Ransomware : Sur votre ordinateur est infecté!

Un nouveau ransomware qui imite un message de Windows.
Comme d’habitude ce dernier se propage par des malvertising sur des sites pornographiques en autre et infecté l’ordinateur via des exploits sur site WEB.
Voir notamment le billet sur TrafficHolder : http://www.malekal.com/2012/07/07/malvertising-trafficholder-et-multi-infection-et-nouveau-ransomware/

Le message est sur : Sur votre ordinateur est infecté!

Votre ordinateur est infecté par cheval de Troie fenêtre casier

 

Ce dernier se lance par une simple clef Run, l’infection n’empeche pas de redémarrer en mode sans échec.

O4 – HKLM\..\Run: [rasmxs] C:\Documents and Settings\Mak\Local Settings\Application Data\Microsoft\Windows\899\rasmxs.exe

 

Malvertising

L’infection est propagée par des exploits sur site WEB et notamment via des malvertising sur les sites pornographiques.

popander.mobi qui redirige vers le TDS hébergé sur all-mp3search.com (62.75.246.122)

qui redirige vers http://149.154.69.119/index.html pour charger l’exploitkit

wuauclt.exe injecté qui installe le ransomware.

https://www.virustotal.com/file/d5ebcd5d95b09d48532a5d82833ba58670f6438878b7d43047e8f7b5155fa278/analysis/ 

=> http://www3.malekal.com/malwares/index.php?hash=f3b37ec88b279cb6f6a10df5104543c1 

SHA256: d5ebcd5d95b09d48532a5d82833ba58670f6438878b7d43047e8f7b5155fa278
File name: wHoKJb
Detection ratio: 13 / 42
Analysis date: 2012-07-21 12:46:52 UTC ( 1 minute ago )

Avast Win32:Kryptik-JIB [Trj] 20120721
AVG Win32/Cryptor 20120721
BitDefender Gen:Variant.Kazy.81900 20120721
ESET-NOD32 a variant of Win32/Kryptik.AISQ 20120721
F-Prot W32/Falab.F10.gen!Eldorado 20120720
F-Secure Gen:Variant.Kazy.81900 20120721
Fortinet W32/Kryptik.AB!tr 20120721
GData Gen:Variant.Kazy.81900 20120721
Kaspersky Trojan-Dropper.Win32.Dapato.bmxy 20120721
Norman W32/Kryptik.BQJ 20120721
Panda Trj/CI.A 20120721
Symantec WS.Reputation.1 20120721

http://popander.mobi/[..] (78.140.138.133 -NL)
http://all-mp3search.com/
http://all-mp3search.com/in.cgi?2
http://149.154.69.119/index.html
http://opportunitiespriceline.org:8282/paMDql?wgdhm=4
http://opportunitiespriceline.org:8282/27
http://opportunitiespriceline.org:8282/27
http://segwaysbiblion.org:8282/wHoKJb?expid=13&fid=26 (91.235.128.68)

 

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Au redémarrage vous pouvez obtenir votre bureau sans icône et le clic droit qui ne fonctionne pas.

  • Télécharger RogueKiller
  • Après le pre-scan, Lancer un Scan par le bouton Scan à droite.
  • Le bouton Suppression devrait être dégrisé. Cliquez dessus.
  • Redémarrer l’ordinateur

La vidéo suivante vous montre l’infection via un site de streaming et comment supprimer avec RogueKiller :

http://www.youtube.com/watch?v=iu-3UUw_amk

Cette infection pouvant venir d’autres malwares, il est recommandé de faire un scan Malwarebyte Anti-Malware.
Vous pouvez garder Malwarebyte Anti-Malware par la suite pour des scans réguliers, ce dernier étant très efficace (oubliez Spybot et Ad-Aware).

Après la désinfection – Tres important

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se reporter au billet : Sécuriser Firefox

Afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares et pour filtrer les régies de publicités qui distribuent des malvertising, vous pouvez installer HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

 

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 74 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *