Trojan.Winlock / Trojan.Ransomware : Virus Police

EDIT – Avril 2012 : confirmation de campagnes de publicités malicieuses « Malvertising »  conduisant à des exploits sur site WEB depuis fin Novembre.


source http://www.securitycartoon.com/

Un billet concernant ces Trojan.Winlock/Trojan.Ransomware – pour rappel un Trojan.Winlock est un malware qui bloque le chargement du bureau et vous demande quelques chose en échange afin de débloquer votre PC (envoie d’un SMS, argent etc). Bref une rançon.

Le principe n’est pas nouveau :
http://forum.malekal.com/sms-ransomware-trojan-winlock-t21772.html
http://www.malekal.com/2011/04/27/ransomware-plugin-erreur-critique-0x00874324/
http://forum.malekal.com/flash-player-exe-ransomware-t26652.html
http://forum.malekal.com/http-mms2u-info-exe-php-6067178d6665bcfe-t26727.html#p216584

Ici ce qui est interressant, c’est que les ransomwares tentent de se faire passer par des messages de la Police.

Comme vous pouvez le voir ci-dessus, il y a une grosse campagne courant octobre avec des sujets « Virus Police Nationale ».
Je soupçonne très fortement, après discussion avec les victimes, une campagne, via des publicités infectées, notamment sur les sites de streaming comme on avait eu là :http://www.malekal.com/2011/03/08/site-de-streaming-et-malware-advertisement-et-infections-round-2/

Je vous cache pas l’effet psychologique d’un tel malware provenant soit disant de la police quand on se trouve sur ces sites.
Sur le forum de commentcamarche.net :
 Ci-dessous un Suisse qui se plaint d’un Virus Confédération – ce dernier donne le lien suivant avec une capture du malware : http://www.melani.admin.ch/dienstleistungen/archiv/01130/index.html?lang=fr

Il existe donc des ransomwares reprenant des messages de polices de divers pays.
Je n’ai pas pu mettre la main sur la version française : Virus Police Nationale.

Néanmoins, Xylitol (que je remercie) m’a donné deux samples de la version allemand de ces Trojan.Ransomware : Achtung !

J’en profite aussi pour donner ces deux liens provenant de son blog : http://xylibox.blogspot.com/2011/05/trojanransom-fake-federal-german-police.html

et le second sample : http://xylibox.blogspot.com/search?updated-max=2011-11-27T18:23:00%2B01:00&max-results=5

Les messages s’affichent au chargement de Windows et il est impossible de faire quoique ce soit (c’est bien le but).
Les deux samples réclament l’envoi d’argent afin de débloquer votre Windows.
Comme vous pouvez le constater les messages sont très propres et font sérieux et peuvent donc tromper l’internaute qui pense alors avoir affaire à un message officiel.

Voici quelques autres captures en vrac trouvées ci et là :

Ci-dessous, Gema qui est plutôt un organisme de droit d’auteur (un équivalent de notre Sacem) : http://en.wikipedia.org/wiki/Gesellschaft_für_musikalische_Aufführungs-_und_mechanische_Vervielfältigungsrechte<

EDIT : Debut Février, une vague en français via une traduction est en ligne : http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

 

 

Merc à Jipe_

Si on se réfère à ce topic : http://xylibox.blogspot.com/2011/11/fakeavfakepolicealert-source-code-for.html
L’auteur vend carrement le code source – il semblerait que cette personne soit aussi à l’origine de divers rogues (mais pas que cela) dont des familles qui avaient valu des campagnes assez virulente.
D’ailleurs, si vous regardez le lien que j’ai donné plus haut sur les malwares via des publicités sur des sites de streaming, on peux voir qu’un Antivirus Monitor était droppé qui ressemble assez aux rogues produits par cette personne.

Désinfection Trojan.Winlock – Virus Police

Côté désinfection, ce n’est pas forcément simple selon le point de chargement utilisé, chose qui peux évoluer dans le temps ou selon la variante sur laquelle vous tomber.
La meilleur solution est de redémarrer en mode sans échec et de tenter de faire un scan avec Malwarebyte.

Si le Trojan.Winlock est actif en mode sans échec, vous êtes bonbons, il y a alors des chances qu’il faille passer par un CD Live comme c’était le cas sur cette variante :

Vous avez un PDF qui explique comment faire : https://twitter.com/#!/Xylit0l/status/135795708887437312

Sinon voici une procédure plus générique :

  • Redémarrer en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • Télécharger et installer Malwarebyte : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
  • Mettez le à jour, fais un scan rapide, supprimer tout et poste le rapport ici.
  • !!! Malwarebyte doit être à jour avant de faire le scan !!! 
  • Supprimer bien ce qui est détecté : bouton supprimer sélection.

Si cela ne fonctionne pas, créer un sujet dans la partie Virus du forum

EDIT Mi-Decembre 2011 :

Explosion des sujets relatifs à ces malwares avec notamment des versions françaises :

Ces infections vont notamment par des Malvertising sur les sites de streaming – l’occurence au moment du pic, un Malvertising via clicksor.com : Virus Police / Virus Bundespolizei – Malvertising de clicksor.com sur site de streaming

EDIT Janvier 2012 :

Nouvelle charte graphique : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/ 
Merci à : http://secuboxlabs.fr/kolab/


 

et le fameux virus gendarmerie : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ 

ce dernier est décliné en version belge et espagnol

ecops ransomware belge

 

Ransomware espagnol

EDITION au début février 2012 :

Debut Février, une vague en français via une traduction est en ligne : http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

Quelques autres captures des Fake Police étrangers : http://secuboxlabs.fr/kolab/api?hash=da6016eccf90097e4053c62ce7654ce6dca2674f

EDIT Début mars 2012

Quelques autres en vrac :

Autriche :

Ransomware Autriche

Belgique :

Ransomware Autriche

Finlande :

Ransomware Finlande

Luxembourg :

Ransomware Luxembourg

Portugal :

Ransomware Portugal

Suède :

Ransomware Suède

Etats-Unis :

Ransomware Etats-Unis

 

EDIT Mars 2012 – nouveau Trojan.Ransomware : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

EDIT début Mai pour rajouter ces deux variantes :

Virus Gendarmerie Allemand

 

EDIT Mi-mars : le virus initialement « virus gema » (la sacem version allemande) commence à être porté dans divers pays :

Virus Sacem pour la France :

Virus Sacem

Angleterre avec PRS for Music : Pays bas avec buma stemra :

La Suisse :

EDIT Mai 2012 – Virus GVU remplace le Virus Sacem

Virus GVU

EDIT Fin MARS 2012

Le Virus gendarmerie « Votre ordinateur est bloqué sous diverses langues »: http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

 

1332438127.630 2914 192.168.1.27 TCP_MISS/200 571638 GET http://skazochnikvpole.com/lcr3/tuktuk.php?id=4062B68A4B4B424D624E&cmd=img – DIRECT/72.20.6.90 text/html
1332438133.287 354 192.168.1.27 TCP_MISS/200 365 GET http://skazochnikvpole.com/lcr3/tuktuk.php?id=4062B68A4B4B424D624E&cmd=geo – DIRECT/72.20.6.90 text/html
1332438210.073 2770 192.168.1.27 TCP_MISS/200 591027 GET http://skazochnikvpole.com/it/tuktuk.php?id=4062B68A4B4B424D624E&cmd=img – DIRECT/72.20.6.90 text/html 

 

Espagnol : Su ordenador fue bloqueado por violacion de las leyes de Espana :

Version italiene : Ill suo computer è per una violazione delle leggi d’Italia

EDIT – Debut Avril 2012

Une nouvelle variante Police Nationale : http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

Virus Police Nationale

On retrouve les déclinaisons pour les différents pays.
Ci-dessous l’espagne avec la Cuerpo Nacional de Policia :

L’Italie avec la Polizia Di Stato

 

L’Allemagne avec BundesPolizei :

 

EDIT – 14 Avril

Autre variante : http://www.malekal.com/2012/04/13/un-autre-ransomware-gendarmerie-votre-ordinateur-a-ete-bloqueverrouille/

votre ordinateur a été bloqué/verrouillé

votre ordinateur a été bloqué/verrouillé

La version anglaise :

votre ordinateur a été bloqué/verrouillé

la version Italienne :

votre ordinateur a été bloqué/verrouillé

EDITION – MI MAI 2012

Deux nouvelles variantes.

Virus Police Nationale Française : Activite illégale révelée : http://www.malekal.com/2012/05/12/virus-police-nationale-francaise-activite-illegale-revelee/

 

Retour du remplacement d’explorer.exe : http://www.malekal.com/2012/05/15/ransomware-virus-gendarmerie-retour-du-remplacement-explorer-exe/

Autre mise à jour : Ransomware : La criminalité sur internet est détectés!

Criminalité sur internet est détectés!

22 Mai 2012

Deux nouvelles variantes : http://www.malekal.com/2012/05/22/ransomware-ordinateur-bloque-par-systeme-de-controle-automatique-informationnel/

Ransomware Ordinateur bloqué

Ransomware Ordinateur bloqué

EDIT 2 Juin

Quelques versions revisitées du Virus Sacem :

Ransomware Ordinateur bloqué

Ransomware Ordinateur bloqué

Ransomware Ordinateur bloqué

EDIT – 18 Juillet : Ransomware International Police Association

Se reporter au billet : http://www.malekal.com/2012/07/18/ransomware-fake-police-international-police-association/

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 199 times, 1 visits today)

22 thoughts on “Trojan.Winlock / Trojan.Ransomware : Virus Police

  1. Mais ça fait loooonnngtemps qu’il circule lui ! Je croyais qu’on avait déjà trouvé des solutions du côté des éditeurs …

  2. Je tenais juste à vous remercier, votre solution pour ce virus a sauver mon emplois ! (enfin j’exagère un peu, mais il m’a évité des remontrances en tout cas !) merci pour votre engagement et très bonne continuation !
    Elodie

  3. Voilà aujourd’hui, le trojan est chez moi avec un ordinateur bloqué. Je vais aller voir un installateur, car je ne suis pas trop douée.
    Merci en tout cas pour toutes vos informations.
    Comment détecter les sources de ces piratages ???
    Bonne journée à vous

  4. Il y a un site de streaming qui me fait avoir ce type de virus …
    Du coup, je lance le malwarebytes qui m’avait permis de ne plus avoir le virus la dernière fois …
    C’est un peu gonflant quand même !!!!
    Moi qui suis très peu en ordinateur, j’avais réussi à enlever le virus !!
    Par contre, cette fois ci, çà me dit qu’il n’y a aucun virus, çà commence à m’inquiéter

  5. Salut,
    J’ai chopé cette salop**** et j’ai dl le logiciel pour l’effacer. J’ai fait la mise à jour et j’ai lancé le scan…il n’a rien trouvé…ceci 2 fois. Je suppose que le trojan n’a pas disparu par magie, donc comment faire svp ?
    Merci

  6. bonjour, ben moi j ai essayé mais rien a faire, meme en mode sajns echec avec prise en charge du reseau j ai cette page qui me bloque tout, rien a faire, aucun acces a mon bueau ou koi ke ce soit, si vous avez une solution pour moi je prends merci

  7. Bonjour, même problème: Quand je passe en mode sans échec, je tombe sur ce foutu écran sans moyen d’ accès. Merci de votre aide.
    P.S.: je précise que, contrairement à ce que je lis sur ce virus, je mets très régulièrement mes logiciels à jour!

  8. J’ai fais la même chose qu’il y a écrit sauf que je n’est pas téléchargé malwarebyte j’ai juste supprime ce fameux fichié qui ce-situe je ne c’est plus où ^^’
    En bref j’peux juste dire que ce ‘tuto’ est d’une bonne aide
    Mais qu’il a plusieur façon de réglé ce soucis (celle çi est l’une des mieux)
    Pour ma part j’ai démaré mon ordinateur le temps qu’il ce lance j’ai pus ainsi voir le nom que porte ce fichié un nom assé bizzare,
    Puis ainsi j’ai démarré en mode sans échec supprime le fichié redémaré et faire un formatage a mon ancienne sauvegarde et deux trois autre chose que je ne citerais point
    Et aussi j’ai pus voir que ces trojan’s apparaise , car java, adobe (si je me trompe pas) bref les logiciels ne sont pas mise a jour et que vous les utilisez avec une ancienne, Mise a jour voilà
    Bravo pour ce topic 🙂

    Ps: Pour tout ce qui l’ont éffacé et qu’y pense que le fichié y est toujour et que le logiciel ne le trouve pas c’est qu’il n’y est plus (c’est un petit logiciel de -1moi) sa ne fais rien de mal de toute manière le pc fonctionne entierement.

  9. Moi j’ai le virus géma et rien à faire, la page (même en mode sans échec) ne se ferme pas. J’aimerais savoir si il y a un moyen de fermer cette foutue page? Sinon la dernière solution que je vois… Le formatage! :/

  10. Voici une version française non recensée mais traduite mot pour mot des screens d’autres pays (et non présentée par votre site) : http://www.gilawhost.com/images/w7o99pxl.jpg

    Problème intervenu hier et je remercie Malekal pour son billet de résolution très clair et -heureusement- complet (vu que j’ai dû aller jusqu’à la procédure avec clef Shell pour éliminer le problème).

  11. Je viens de découvrir ce site, et confronté au même problème par trois fois mais sans aucune connaissance de ce malware, je m’en suis débarrassé en faisant une restauration immédiatement antérieure, et en supprimant le tout dernier point de restauration infecté.
    Ça marche !!! et pas besoin de formatage.

    Bon courage

    Padou30

  12. @ Gilles,
    Infecté par le virus, je vien sur ce site pour faire le point…
    La clef de la base de registre que tu dois trouver est :
    HKEY_LOCAL_USER/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

    En ce qui me concerne le mien est *Police Nationale*, tout en français et bloque le démarrage sans echec !!! J’ai un live mais rien de ce qui est indiqué n’est mauvais !!!

  13. Désolé, il est tard…
    Donc la clef est dans HKEY_LOCAL_MACHINE et non HKEY_LOCAL_USER :

    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

  14. Merci pour cette page et les conseils affichés dessus! j’ai eu exactement le cas, et j’ai commencé à paniquer.
    Un ami m’a parlé d’utiliser Hijackthis , mais cela n’a pas fonctionné avec ce « virus-police »
    par contre, Malwarebytes a rempli son rôle à merveille ! et en ne faisant qu’une analyse rapide en plus…

    GRAND MERCI A VOUS

  15. Et bien me voici avec vous……. problème sur l’ordi de mon mari. J’ai essayé tout les trucs et astuces lus ici mais rien ne fait…ce fichu virus est toujours là!!!!!! Y aurait-il une autre solution???? Snif

  16. bonsoir
    simple j »ai réinstallé windows par dessus ou vous pouvez en dual boot
    et voila
    par contre inquiétez vous pour vos mot de passe
    sur gmail, ebay , etc

  17. Bonjour

    Ce WE j’ai été paralysée par un Trojan Police nationale version belge. J’ai réussi à m’en défaire grâce au logiciel Standalone System Sweeper de Microsoft, qui a été très performant. A télécharger en ligne et à booter en démarrant en mode Boot avec la clé ou le DVD inséré. Nulle en informatique, j’ai réussi avec l’aide de mon beau-frère au téléphone, et c’était simple. OUF !

  18. essayer ceci pour vous en debarasser

    Via l’adresse suivante il vous est possible de télécharger gratuitement le logiciel Windows Defender Offline : http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline?SignedIn=1.

    Ce logiciel permet de démarrer un ordinateur infecté au moyen d’une clé USB. Le logiciel va alors analyser l’ordinateur à la recherche de virus et logiciels malveillants (malwares).

    Etapes:

    – Téléchargez la bonne version du logiciel (32 bit ou 64 bit) sur http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline?SignedIn=1

    Exécutez le logiciel téléchargé, vous obtenez l’écran suivant :

  19. Bonjour, je voudrais savoir ou je peut me procurer un pack ransomware
    pour tester la fiabilitée d’antivirus comme eset norton antivir etc
    Merci d’avance de votre reponse.

  20. Ce qui est rigolo dans les captures de ce « virus-police » français, ce sont les fautes d’orthographe et la syntaxe pas très malicieuse… 🙂
    J’espère que les nombreuses victimes n’ont pas payé ces escrocs !!!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *