Ransomware/Trojan.Winlock : Windows a été bloqué pour des raisons de sécurité

Merci à S!Ri pour le sample.
=> http://www3.malekal.com/malwares/index.php?hash=e9455eb1b164b212142c903acd882c6a

SHA256:	e193ac006ac4682a01bea11f7084469594e05cba917861196dd92af4a3e7bc5c
File name:	E9455EB1B164B212142C903ACD882C6A.exe
Detection ratio:	3 / 28
Analysis date:	 2012-02-02 14:40:35 UTC ( 31 minutes ago )

AVG unknown virus Win32/DH.FF8402C7{00000000-00080000-00000000} 20120202
McAfee Artemis!E9455EB1B164 20120202
McAfee-GW-Edition Artemis!E9455EB1B164 20120202

 

 

Un autre ransomware, cette fois-ci qui ne se fait pas passer pour la Police. Ici le PC est bloqué pour des raisons de sécurité suite à la visite de sites pornographiques (donc potentiellement le malware sera transmis via ces sites certainement par des exploits sur site WEB).

Le ransomware propose une mise à jour pour ne pas perdre ses données.

 

et le  système sera mis à jour, bonne nouvelle les malwares seront supprimés.
Je vous laisse juge des fautes, le message étant certainement issu d’un traducteur informatique, l’auteur étant dans un pays très très à l’EST.

Les connexions :

TCP_MISS/200 1126437 GET http://mekrosoft.in/1.bmp – DIRECT/184.22.188.84 image/x-ms-bmp
TCP_MISS/200 1126437 GET http://mekrosoft.in/2.bmp – DIRECT/184.22.188.84 image/x-ms-bmp
TCP_MISS/200 332 GET http://microlsoft.in/zip/gate.php?user=partner_012&uid=%7B93D614BD-D110-11DE-BC79-806D6172696F%7D&os=2 – DIRECT/184.22.188.84 text/html
 
Info domain :
Admin ID:DI_20514702
Admin Name:Alex Udakov
Admin Organization:fuller
Admin Street1:2323
Admin Street2:
Admin Street3:
Admin City:4350458
Admin State/Province:345254252
Admin Postal Code:121500
Admin Country:RU
Admin Phone:+7.4955555557
Admin Phone Ext.:
Admin FAX:+7.4955555557
Admin FAX Ext.:
Admin Email:alexudakovnah@gmx.de
 
 

Le malware se lance par une simple clef Run, dès lors il n’est pas actif en mode sans échec :

O4 – HKCU\\\\..\\\\Run: [panel] C:\\\\Documents and Settings\\\\Mak\\\\Application Data\\\\panel\\\\panel.exe -b

Une restauration du système (pas de perte de données) est donc possible ou un scan Malwarebyte Anti-Malware en mode sans échec avec prise en charge du réseau.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 34 times, 1 visits today)

One thought on “Ransomware/Trojan.Winlock : Windows a été bloqué pour des raisons de sécurité

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *