Ransomware/Trojan.Winlock : Windows a été bloqué pour des raisons de sécurité

Merci à S!Ri pour le sample.
=> http://www3.malekal.com/malwares/index.php?hash=e9455eb1b164b212142c903acd882c6a

SHA256:	e193ac006ac4682a01bea11f7084469594e05cba917861196dd92af4a3e7bc5c
File name:	E9455EB1B164B212142C903ACD882C6A.exe
Detection ratio:	3 / 28
Analysis date:	 2012-02-02 14:40:35 UTC ( 31 minutes ago )

AVG unknown virus Win32/DH.FF8402C7{00000000-00080000-00000000} 20120202
McAfee Artemis!E9455EB1B164 20120202
McAfee-GW-Edition Artemis!E9455EB1B164 20120202

 

 

Un autre ransomware, cette fois-ci qui ne se fait pas passer pour la Police. Ici le PC est bloqué pour des raisons de sécurité suite à la visite de sites pornographiques (donc potentiellement le malware sera transmis via ces sites certainement par des exploits sur site WEB).

Le ransomware propose une mise à jour pour ne pas perdre ses données.

 

et le  système sera mis à jour, bonne nouvelle les malwares seront supprimés.
Je vous laisse juge des fautes, le message étant certainement issu d'un traducteur informatique, l'auteur étant dans un pays très très à l'EST.

Les connexions :

TCP_MISS/200 1126437 GET http://mekrosoft.in/1.bmp - DIRECT/184.22.188.84 image/x-ms-bmp
TCP_MISS/200 1126437 GET http://mekrosoft.in/2.bmp - DIRECT/184.22.188.84 image/x-ms-bmp
TCP_MISS/200 332 GET http://microlsoft.in/zip/gate.php?user=partner_012&uid=%7B93D614BD-D110-11DE-BC79-806D6172696F%7D&os=2 - DIRECT/184.22.188.84 text/html
 
Info domain :
Admin ID:DI_20514702
Admin Name:Alex Udakov
Admin Organization:fuller
Admin Street1:2323
Admin Street2:
Admin Street3:
Admin City:4350458
Admin State/Province:345254252
Admin Postal Code:121500
Admin Country:RU
Admin Phone:+7.4955555557
Admin Phone Ext.:
Admin FAX:+7.4955555557
Admin FAX Ext.:
Admin Email:[email protected]
 
 

Le malware se lance par une simple clef Run, dès lors il n'est pas actif en mode sans échec :

O4 - HKCU\\\\..\\\\Run: [panel] C:\\\\Documents and Settings\\\\Mak\\\\Application Data\\\\panel\\\\panel.exe -b

Une restauration du système (pas de perte de données) est donc possible ou un scan Malwarebyte Anti-Malware en mode sans échec avec prise en charge du réseau.

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Ransomware/Trojan.Winlock : Windows a été bloqué pour des raisons de sécurité mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum