Ransomware Reveton (autre variante)

Une autre variante de Reveton.
Grace à ce topic : https://forum.malekal.com/virus-blackhole-exploit-kit-sur-mon-site-t44718.html#p352270 – sample : http://malwaredb.malekal.com/index.php?hash=d6fba8ade46b5dc07cbe070fa7b789cc

J’ai pu choper une variante.

La page de blocage a un peu changé, puis qu’on retrouve maintenant le logo HADOPI.
Menottes grises.

Flimrans_V2_suite_blocage

Ce dernier se charge donc via des sites hacké comme expliqué sur ce sujet : Reveton.

Flimrans_V2

Un .reg est chargé afin de remplacer le contenu de la clef : HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Filmrans_V2_suiteFilmrans_V2_suite2

Depuis le CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/
On retrouve les fichiers malicieux avec des noms aléatoires dans Application Data du dossier All Users (ou Public sur Vista/Seven), vous pouvez les supprimer :

Flimrans_V2_suite5

Passez un coup de RogueKiller en suppression, cela va supprimer la clef Run :
Filmrans_V2_suite4

via le Remote Regedit :

Flimrans_ransomware_Office_central_lutte_regedit
On retrouve le contenu malicieux qui pointe vers les fichiers dans la clef ServiceDll de HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Double-cliquez, effacez et remettez :

%SYSTEMRoot%\system32\wbem\WMIsvc.dll

Flimrans_V2_suite3

(Visité 50 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet