Ransomware Reveton (autre variante)

Une autre variante de Reveton.
Grace à ce topic : http://forum.malekal.com/virus-blackhole-exploit-kit-sur-mon-site-t44718.html#p352270 – sample : http://malwaredb.malekal.com/index.php?hash=d6fba8ade46b5dc07cbe070fa7b789cc

J’ai pu choper une variante.

La page de blocage a un peu changé, puis qu’on retrouve maintenant le logo HADOPI.
Menottes grises.

Flimrans_V2_suite_blocage

Ce dernier se charge donc via des sites hacké comme expliqué sur ce sujet : Reveton.

Flimrans_V2

Un .reg est chargé afin de remplacer le contenu de la clef : HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Filmrans_V2_suiteFilmrans_V2_suite2

Depuis le CD Live Malekal : http://www.malekal.com/2013/02/22/malekal-live-cd/
On retrouve les fichiers malicieux avec des noms aléatoires dans Application Data du dossier All Users (ou Public sur Vista/Seven), vous pouvez les supprimer :

Flimrans_V2_suite5

Passez un coup de RogueKiller en suppression, cela va supprimer la clef Run :
Filmrans_V2_suite4

via le Remote Regedit :

Flimrans_ransomware_Office_central_lutte_regedit
On retrouve le contenu malicieux qui pointe vers les fichiers dans la clef ServiceDll de HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Double-cliquez, effacez et remettez :

%SYSTEMRoot%\system32\wbem\WMIsvc.dll

Flimrans_V2_suite3

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 11 times, 1 visits today)

2 thoughts on “Ransomware Reveton (autre variante)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *