Regedit

Office_Central_Lutte_Criminalite_technologies_information_communication5

Les clefs shell se trouvent dans :
HKEY_LOCAL_MACHINE/SOFTWARE_ON_C/Microsoft/Windows NT/CurrentVersion/Winlogon
Ceci modifie le shell pour tous les utilisateurs, donc plutôt pour les utilisateurs de Windows XP.
Pour Windows Vista/Seven/8, dû à l’UAC, il y a plutôt des chances qu’il y est qu’une session de touchée.

A ce moment là, il faut regarder dans :
HKEY_USERS/NOMSESSION_ON_C/Microsoft/Windows NT/CurrentVersion/Winlogon
Exemple ci-dessous avec une session Robert :
Office_Central_Lutte_Criminalite_technologies_information_communication6 Office_Central_Lutte_Criminalite_technologies_information_communication7

 

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 151 times, 1 visits today)

5 thoughts on “Ransomware Office centrale de la lutte contre la criminalité (variante 3 – Nymaim / Lyposit/Adneukine)

  1. Nouvelle version du 23/05/13,
    installe un fichier 56fo5d4c.exe dans « mes documents »,
    s’exécute au démarrage de session HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
    modifie le shell par « cmd.exe » au lieu de « explorer.exe » dans HKEY_USERS/NOMSESSION_ON_C/Microsoft/Windows NT/CurrentVersion/Winlogon
    Impossible de démarrer en mode sans echec, il faut utiliser le liveCD Malekal, Roguekiller ne voit rien, lancer remote regedit et supprimer les entrées ci-dessus et supprimer le .exe présent dans « mes documents »
    bon courage

  2. Bonjour,

    J’ai attrapé cette variante hier sur mon PC, très certainement du à mes modules Mozilla qui n’était pas mis à jour (je pense à Flash et Java notamment qui étaient obsolètes).
    J’ai suivi la procédure ci-dessus, booter sur le CD live Malekal, fais le scan avec RogueKiller ou il à été détecté puis supprimer.
    Après j’ai lancé Malwarebytes ou 3 fichiers infectés ont été détectés.
    Après sa redémarrage, tout marche nikel et j’ai bien sur mis à jour mes modules 😉
    Donc un grand merci à l’auteur de ce soft, c’est vraiment très utile, si vous avez le même souci que moi, n’hésitez pas à suivre la procédure, ça marche vraiment bien.
    Merci pour tout

  3. Bonjour,

    J »ai actuellement le dernier virus et je n »arrive a faire la procedure ci contre car je peux pas me mettre en mode sans echec. J »ai insserer ma cle usb avec le logiciel cd live malekal dans mon pc mais comment je peux faire pour l »ouvrir??

  4. même problème que les autr. Déjà envoyé message mais ne vois pas mon message sur les com’. J’espère que vous m’avez enregistré et que je recevrais bientôt un mail de vous pour m’aider à résoudre ce problème. merci d’avance.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *