Virus Adopi / Interpol : En raison d’activités frauduleuses, votre système a été verrouillé!

Un nouveau ransomware Fake Police venant de ce topic : http://forum.malekal.com/ransomware-adopi-hadopi-t44524.html

Ce dernier semble se propager par Torrent.

On retrouve les logo Hadopi / Interpol, McAfee SecurityAlliance et Microsoft.

La phrase de blocage : En raison d’activités frauduleuses, votre système a été verrouillé!

Notez la faute sur : Votre ordinateur a été verrouillé par le système de contrôle de fraudes informatiques ADOPI (alors qu’on a le logo plus bas).

Ransomware_Virus_Adopi

avec webcam :

Ransomware_Virus_Adopi2

Sample : http://malwaredb.malekal.com/index.php?hash=61ce312091c8b1fe561df8650e9a4af3
https://www.virustotal.com/fr/file/3addff37642360d48fa3b4d138d98580e2f0c2508b14c6d7098437b01c54a91c/analysis/1377991031/

SHA256: 3addff37642360d48fa3b4d138d98580e2f0c2508b14c6d7098437b01c54a91c
Nom du fichier : explore.exe
Ratio de détection : 1 / 45
Date d’analyse : 2013-08-31 23:17:11 UTC (il y a 0 minute)

Fortinet W32/Zbot.AAN!tr 20130831

URLs :

1377991544.032 357 192.168.1.222 TCP_MISS/200 317 GET http://69.197.24.179/c_locker/check_bot.php?bot_id=00-FF-98-6D-AF-03-359929203 – DIRECT/69.197.24.179 text/html
1377991545.497 17 192.168.1.222 TCP_MISS/000 0 GET http://69.197.24.179/c_locker/style_2.css – DIRECT/69.197.24.179 –
1377991545.498 15 192.168.1.222 TCP_MISS/000 0 GET http://69.197.24.179/c_locker/zebra/javascript/zebra_dialog.js – DIRECT/69.197.24.179 –
1377991545.498 15 192.168.1.222 TCP_MISS/000 0 GET http://69.197.24.179/c_locker/js/form_fr.js – DIRECT/69.197.24.179 –
1377991545.619 683 192.168.1.222 TCP_MISS/200 8600 GET http://69.197.24.179/c_locker/update.php?bot_id=00-FF-98-6D-AF-03-359929203&have_webcam=no – DIRECT/69.197.24.179 text/html
1377991545.872 360 192.168.1.222 TCP_MISS/200 1984 GET http://69.197.24.179/c_locker/style_2.css – DIRECT/69.197.24.179 text/css
1377991545.878 365 192.168.1.222 TCP_MISS/200 3278 GET http://69.197.24.179/c_locker/zebra/javascript/zebra_dialog.js – DIRECT/69.197.24.179 application/javascript
1377991545.907 394 192.168.1.222 TCP_MISS/200 1959 GET http://69.197.24.179/c_locker/js/form_fr.js – DIRECT/69.197.24.179 application/javascript
1377991546.091 579 192.168.1.222 TCP_MISS/200 2330 GET http://69.197.24.179/c_locker/zebra/css/default/zebra_dialog.css – DIRECT/69.197.24.179 text/css
1377991546.351 255 192.168.1.222 TCP_MISS/200 2899 GET http://69.197.24.179/c_locker/img/logo.png – DIRECT/69.197.24.179 image/png
1377991546.358 261 192.168.1.222 TCP_MISS/200 6251 GET http://69.197.24.179/c_locker/img/logoRight.png – DIRECT/69.197.24.179 image/png
1377991546.362 237 192.168.1.222 TCP_MISS/200 4363 GET http://69.197.24.179/c_locker/img/barcode.png – DIRECT/69.197.24.179 image/png
1377991546.366 240 192.168.1.222 TCP_MISS/200 3156 GET http://69.197.24.179/c_locker/img/psc.png – DIRECT/69.197.24.179 image/png
1377991546.538 184 192.168.1.222 TCP_MISS/200 3763 GET http://69.197.24.179/c_locker/img/ukash.png – DIRECT/69.197.24.179 image/png
1377991546.555 423 192.168.1.222 TCP_MISS/200 3854 GET http://69.197.24.179/c_locker/img/banner2.png – DIRECT/69.197.24.179 image/png
1377991546.562 193 192.168.1.222 TCP_MISS/200 3105 GET http://69.197.24.179/c_locker/img/hadopi.png – DIRECT/69.197.24.179 image/png
1377991546.733 192 192.168.1.222 TCP_MISS/200 5197 GET http://69.197.24.179/c_locker/img/mcafee.png – DIRECT/69.197.24.179 image/png
1377991546.860 730 192.168.1.222 TCP_MISS/200 6198 GET http://69.197.24.179/c_locker/img/banner1.png – DIRECT/69.197.24.179 image/png
1377991546.871 314 192.168.1.222 TCP_MISS/200 3737 GET http://69.197.24.179/c_locker/img/microsoft.png – DIRECT/69.197.24.179 image/png
1377991546.878 315 192.168.1.222 TCP_MISS/200 4736 GET http://69.197.24.179/c_locker/img/interpol.png – DIRECT/69.197.24.179 image/png
1377991547.176 181 192.168.1.222 TCP_MISS/404 593 GET http://69.197.24.179/favicon.ico – DIRECT/69.197.24.179 text/html

Désinfection

Mode sans échec

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • !!! Choisissez la session infectée !!!
  • Téléchargez sur le bureau : http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
  • Lancez RogueKiller.exe.
  • Attendez que le Prescan ait fini
  • Lancez un scan à partir du bouton Scan en haut à droite.
  • Une fois que le scan est terminé, cliquez sur Suppression à droite.
  • Redémarrez l’ordinateur, le malware doit être éradiqué.
  • Suivez le dernier paragraphe « Après Désinfection » pour sécuriser votre ordinateur.
  • Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Restauration du système en invite de commandes en mode sans échec (toutes versions)

Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263

http://www.youtube.com/watch?feature=player_embedded&v=bpp2x88ys7E

Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

CD Live Malekal

RogueKiller ne gère pas cette variante.

Démarrer le PC infecté sur le CD Live Malekal

Ouvrez le menu Démarrer / System Tools / Registry et Remote Registry

Flimrans_ransomware_Office_central_lutte_regedit

A gauche déroulez l’arborescence suivante :

HKEY_LOCAL_MACHINE
\SESSIONINFECTEE_ON_C
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

Vérifiez à droite que le contenu des clefs Shell et Userinit sont comme dans la capture ci-dessus.
Attention, c’est bien Explorer.exe et pas Explore.exe – la virgule à la fin dans la clef Userinit, après userinit.exe est importante.
Clef_Winlogon

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 72 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *