Ransomware/Trojan.Winlock : Windows a été bloqué pour des raisons de sécurité

Merci à S!Ri pour le sample.
=> http://www3.malekal.com/malwares/index.php?hash=e9455eb1b164b212142c903acd882c6a

SHA256:	e193ac006ac4682a01bea11f7084469594e05cba917861196dd92af4a3e7bc5c
File name:	E9455EB1B164B212142C903ACD882C6A.exe
Detection ratio:	3 / 28
Analysis date:	 2012-02-02 14:40:35 UTC ( 31 minutes ago )

AVG unknown virus Win32/DH.FF8402C7{00000000-00080000-00000000} 20120202
McAfee Artemis!E9455EB1B164 20120202
McAfee-GW-Edition Artemis!E9455EB1B164 20120202

 

 

Un autre ransomware, cette fois-ci qui ne se fait pas passer pour la Police. Ici le PC est bloqué pour des raisons de sécurité suite à la visite de sites pornographiques (donc potentiellement le malware sera transmis via ces sites certainement par des exploits sur site WEB).

Le ransomware propose une mise à jour pour ne pas perdre ses données.

 

et le  système sera mis à jour, bonne nouvelle les malwares seront supprimés.
Je vous laisse juge des fautes, le message étant certainement issu d’un traducteur informatique, l’auteur étant dans un pays très très à l’EST.

Les connexions :

TCP_MISS/200 1126437 GET http://mekrosoft.in/1.bmp – DIRECT/184.22.188.84 image/x-ms-bmp
TCP_MISS/200 1126437 GET http://mekrosoft.in/2.bmp – DIRECT/184.22.188.84 image/x-ms-bmp
TCP_MISS/200 332 GET http://microlsoft.in/zip/gate.php?user=partner_012&uid=%7B93D614BD-D110-11DE-BC79-806D6172696F%7D&os=2 – DIRECT/184.22.188.84 text/html
 
Info domain :
Admin ID:DI_20514702
Admin Name:Alex Udakov
Admin Organization:fuller
Admin Street1:2323
Admin Street2:
Admin Street3:
Admin City:4350458
Admin State/Province:345254252
Admin Postal Code:121500
Admin Country:RU
Admin Phone:+7.4955555557
Admin Phone Ext.:
Admin FAX:+7.4955555557
Admin FAX Ext.:
Admin Email:alexudakovnah@gmx.de
 
 

Le malware se lance par une simple clef Run, dès lors il n’est pas actif en mode sans échec :

O4 – HKCU\\\\..\\\\Run: [panel] C:\\\\Documents and Settings\\\\Mak\\\\Application Data\\\\panel\\\\panel.exe -b

Une restauration du système (pas de perte de données) est donc possible ou un scan Malwarebyte Anti-Malware en mode sans échec avec prise en charge du réseau.

Print Friendly, PDF & Email
(Visité 75 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet