Ransomware ukash bootkitlock2.gen32 : Votre ordinateur ne peut pas être allumé

Un nouveau ransomware – Au démarrage, on obtient le message suivant :

Votre ordinateur ne peut pas être allumé. Vous travaillez dans le domaine BIOS de l’antivirus BIOS Antivirus Protection. Votre ordinateur est infecte par le virus Bootkitlock.gen32. Au cours de 5 heures votre HDD (disque dur) sera formate, toutes les données seront perdues sans aucune chances d’être rétablies. C’est une nouvelle génération de virus. Il est impossible de les prévenir, on peut seulement les enlever e l’aide de certains antivirus. Si vous ne voulez pas perdre toutes les données, vous, vous avez besoin d’acheter la version complete de l’antivirus BIOS Antivirus Protection. Vous ne pourrez pas faire marcher Windows avant que vous ne l’enleviez pas le virus.

Ransomware bootkitlock.gen32

Récupération des données

 

Premièrement, vous n’aurez aucune aide en commentaire ce billet. Si vous voulez de l’aide, il faut aller sur le forum : http://forum.malekal.com
Deuxièment, la procédure est assez complexe, il est recommandé de se faire aider par un ami qui s’y connait en informatique.

Le malware réécrit le MBR pour faire booter le PC sur le code malicieux ET SURTOUT modifie la table de partition, celle-ci devient illisible depuis des CD Live ou autre.

Un dir depuis la console de récupération de Windows retourne une erreur : Une erreur s’est produite lors de l’énumération du répertoire.

Un fdisk depuis un CD Live Linux retourne une erreur sur la partition : Cela ne ressemble pas à une table de partition
et des erreurs de cylindres : La partition 1 ne se termine pas sur une frontière de cylindre.
Le programme Testdisk permet de corriger la table de partition, une fois que celle-ci est corrigée, il faut réécrit le MBR pour rendre le PC à nouveau bootable vers Windows.

Ce dernier réécrit le MBR et surtout modifie la partition principale rendant la lecteur des données impossibles depuis un live CD ou autre.

Réécrire la table de partition avec Testdisk

Une liste de CD Live embarquant TestDisk : http://www.cgsecurity.org/wiki/TestDisk_Livecd
Dans le cas ici, j’ai utilisé Ultimate Boot CD : http://www.ultimatebootcd.com

Il faut graver l’image (ISO), vous pouvez utiliser IMGBurn par exemple puis booter sur le CD.
Le programme WintoFlash permet de mettre le « CD » sur Clef USB (pas testé) : http://forum.malekal.com/otlpe-sur-clef-usb-via-wintoflash-t35312.html

Une fois sur le CD, choisissez FileSystem Toolsjh

Ransomware bootkitlock.gen32

puis Partition Tools
Ransomware bootkitlock.gen32
et enfin TestDisk
Ransomware bootkitlock.gen32
Là j’ai pris le 3, mais vous pouvez tenter le 1 si ça ne fonctionne pas.
Ransomware bootkitlock.gen32
Dans tous les cas, j’ai eu des messages d’erreur, faire OK à chaque fois, si c’est le cas.
Ransomware bootkitlock.gen32

Si tout va bien, Test disk démarre. Vous avez les actions (ci-dessous Proceed et Quit) en bas que vous pouvez changer à partir des flèches gauche et droite du clavier.
On valide une action avec la touche Entrée.

Ransomware bootkitlock.gen32
Prendre Intel
Ransomware bootkitlock.gen32
Choisir Analyse :
Ransomware bootkitlock.gen32
La liste des partitions s’affichent, prendre la première qui doit avoir une étoile.
Ransomware bootkitlock.gen32
La partition principale, la touche P devrait vous lister vos fichiers (oui ils sont vivants !)
Faire entrée.
Ransomware bootkitlock.gen32
Sélectionnez Write et valider et répondre Yes (Y) à la question suivante :
Ransomware bootkitlock.gen32
Ransomware bootkitlock.gen32
Vous devriez avoir un message en anglais vous indiquant que les effets seront pris au prochain démarrage.
Ransomware bootkitlock.gen32
La partition est maintenant valide.
Vous devez pouvoir y accéder par exemple pour récupérer vos fichiers depuis un CD Live , voir le tuto : http://www.malekal.com/2010/11/12/recuperer-ses-donnees-a-partir-dun-cd-live-gnulinux/

Pour rendre Windows fonctionnel, il faut réécrire le MBR.

Windows Vista ou Seven

Vous devez démarrez depuis le DVD de Windows, puis faire réparer l’ordinateur et sur les options de récupération système, prendre réparation du démarrage.
Voir la fin du paragraphe de la page suivante pour plus d’informations : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

réparer démarrage Windows

Pour Windows XP

Iil faut démarrer sur la console de récupération depuis le CD de Windows, se reporter à la page : http://www.malekal.com/2010/11/12/installer-et-utiliser-la-console-de-recuperation/#mozTocId892524

Une fois sur la console de récupération, passer la commande fixboot puis fixmbr.
Saisir la commande exit pour sortir, l’ordinateur devrait redémarrer sur Windows.

Ransomware bootkitlock.gen32

Je n’ai aucun CD !

Le programme SuperGrub permet de réécrire le MBR, l’ISO est téléchargeable depuis ce lien : http://download2.berlios.de/supergrub/super_grub_disk_0.9799.iso

Une fois dessus, prendre Win => MBR & !Win!

Après Désinfection – Très Important

Si vous avez été infecté – pour ne pas se faire infecter le coup prochain, maintentez vos logiciels à jour :

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se reporter au billet : Sécuriser Firefox

EDIT 23 MAi

Autre variante intitulée Antivirus HardDiskRepair v2.2 : http://www3.malekal.com/malwares/index.php?hash=d3bb67993b2dfffebd818d356fec7637

MBRLock : Antivirus HarDisk Repair

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 69 times, 1 visits today)

10 thoughts on “Ransomware ukash bootkitlock2.gen32 : Votre ordinateur ne peut pas être allumé

  1. Les modifications de la partition concernent-ils le système du fichier ou seulement les flags ?

    Il ne touche pas au BIOS si je comprends bien ?

    Tu as un dropper ?

    Merci pour l’info,

  2. Ché pas pour ton programme, on dirait plus un CD pour réparer Grub.
    Ce qui est certains, c’est que ça sert à rien de réparer le MBR tant que la table de partition n’a pas été réparée avant par TestDisk.

  3. i have tried disktest but then error came out saying

    warning : incorrect numbers of head/cylinder 255 (NTFS) i=240 (HD)

    the current number of heads per cylinder is 240 , the correct value may be 255

    Please help me 🙁

    i did skip the error and choose write at the end , then i restart my pc but it didnt work , even the bootkitlock2.gen32 screen didnt appear

  4. genial ! super ! merci
    j’étais infecté par bootkitlock32.gen32, une horreur, une séquestration de données, un chantage à 100 €, j’espère qu’ils vont finir au trou !!! ( on devrait les retrouver par le moyen de paiement et le mail « januariuskvok@gmail.com)
    Impossible de récupérer les données même en montant le hdd en externe sur un autre pc ou un mac ( non reconnu ou bon à formater), c’est la 1ère fois que je vois ça et ça craint !!!
    C’est récent comme rootkit car hier, 3 personnes m’ont dit avoir reçu ce truc.
    Bravo pour ton tuto,( ultimateboot cd à changé, test disk n’est pas facile à trouver)
    on écrit la nouvelle table, et on récupère le données avec un cdlive linux, bien joué, je n’ai trouvé aucune autre solution sur le web! félicitations.
    merci à toi, je vais sauver des gens … à bientôt

  5. Merci, j’ai essayé toutes vos propositions sans succès.
    J’essaie de récupéré les données avec un programme de récupération !
    On verra .

  6. Imaginez un tiroir fermé dans lequel sont stockées vos affaires.
    La serrure est cassée, à chaque tour de clé, ça tourne dans le vide.
    Vous n’y avez plus accès mais ce qui est à l’intérieur y est toujours.
    C’est à peu près ça… rassuré ? Maintenant tout va dépendre de comment
    vous allez vous y prendre : la moindre erreur peut-être fatale. C’est
    pourquoi, Malekal a indiqué qu’en cas de difficulté ou pour mettre
    toute les chances de son côté, il est recommandé de se faire aider
    par une personne expérimentée.

    Si vous n’avez pas lu ce billet, c’est le moment où jamais.
    Il y a surement une ou plusieurs réponse(s) à vos questions.
    http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/

    Quelques détails pour les curieux…

    Une nouvelle fois, ce fichier est délivré par le kit Blackhole. L’échantillon a été compilé le mercredi 22 février 2012, son poids est de ~16 Ko et cette « création » a été baptisée par son auteur: « MBRLock.exe ». La table des exports indique la présence d’une fonction nommée « Start » qui théoriquement prends 4 arguments. Les API et certaines chaines de caractères sont encodées et d’autres sont compressées à plusieurs reprises ( RtlDecompressBuffer ). Le message affiché peut être dans plusieurs langues cela dépends de la configuration de la machine. ( GetSystemDefaultLCID + GetLocaleInfoA ) Il y a français, anglais, allemand, italien et … plus rare, russe. Comme l’a mentionné Malekal, la zone amorce contient la table des 4 partitions principales du support de stockage. Le malware va ré-écrire les 512 octets du MBR et pour ne pas l’écraser de nouveau, il ajoute son marqueur qui est le byte positionné juste avant la signature. Il est interessant de noter que le programme de boot est sous une forme différente à chaque infection. ( xor aléatoire )

    Concernant les adresses, chaque échantillon contient une liste encodée:
    biosavreportriru[at]gmail.com ; rusbiosavreport[at]gmail.com ; rus3biosavreportrfr[at]gmail.com ; rus4biosavreportrfr[at]gmail.com ; rus5biosavreportrfr[at]gmail.com
    engsavereport[at]gmail.com ; engsavereport2[at]gmail.com ; engsavereport3[at]gmail.com ; engsavereport4[at]gmail.com ; engsavereport5[at]gmail.com
    desavereport[at]gmail.com ; desavereport2[at]gmail.com ; desavereport3[at]gmail.com ; desavereport4[at]gmail.com ; desavereport5[at]gmail.com
    biosavreportrfr[at]gmail.com ; biosavreportrfr2[at]gmail.com ; savreportrfr3[at]gmail.com ; savreportrfr4[at]gmail.com ; vreportrfr5[at]gmail.com
    itsavereport[at]gmail.com ; itsavereport2[at]gmail.com ; itsavereport3[at]gmail.com ; itsavereport4[at]gmail.com ; itsavereport5[at]gmail.com

    En fonction de l’échantillon, les listes sont différentes.
    Il s’agit de leurres: l’unique but étant d’obtenir la rançon.

  7. Hum, il est violent celui là…

    Mais euh… On a pas besoin d’être en mode admin pour changer la table des partitions?
    (avec l’UAC activée hein). J’ai jamais pratiqué depuis xp……

    Sinon, bon billet et ..j’adore le commentaire de StackTreak..

  8. J’ai essayé disktest mais alors d’erreur est sorti en disant

    avertissement: des chiffres incorrects de tête / cylindre 255 (NTFS) i = 240 (HD)

    le nombre actuel de têtes par cylindre est de 240, la valeur correcte peut être 255

    S’il vous plaît aidez-moi: (

    je n’ai sauter le message d’erreur et de choisir écrire à la fin, puis je redémarre mon pc, mais cela n’a pas fonctionné, même l’écran bootkitlock2.gen32 ne semble pas

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *