Ransomware version “Kbot”

Après le ransomware “surveys” – Mes “amis” de Kbot se mettent aux ransomwares fake police : Office Central de la Lutte contre la Criminalité liée aux technologies de l’information et de la communication.

Kbot_Ransom

 

Le ransomware en question se lance par une simple clef Run:

O4 – HKLM\..\Run: [Windows Defender] C:/Documents and Settings/Kevin\Application Data/WinDefender/WinDefender.exe
O4 – HKCU\..\Run: [Windows Defender] C:/Documents and Settings/Kevin\Application Data/WinDefender/WinDefender.exe

Le mode sans échec est fonctionnel, vous pouvez donc redémarrer en mode sans échec et lancer par exemple RogueKiller pour supprimer le malware.

Kbot_Ransom2

Un petit bug, il faut redémarrer la session pour que le ransomware se lance “bien”.
Kbot_Ransom3

et hoo le message (ça change des nikoumouk etc).
Sans surprise, des français.
Hello khant (allemand?), Lloyd, pins, inex 🙂
Kbot_Ransom5

 

 

La machine est aux Pays-Bas : http://94.102.63.221/amende/pages/FR.php
Surement parce qu’OVH se met à fermer les machines trop rapidemment 🙂

Ha oui… avant de me prendre un autre DoS – j’ai informé mon contact à la Gendarmerie qui n’apprécie pas trop les ransomwares dernièrement => http://stopransomware.fr/

Kbot_Ransom6

DoS_Kbot

(Visité 82 fois, 1 visites ce jour)

Vous pouvez aussi lire...