Ransomware Reveton (autre variante)

Une autre variante de Reveton.
Grace à ce topic : http://forum.malekal.com/virus-blackhole-exploit-kit-sur-mon-site-t44718.html#p352270 – sample : http://malwaredb.malekal.com/index.php?hash=d6fba8ade46b5dc07cbe070fa7b789cc

J’ai pu choper une variante.

La page de blocage a un peu changé, puis qu’on retrouve maintenant le logo HADOPI.
Menottes grises.

Flimrans_V2_suite_blocage

Ce dernier se charge donc via des sites hacké comme expliqué sur ce sujet : Reveton.

Flimrans_V2

Un .reg est chargé afin de remplacer le contenu de la clef : HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Filmrans_V2_suiteFilmrans_V2_suite2

Depuis le CD Live Malekal : http://www.malekal.com/2013/02/22/malekal-live-cd/
On retrouve les fichiers malicieux avec des noms aléatoires dans Application Data du dossier All Users (ou Public sur Vista/Seven), vous pouvez les supprimer :

Flimrans_V2_suite5

Passez un coup de RogueKiller en suppression, cela va supprimer la clef Run :
Filmrans_V2_suite4

via le Remote Regedit :

Flimrans_ransomware_Office_central_lutte_regedit
On retrouve le contenu malicieux qui pointe vers les fichiers dans la clef ServiceDll de HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Double-cliquez, effacez et remettez :

%SYSTEMRoot%\system32\wbem\WMIsvc.dll

Flimrans_V2_suite3

(Visité 26 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Les logiciels de nettoyage de WindowsTutoriel glasswire

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com