Ransomware ukash bootkitlock2.gen32 : Votre ordinateur ne peut pas être allumé

Un nouveau ransomware – Au démarrage, on obtient le message suivant :

Votre ordinateur ne peut pas être allumé. Vous travaillez dans le domaine BIOS de l’antivirus BIOS Antivirus Protection. Votre ordinateur est infecte par le virus Bootkitlock.gen32. Au cours de 5 heures votre HDD (disque dur) sera formate, toutes les données seront perdues sans aucune chances d’être rétablies. C’est une nouvelle génération de virus. Il est impossible de les prévenir, on peut seulement les enlever e l’aide de certains antivirus. Si vous ne voulez pas perdre toutes les données, vous, vous avez besoin d’acheter la version complete de l’antivirus BIOS Antivirus Protection. Vous ne pourrez pas faire marcher Windows avant que vous ne l’enleviez pas le virus.

Ransomware bootkitlock.gen32

Récupération des données

 

Premièrement, vous n’aurez aucune aide en commentaire ce billet. Si vous voulez de l’aide, il faut aller sur le forum : http://forum.malekal.com
Deuxièment, la procédure est assez complexe, il est recommandé de se faire aider par un ami qui s’y connait en informatique.

Le malware réécrit le MBR pour faire booter le PC sur le code malicieux ET SURTOUT modifie la table de partition, celle-ci devient illisible depuis des CD Live ou autre.

Un dir depuis la console de récupération de Windows retourne une erreur : Une erreur s’est produite lors de l’énumération du répertoire.

Un fdisk depuis un CD Live Linux retourne une erreur sur la partition : Cela ne ressemble pas à une table de partition
et des erreurs de cylindres : La partition 1 ne se termine pas sur une frontière de cylindre.
Le programme Testdisk permet de corriger la table de partition, une fois que celle-ci est corrigée, il faut réécrit le MBR pour rendre le PC à nouveau bootable vers Windows.

Ce dernier réécrit le MBR et surtout modifie la partition principale rendant la lecteur des données impossibles depuis un live CD ou autre.

Réécrire la table de partition avec Testdisk

Une liste de CD Live embarquant TestDisk : http://www.cgsecurity.org/wiki/TestDisk_Livecd
Dans le cas ici, j’ai utilisé Ultimate Boot CD : http://www.ultimatebootcd.com

Il faut graver l’image (ISO), vous pouvez utiliser IMGBurn par exemple puis booter sur le CD.
Le programme WintoFlash permet de mettre le “CD” sur Clef USB (pas testé) : http://forum.malekal.com/otlpe-sur-clef-usb-via-wintoflash-t35312.html

Une fois sur le CD, choisissez FileSystem Toolsjh

Ransomware bootkitlock.gen32

puis Partition Tools
Ransomware bootkitlock.gen32
et enfin TestDisk
Ransomware bootkitlock.gen32
Là j’ai pris le 3, mais vous pouvez tenter le 1 si ça ne fonctionne pas.
Ransomware bootkitlock.gen32
Dans tous les cas, j’ai eu des messages d’erreur, faire OK à chaque fois, si c’est le cas.
Ransomware bootkitlock.gen32

Si tout va bien, Test disk démarre. Vous avez les actions (ci-dessous Proceed et Quit) en bas que vous pouvez changer à partir des flèches gauche et droite du clavier.
On valide une action avec la touche Entrée.

Ransomware bootkitlock.gen32
Prendre Intel
Ransomware bootkitlock.gen32
Choisir Analyse :
Ransomware bootkitlock.gen32
La liste des partitions s’affichent, prendre la première qui doit avoir une étoile.
Ransomware bootkitlock.gen32
La partition principale, la touche P devrait vous lister vos fichiers (oui ils sont vivants !)
Faire entrée.
Ransomware bootkitlock.gen32
Sélectionnez Write et valider et répondre Yes (Y) à la question suivante :
Ransomware bootkitlock.gen32
Ransomware bootkitlock.gen32
Vous devriez avoir un message en anglais vous indiquant que les effets seront pris au prochain démarrage.
Ransomware bootkitlock.gen32
La partition est maintenant valide.
Vous devez pouvoir y accéder par exemple pour récupérer vos fichiers depuis un CD Live , voir le tuto : http://www.malekal.com/2010/11/12/recuperer-ses-donnees-a-partir-dun-cd-live-gnulinux/

Pour rendre Windows fonctionnel, il faut réécrire le MBR.

Windows Vista ou Seven

Vous devez démarrez depuis le DVD de Windows, puis faire réparer l’ordinateur et sur les options de récupération système, prendre réparation du démarrage.
Voir la fin du paragraphe de la page suivante pour plus d’informations : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

réparer démarrage Windows

Pour Windows XP

Iil faut démarrer sur la console de récupération depuis le CD de Windows, se reporter à la page : http://www.malekal.com/2010/11/12/installer-et-utiliser-la-console-de-recuperation/#mozTocId892524

Une fois sur la console de récupération, passer la commande fixboot puis fixmbr.
Saisir la commande exit pour sortir, l’ordinateur devrait redémarrer sur Windows.

Ransomware bootkitlock.gen32

Je n’ai aucun CD !

Le programme SuperGrub permet de réécrire le MBR, l’ISO est téléchargeable depuis ce lien : http://download2.berlios.de/supergrub/super_grub_disk_0.9799.iso

Une fois dessus, prendre Win => MBR & !Win!

Après Désinfection – Très Important

Si vous avez été infecté – pour ne pas se faire infecter le coup prochain, maintentez vos logiciels à jour :

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se reporter au billet : Sécuriser Firefox

EDIT 23 MAi

Autre variante intitulée Antivirus HardDiskRepair v2.2 : http://www3.malekal.com/malwares/index.php?hash=d3bb67993b2dfffebd818d356fec7637

MBRLock : Antivirus HarDisk Repair

(Visité 140 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel Windows Update MinitoolSécuriser Mozilla Firefox

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com