Ransomware version “Kbot”

Après le ransomware "surveys" - Mes "amis" de Kbot se mettent aux ransomwares fake police : Office Central de la Lutte contre la Criminalité liée aux technologies de l'information et de la communication.

Kbot_Ransom

 

Le ransomware en question se lance par une simple clef Run:

O4 - HKLM\..\Run: [Windows Defender] C:/Documents and Settings/Kevin\Application Data/WinDefender/WinDefender.exe
O4 - HKCU\..\Run: [Windows Defender] C:/Documents and Settings/Kevin\Application Data/WinDefender/WinDefender.exe

Le mode sans échec est fonctionnel, vous pouvez donc redémarrer en mode sans échec et lancer par exemple RogueKiller pour supprimer le malware.

Kbot_Ransom2

Un petit bug, il faut redémarrer la session pour que le ransomware se lance "bien".
Kbot_Ransom3

et hoo le message (ça change des nikoumouk etc).
Sans surprise, des français.
Hello khant (allemand?), Lloyd, pins, inex 🙂
Kbot_Ransom5

 

 

La machine est aux Pays-Bas : http://94.102.63.221/amende/pages/FR.php
Surement parce qu'OVH se met à fermer les machines trop rapidemment 🙂

Ha oui... avant de me prendre un autre DoS - j'ai informé mon contact à la Gendarmerie qui n'apprécie pas trop les ransomwares dernièrement => http://stopransomware.fr/

Kbot_Ransom6

DoS_Kbot

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Ransomware version “Kbot” mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum