Ransomware Reveton (autre variante)

Une autre variante de Reveton.
Grace à ce topic : https://forum.malekal.com/virus-blackhole-exploit-kit-sur-mon-site-t44718.html#p352270 - sample : http://malwaredb.malekal.com/index.php?hash=d6fba8ade46b5dc07cbe070fa7b789cc

J'ai pu choper une variante.

La page de blocage a un peu changé, puis qu'on retrouve maintenant le logo HADOPI.
Menottes grises.

Flimrans_V2_suite_blocage

Ce dernier se charge donc via des sites hacké comme expliqué sur ce sujet : Reveton.

Flimrans_V2

Un .reg est chargé afin de remplacer le contenu de la clef : HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Filmrans_V2_suiteFilmrans_V2_suite2

Depuis le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
On retrouve les fichiers malicieux avec des noms aléatoires dans Application Data du dossier All Users (ou Public sur Vista/Seven), vous pouvez les supprimer :

Flimrans_V2_suite5

Passez un coup de RogueKiller en suppression, cela va supprimer la clef Run :
Filmrans_V2_suite4

via le Remote Regedit :

Flimrans_ransomware_Office_central_lutte_regedit
On retrouve le contenu malicieux qui pointe vers les fichiers dans la clef ServiceDll de HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Double-cliquez, effacez et remettez :

%SYSTEMRoot%\system32\wbem\WMIsvc.dll

Flimrans_V2_suite3

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Ransomware Reveton (autre variante) mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum