Trojan.Trustezeb / Trojan/Matsnu – Ransomware « virus coder de Windows »

Une campagne a actuellement lieu par email avec un fichier en pièce jointe.

Voici un exemple du mail :

 

Salut Alain roger (Mon nom réel que j’ai changer),
Nous vous remercions pour votre achat sur tekmania.fr ensuite dans la lettre sont indiqués les détails du contrat.
 
votre numéro du contrat: 322767974432
marchandise Prescott 0399448499 5581,33 Euro
Nom de l’acheteur Alain roger (Mon nom réel que j’ai changer)
 
façon de rémuneration payement à la commande
vous verrez les coordonnées du destinataire et tous les détails du contrat dans le répertoire joint.
le prépaiment a été autorisé et est attendue dans les 3 jours suivants,
les détails du payement, vous les trouverez aussi dans le répertoire joint.
 
votre Email-Support.
 
SNC Buzzcube
35 PLACE D’Nora
75902 PARIS
 

 Ce dernier fait penser à la campagne de Zbot dont voici le billet : http://www.malekal.com/2011/12/05/spam-malicieux-zbot-par-vbs-sur-ovh

Au lancement de la pièce jointe, on obtient un message « File is Corrupt »

 

 

Le ransomware bloque Windows et crypte les documents – une adresse email security-update@inbox.lt est donnée :

Trojan.Trustezeb - Ransomware "virus coder de Windows"

Ce dernier n’est pas nouveau – au mois de Mai une version italienne avait été rapporté sur le forum : http://forum.malekal.com/virus-locked-t37705.html#p294154
Je l’avais rapporté sur la page du Virus Gendarmerie quand ce dernier cryptait aussi les documents : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
Ce dernier se propageait aussi par email.

Ces deux malwares sont différents, utiliser les programmes de décryptage du virus gendarmerie est inutile.

 

Trojan.Trustezeb - Ransomware "virus coder de Windows"

 

Exemple de détection par les antivirus :

SHA256: 5b0f54a8bc04ca813532b28c46cb52c9744c5ad2c78fcbcedcc023b2d3bfb81e
File name: 663d5dc597f7f5c32b540bf18d9ae2ea
Detection ratio: 22 / 42
Analysis date: 2012-07-10 15:45:51 UTC ( 14 minutes ago )
 
AntiVir TR/Drop.Injector.filt 20120710
Avast Win32:Downloader-PIY [Trj] 20120710
BitDefender Trojan.Generic.KDV.668865 20120710
Comodo Heur.Suspicious 20120710
DrWeb BackDoor.Qbot.81 20120710
Emsisoft Trojan-Dropper.Win32.Injector!IK 20120710
F-Secure Trojan.Generic.KDV.668865 20120710
Fortinet W32/Injector.C!tr 20120710
GData Trojan.Generic.KDV.668865 20120710
Ikarus Trojan-Dropper.Win32.Injector 20120710
Kaspersky Trojan-Dropper.Win32.Injector.filt 20120710
McAfee Artemis!663D5DC597F7 20120710
McAfee-GW-Edition Artemis!663D5DC597F7 20120710
Microsoft Trojan:Win32/Matsnu 20120710
NOD32 Win32/Trustezeb.C 20120710
Panda Trj/CI.A 20120710
PCTools Trojan.Gen 20120710
Sophos Troj/Zbot-CFN 20120710
Symantec Trojan.Gen.2 20120710
TheHacker Posible_Worm32 20120710
VIPRE Trojan.Win32.Generic!BT 20120710
ViRobot Dropper.A.Injector.69632.AQ 20120710

 

Tous les noms (Zbot, Qbot etc) référencent d’autres familles qui n’ont rien à voir avec ce ransomware.
Seul le nom donné par NOD32 – Trojan.Trustezeb est lié à ce malware => http://www.eset.eu/encyclopaedia/win32-trustezeb-a-trojan-matsnu-ransomlock-p-injector-adi ainsi que Microsoft avec Trojan/Matsnu

 

Les connexions se font par le processus svchost.exe qui est démarré et injecté :

TCP_MISS/200 355 GET http://weusa-list.com/ld/a.php?id=4043B68D4A4B214C00AB&stat=0&ver=500005 – DIRECT/219.218.160.80 text/html
TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=4043B68D4A4B214C00A&stat=0&ver=300004 – DIRECT/221.13.79.26 text/html
TCP_MISS/200 355 GET http://weusa-list.com/ld/a.php?id=4043B68D4A4B214C00A&stat=0&ver=500005 – DIRECT/219.218.160.80 text/html


Vous pouvez tenter de lancer RogueKiller  en mode sans échec pour supprimer l’infection mais il semblerait que ce dernier supprime les clefs Safeboot afin de provoquer un BSOD lors du démarrage en mode sans échec : http://forum.malekal.com/mode-sans-echec-bsod-stop-0x0000007b-t36550.html

  • Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, <gras>choisis Mode sans échec avec prise en charge du réseau</gras> et appuye sur la touche entrée du clavier.
  • Télécharger RogueKiller (ou à transférer par clef USB)
  • Après le pre-scan, Lancer un Scan par le bouton Scan à droite.
  • Le bouton Suppression devrait être dégrisé. Cliquez dessus.
  • Redémarrer l’ordinateur en mode normal

WindowsUnlocker depuis le CD Live de KAspersky supprime la clef Run : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html et permet de récupérer la main sur le système.

 

Enfin, vous pouvez tenter des restaurations systèmes – si aucune des manipulations proposées précédemment n’est possible :  http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html

A tester, le décrypteur d’ESET : http://download.eset.com/special/ESETTrustezebADecoder.exe

EDIT – Pas de solution de decryptage pour le moment

Le malware a enfin chiffré les fichiers :

TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=999922224B4B414D004B&cmd=msg&ver=300004 – DIRECT/123.101.2.11 text/html
TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=999922224B4B414D004B&cmd=lfk&ldn=41&stat=CRA&ver=300004&data=hFQqyRjglZyv0hoEbzw1k%2BX197slK2Sjbw5Suz66YTv7vMVMe%2FAKHxVu – DIRECT/205.138.175.56 text/html
TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=999922224B4B414D004B&stat=CRC&ld=103&ver=300004 – DIRECT/219.218.160.80 text/html

Le programme de Dr.WEB pour Trojan.Matsnu.1 ne fonctionne pas : http://forum.drweb.com/index.php?showtopic=309047

Celui de NOD32 non plus :

Pour le moment pas de solution de décryptage des fichiers, il faut attendre une éventuelle mise à jour des fix de la part des éditeurs d’antivirus.
Garder vos fichiers cryptés.

Rappel du principe de décryptage.
Vous devez avoir un fichier original et son équivalent locké, à partir du couple, le fix calcule la clef de décryptage afin de décrypter les autres fichiers lockés.
Comme le malware renomme les fichiers, il est difficile de savoir quoi correspond à quoi, vous pouvez alors vous fier au taille de fichier en triant les colonnes par taille de fichiers.
Exemple ici avec HijackThis et son équivalent locké.

EDIT – 18 Juillet

Malheureusent, les retours des antivirus ne sont pas très bons.
Je pense que dans le cas précis, les antivirus ne pourront fournir de fix qui permet la récupération des données.

Je ne peux que vous recommander de maintenir vos logiciels à jour afin de ne pas retomber sur genre de malwares.
Voir la page : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Dans la mesure du possible, pour ceux qui peuvent se le permettre (NAS, disque dur etc), faites une sauvegarde de vos données régulièrement.

Dernière précision, le malware crypte les 1000 premiers octets, du coup les fichiers audio et vidéos et notamment au format MP3 et AVI continuent de fonctionner, il faut renommer avec la bonne extension de fichiers.
Les autres formats documents (Word, Excel etc) ou executables seront considérés comme endommagé, l’en-tête des fichiers étant endommagé.

EDIT – 2 Août

Nouvelle campagne avec Windows Anytime Upgrade : http://www.malekal.com/2012/08/02/windows-anytime-upgrade-ransomware-lock-files/

EDIT – 11 Août

Le site malware.lu fournit des scripts python qui permettent de récupérer les fichiers cryptés, pour cela, vous devez avoir la clef de cryptage qui peut avoir été récupérée depuis des logs de connexions HTTP.
Ces scripts sont donc plutôt utiles pour les entreprises.
L’article détaille aussi le fonctionne du Malware Trojan/Matsnu.
=> http://malware.lu/Pro/RAP001_malware_rannoh_matsnu_1.1.pdf

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 136 times, 1 visits today)

34 thoughts on “Trojan.Trustezeb / Trojan/Matsnu – Ransomware « virus coder de Windows »

  1. Merci pour ses infos j’eut se virus ce matin et boom , si il y a une solution pour récupérer mes fichiers , pouvez vous me contacter Merci

  2. CA fonctionne pas je n’ai pas de copie de mon fichier originaux puique j’ai reformater mon windows et sauvegarder mes fichier mais ils sont illisible.
    Pk le décryptage doit ce faire avec un fichier originaux

  3. ——————————————————————————-
    ESET Win32/Trustezeb.A cleaner v0.9 (May 10 2012) Copyright (c) 1992-2012 ESET, spol. s r.o. All rights reserved.
    started: Tue Jul 10 19:27:15 2012
    Found 1 file(s)
    Created decoder_del.bat for deleting created files
    Decoded and written: 1 file(s)
    Errors : 0
    Ended: Tue Jul 10 19:27:15 2012

    ——————————————————————————-
    ESET Win32/Trustezeb.A cleaner v0.9 (May 10 2012) Copyright (c) 1992-2012 ESET, spol. s r.o. All rights reserved.
    started: Tue Jul 10 19:28:27 2012
    Found 1 file(s)
    Created decoder_del.1.bat for deleting created files
    Decoded and written: 1 file(s)
    Errors : 0
    Ended: Tue Jul 10 19:28:27 2012

  4. j’ai le meme soucis avec les fichier crypter et toute les photos qui etait sur mon disque dur externe 🙁
    toute est crypté

  5. Faut attendre qu’un décrypteur trouve le code du virus afin de faire le chemin inverse je crois garde tes fichiers comme moi et attendons dès qu’une solution sera la on aura des news je pense si je trouve quelque chose je posterais ici

  6. merci pour ce post et les explications mais avouer que si on avait les originaux je passerais pas mon temps à trouver un décrypteur mais je les aurais remplacé tout simplement ….

    Si on les garde, on peut les deplacer dans un dossier « a part » ??

  7. En fait vous avez besoin d’un SEUL fichier original et de sa version cryptée.
    Comme ca en comparant les deux, le logiciel de désinfection trouve la « clef » qui se trouve être la même pour tout les autres fichiers..

    Sinon, le troll du jour.. « Chiffrement, pas cryptage  » :p

  8. Merci, pour cet article, j’ai réussi à débloquer le PC d’un pote.
    Pas de bol pour les fichiers, heureusement qu’il avait une sauvegarde,
    mais les dernières photo ont été crypté par ce virus.

    Je fais comme certains d’entre vous, j’attends un décrypteur (et un merci à celui qui a remis en forme l’article, c’était fouillis avant)

  9. Bon et bien j’ai chopé cette saloperie , mon pc est clean maintenant mais j’ai toutes mes photos locked et pas mal de mp3 et de vidéo aussi , à noter que pour les mp3 il est possible en changeant l’extension de les récupérer mais j’en ai plus de 5000 donc je vais attendre un décrypteur , je reste attentif à ce fil .
    Merci d’avance Malekal !

  10. Moi aussi il m arrive la meme galere que vous !!!!!
    le seul hic c’est que les photos que j avais mis dans la corbeille avant l infection n’ont pas ete touché alors que les photos sur le bureau cryptés
    je ne comprend pas pourquoi ?????
    merci

  11. Certain fichier sont touché, et seulement dans certain dossier! et sur tout les disques dur sauf mon dernier qui porte la lettre « F:\ »

    Je suppose que c’est dans le codage! Il faut attendre qu’un anti virus fournisse le fix pour décodé les fichiers… ce qui peu prendre un du temps il faut attendre 🙁 ça fait 4 jours pour moi mais j’attends car tous les fichiers .doc et .mpq et ceux ci son très important!

  12. Merci Sammy j’avais effectivement pas compris la subtilité xD, bon pis j’étais énervé 80go de mp3 crypté ça énerve un touuuuuuuuut petit peu , deux fois rien ….

    sinon puisque ça troll : peut on envoyer un trojan a Mr Web, kaspersky ou Eset pour les obliger à ce manier le « bip » ??

    J’en peux plus ..sniff..je reste à l’écoute de news

  13. bonjour,
    novice des forums et tout le reste, mais ce foutu mail m’a bloqué tout mon ordi!!!!!
    plus de photos, plus de fichiers, et j’ai tout les documents de mes locataires dessus, je suis dans une belle galère!!!! j’attends avec impatience une solution,merci

  14. Bonjour,

    Il semble que les fichiers soient cryptés avec une clé RC4 différente pour chaque fichier. La clé est générée et envoyée au serveur. Elle est ensuite supprimée. Il est donc très difficile de faire un programme de décryption utilisable.

    Pierre-Marc

  15. ***************
    Bonjour,

    Il semble que les fichiers soient cryptés avec une clé RC4 différente pour chaque fichier. La clé est générée et envoyée au serveur. Elle est ensuite supprimée. Il est donc très difficile de faire un programme de décryption utilisable.

    Pierre-Marc
    *****************

    C’est sérieux ? Oo

  16. faut il reformater pour etre sur que le probleme soit regle je suis perdue j’ai fait la bourde j’ai ouvert de l aide serait la bienvenue

  17. bonjour a tous

    j’ai chopé le meme virus le 11 juillet
    tous mes fichiers sont criptes
    je suis bloqué complet
    sur quel site il faut aller pour avoir des solutions ?
    QQ connait ?

  18. Apparemment non toujours rien , j’ai bien peur de faire une croix sur 10 ans de photos personnelles … Ça fout la haine ces virus !

  19. Je part en vacance 3 semaines j’espère qu’a mon retour une solution sera trouvé , bizzous et bonne vacance a tous

  20. Bonjour a tous
    apparemment cela fais un moment que ça dure. je viens d’avoir le cas sur un pc, toutes les photos *.jpg et les documents texte *.txt on maintenant l’extension *.jpg.BLOCK ou *.txt.BLOCK. et son crypté. Donc des professionnelles on des fichiers originales et leurs équivalents crypté et ils n’arrivent pas a faire de lien ??? ou ils se sont rendu compte que le mot de passe changé pour chaque fichier ? il n’y a pas de nouvelles sur le sujets ? garder les documents crypté sont une perte d’espace ? c’est grave…

  21. Bonjour,

    J’ai le même soucis que vous tous avec ce fichu codeur windows, pour ma part j’ai deplacé les fichier cryptés sur un autre support (disque externe) ensuite formatage bas niveau du HDD sous linux « pour etre sur! »
    Aujourd’hui je me retrouve avec des milliers de JPG,AVI,MP3,PDF,ect …. cryptés sans aucunes solutions pour les remettre à l’origine.
    La modification de l’extention sur tous les fichiers testés ne fonctionnent pas ! peut importe le format …
    Tester aussi le decryptage via plusieurs soft en utilisant des fichiers identique non cryptés, sans succés.
    Tant d’années de souvenirs perdus et surement aucunes chances de les récuperes un jour.
    Nomination du fichier après cryptage « qrfXouteAOUanvxDyNVpo » exemple d’un .jpg.
    Si quelqu’un à une solution à notre problème, n’hésitez pas à nous le faire savoir.
    Merci encore a tous ce qui se sont cassés la tête a nous aider 😉
    Cdt

  22. Salut Chris , pour les mp3 il suffit de rajouter l’extension .mp3 à tes fichiers , bien sur ensuite il faudra les renommer quand même . Pour ma part j’ai tout récupéré !

    Pour les JPG et vidéos , je trouve quand même dingue qu’aucune solution ne soit envisageable , avec les virus précédents du même genre , il était possible de les récupérer . Pourquoi les mp3 sont récupérables mais pas les JPG et les vidéos ?!

    J’ai gardé quand même mes fichiers cryptés au cas ou , même si j’ai peu d’espoir … Qui sait peut être en 2024 .

  23. @Fred: la première variante, les auteurs se sont merdés dessus sur la partie de cryptage ce qui a permis de les décrypter.
    Là le malware génère une unique qui est envoyé au serveur et qui est utilisé pour crypter les données.
    Si cette clef n’a pas été récupérée par toi lors de l’infection, le décryptage est impossible, sauf si dans quelques années on retrouve une vulnérabilité pour le protocole utilisé pour crypter ou si les perfos hardware s’améliorent assez pour permettre un bruforce.

  24. Quoique il en soit merci malekalmorte , il faudrait plus de gens comme toi !

    Plus généralement , j’ai jamais compris le principe des virus informatiques , qui , pourquoi , à qui profite le crime , l’intérêt de la chose ? Ça reste pour moi un mystère , qui est suffisamment vicieux pour créer un virus qui vous accuse de pédophilie , pornographie , zoophilie et crypte vos fichiers personnels , c’est totalement aberrant ! Avoir un tel niveau technique en informatique pour s’abaisser à pratiquer ce genre de méthodes , c’est indigne , une sale bande de mafieux ! Triste monde dans lequel nous vivons .

    +++

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *