Ransomware Reveton (autre variante)

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Une autre variante de Reveton.
Grace à ce topic : https://forum.malekal.com/virus-blackhole-exploit-kit-sur-mon-site-t44718.html#p352270 - sample : http://malwaredb.malekal.com/index.php?hash=d6fba8ade46b5dc07cbe070fa7b789cc

J'ai pu choper une variante.

La page de blocage a un peu changé, puis qu'on retrouve maintenant le logo HADOPI.
Menottes grises.

Flimrans_V2_suite_blocage

Ce dernier se charge donc via des sites hacké comme expliqué sur ce sujet : Reveton.

Flimrans_V2

Un .reg est chargé afin de remplacer le contenu de la clef : HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Filmrans_V2_suiteFilmrans_V2_suite2

Depuis le CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/
On retrouve les fichiers malicieux avec des noms aléatoires dans Application Data du dossier All Users (ou Public sur Vista/Seven), vous pouvez les supprimer :

Flimrans_V2_suite5

Passez un coup de RogueKiller en suppression, cela va supprimer la clef Run :
Filmrans_V2_suite4

via le Remote Regedit :

Flimrans_ransomware_Office_central_lutte_regedit
On retrouve le contenu malicieux qui pointe vers les fichiers dans la clef ServiceDll de HKEY_LOCAL_MACHINE/CurrentControlSet/Services/wingmgt/Parameters/ServiceDll
Double-cliquez, effacez et remettez :

%SYSTEMRoot%\system32\wbem\WMIsvc.dll

Flimrans_V2_suite3

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Ransomware Reveton (autre variante) mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum