Trojan.Trustezeb / Trojan/Matsnu – Ransomware « virus coder de Windows »

Une campagne a actuellement lieu par email avec un fichier en pièce jointe.

Voici un exemple du mail :

 

Salut Alain roger (Mon nom réel que j’ai changer),
Nous vous remercions pour votre achat sur tekmania.fr ensuite dans la lettre sont indiqués les détails du contrat.
 
votre numéro du contrat: 322767974432
marchandise Prescott 0399448499 5581,33 Euro
Nom de l’acheteur Alain roger (Mon nom réel que j’ai changer)
 
façon de rémuneration payement à la commande
vous verrez les coordonnées du destinataire et tous les détails du contrat dans le répertoire joint.
le prépaiment a été autorisé et est attendue dans les 3 jours suivants,
les détails du payement, vous les trouverez aussi dans le répertoire joint.
 
votre Email-Support.
 
SNC Buzzcube
35 PLACE D’Nora
75902 PARIS
 

 Ce dernier fait penser à la campagne de Zbot dont voici le billet : http://www.malekal.com/2011/12/05/spam-malicieux-zbot-par-vbs-sur-ovh

Au lancement de la pièce jointe, on obtient un message « File is Corrupt »

 

 

Le ransomware bloque Windows et crypte les documents – une adresse email security-update@inbox.lt est donnée :

Trojan.Trustezeb - Ransomware "virus coder de Windows"

Ce dernier n’est pas nouveau – au mois de Mai une version italienne avait été rapporté sur le forum : http://forum.malekal.com/virus-locked-t37705.html#p294154
Je l’avais rapporté sur la page du Virus Gendarmerie quand ce dernier cryptait aussi les documents : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
Ce dernier se propageait aussi par email.

Ces deux malwares sont différents, utiliser les programmes de décryptage du virus gendarmerie est inutile.

 

Trojan.Trustezeb - Ransomware "virus coder de Windows"

 

Exemple de détection par les antivirus :

SHA256: 5b0f54a8bc04ca813532b28c46cb52c9744c5ad2c78fcbcedcc023b2d3bfb81e
File name: 663d5dc597f7f5c32b540bf18d9ae2ea
Detection ratio: 22 / 42
Analysis date: 2012-07-10 15:45:51 UTC ( 14 minutes ago )
 
AntiVir TR/Drop.Injector.filt 20120710
Avast Win32:Downloader-PIY [Trj] 20120710
BitDefender Trojan.Generic.KDV.668865 20120710
Comodo Heur.Suspicious 20120710
DrWeb BackDoor.Qbot.81 20120710
Emsisoft Trojan-Dropper.Win32.Injector!IK 20120710
F-Secure Trojan.Generic.KDV.668865 20120710
Fortinet W32/Injector.C!tr 20120710
GData Trojan.Generic.KDV.668865 20120710
Ikarus Trojan-Dropper.Win32.Injector 20120710
Kaspersky Trojan-Dropper.Win32.Injector.filt 20120710
McAfee Artemis!663D5DC597F7 20120710
McAfee-GW-Edition Artemis!663D5DC597F7 20120710
Microsoft Trojan:Win32/Matsnu 20120710
NOD32 Win32/Trustezeb.C 20120710
Panda Trj/CI.A 20120710
PCTools Trojan.Gen 20120710
Sophos Troj/Zbot-CFN 20120710
Symantec Trojan.Gen.2 20120710
TheHacker Posible_Worm32 20120710
VIPRE Trojan.Win32.Generic!BT 20120710
ViRobot Dropper.A.Injector.69632.AQ 20120710

 

Tous les noms (Zbot, Qbot etc) référencent d’autres familles qui n’ont rien à voir avec ce ransomware.
Seul le nom donné par NOD32 – Trojan.Trustezeb est lié à ce malware => http://www.eset.eu/encyclopaedia/win32-trustezeb-a-trojan-matsnu-ransomlock-p-injector-adi ainsi que Microsoft avec Trojan/Matsnu

 

Les connexions se font par le processus svchost.exe qui est démarré et injecté :

TCP_MISS/200 355 GET http://weusa-list.com/ld/a.php?id=4043B68D4A4B214C00AB&stat=0&ver=500005 – DIRECT/219.218.160.80 text/html
TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=4043B68D4A4B214C00A&stat=0&ver=300004 – DIRECT/221.13.79.26 text/html
TCP_MISS/200 355 GET http://weusa-list.com/ld/a.php?id=4043B68D4A4B214C00A&stat=0&ver=500005 – DIRECT/219.218.160.80 text/html


Vous pouvez tenter de lancer RogueKiller  en mode sans échec pour supprimer l’infection mais il semblerait que ce dernier supprime les clefs Safeboot afin de provoquer un BSOD lors du démarrage en mode sans échec : http://forum.malekal.com/mode-sans-echec-bsod-stop-0x0000007b-t36550.html

  • Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, <gras>choisis Mode sans échec avec prise en charge du réseau</gras> et appuye sur la touche entrée du clavier.
  • Télécharger RogueKiller (ou à transférer par clef USB)
  • Après le pre-scan, Lancer un Scan par le bouton Scan à droite.
  • Le bouton Suppression devrait être dégrisé. Cliquez dessus.
  • Redémarrer l’ordinateur en mode normal

WindowsUnlocker depuis le CD Live de KAspersky supprime la clef Run : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html et permet de récupérer la main sur le système.

 

Enfin, vous pouvez tenter des restaurations systèmes – si aucune des manipulations proposées précédemment n’est possible :  http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html

A tester, le décrypteur d’ESET : http://download.eset.com/special/ESETTrustezebADecoder.exe

EDIT – Pas de solution de decryptage pour le moment

Le malware a enfin chiffré les fichiers :

TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=999922224B4B414D004B&cmd=msg&ver=300004 – DIRECT/123.101.2.11 text/html
TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=999922224B4B414D004B&cmd=lfk&ldn=41&stat=CRA&ver=300004&data=hFQqyRjglZyv0hoEbzw1k%2BX197slK2Sjbw5Suz66YTv7vMVMe%2FAKHxVu – DIRECT/205.138.175.56 text/html
TCP_MISS/200 355 GET http://weusa-list.com/cgi-bin/a.php?id=999922224B4B414D004B&stat=CRC&ld=103&ver=300004 – DIRECT/219.218.160.80 text/html

Le programme de Dr.WEB pour Trojan.Matsnu.1 ne fonctionne pas : http://forum.drweb.com/index.php?showtopic=309047

Celui de NOD32 non plus :

Pour le moment pas de solution de décryptage des fichiers, il faut attendre une éventuelle mise à jour des fix de la part des éditeurs d’antivirus.
Garder vos fichiers cryptés.

Rappel du principe de décryptage.
Vous devez avoir un fichier original et son équivalent locké, à partir du couple, le fix calcule la clef de décryptage afin de décrypter les autres fichiers lockés.
Comme le malware renomme les fichiers, il est difficile de savoir quoi correspond à quoi, vous pouvez alors vous fier au taille de fichier en triant les colonnes par taille de fichiers.
Exemple ici avec HijackThis et son équivalent locké.

EDIT – 18 Juillet

Malheureusent, les retours des antivirus ne sont pas très bons.
Je pense que dans le cas précis, les antivirus ne pourront fournir de fix qui permet la récupération des données.

Je ne peux que vous recommander de maintenir vos logiciels à jour afin de ne pas retomber sur genre de malwares.
Voir la page : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Dans la mesure du possible, pour ceux qui peuvent se le permettre (NAS, disque dur etc), faites une sauvegarde de vos données régulièrement.

Dernière précision, le malware crypte les 1000 premiers octets, du coup les fichiers audio et vidéos et notamment au format MP3 et AVI continuent de fonctionner, il faut renommer avec la bonne extension de fichiers.
Les autres formats documents (Word, Excel etc) ou executables seront considérés comme endommagé, l’en-tête des fichiers étant endommagé.

EDIT – 2 Août

Nouvelle campagne avec Windows Anytime Upgrade : http://www.malekal.com/2012/08/02/windows-anytime-upgrade-ransomware-lock-files/

EDIT – 11 Août

Le site malware.lu fournit des scripts python qui permettent de récupérer les fichiers cryptés, pour cela, vous devez avoir la clef de cryptage qui peut avoir été récupérée depuis des logs de connexions HTTP.
Ces scripts sont donc plutôt utiles pour les entreprises.
L’article détaille aussi le fonctionne du Malware Trojan/Matsnu.
=> http://malware.lu/Pro/RAP001_malware_rannoh_matsnu_1.1.pdf

(Visité 334 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel Avast!Tutoriel Antivirus

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com