Ransomware « Trojan.Casier » Panel

Casier est un ransomware qui se ballade depuis quelques temps, la fiche est sur cette page : https://www.malekal.com/2012/07/07/ransomware-sur-votre-ordinateur-est-infecte/ et chez botnets.fr : https://www.botnets.fr/index.php/Casier

Le nom vient du message qui stipulait que le PC était soit disant infecté par le cheval de troie casier :

Les connexions effectuées par le ransomware sont du type:

POST http://host.tld/price.php
GET http://host.tld/gate.php?uid={uid}&user={user}&os={id}
GET http://host.tld/pics/FRTujP.dat
GET http://host.tld/pics/FRBukF.dat

J’en avais parlé là : https://www.malekal.com/2012/07/07/malvertising-trafficholder-et-multi-infection-et-nouveau-ransomware/

Le fichier droppé est de la forme : C:/Documents and Settings/Mak/Local Settings/Application Data/Microsoft/Windows/899/rasmxs.exe

Aujourd’hui, je suis tombé sur une variante qui affiche le message ci-dessous, c’est à dire le même screen que cette autre variante :  https://www.malekal.com/2012/09/12/ransomware-votre-ordinateur-est-bloque/ à part qu’on a pas le bas avec les images pornographiques.

Il y avait eu sur le forum quelques cas – exemple : https://forum.malekal.com/virus-votre-ordinateur-est-bloque-t39883.html#p311184
Tous les cas parlaient de recherche Google qui redirigeaient vers des exploits sur site WEB.

Voici des captures du panel qui est assez simple.
Le nombre de machines infectées :

Les vouchers récupérés :

La gestion du panel (remise à zéro etc) :

Print Friendly, PDF & Email
(Visité 168 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet