Vu là : https://forum.malekal.com/virus-encrypt-photo-microsoft-bitlocker-t44400.html La page de blocage  – cette dernière se fait passer pour Microsoft Licensing Service Center. 1377008895.324 48 192.168.1.12 TCP_MISS/304 272 GET http://www.microsoft-code.com/PCS/ – DIRECT/79.170.40.162 – 1377008895.554 492 192.168.1.12 TCP_MISS/200 283 GET http://microsoft-code.com/stats.php – DIRECT/79.170.40.162 text/html 1377008936.368 55 192.168.1.12 TCP_MISS/403 839 GET http://eloise013.olympe.in/external – DIRECT/46.105.118.15 text/html Le […]

After the shutdown of the Reveton’s Malvertising : https://www.malekal.com/2013/07/30/en-juicyads-reveton-malvertising/ https://www.malekal.com/2013/07/28/en-plugrush-reveton-malvertising/ https://www.malekal.com/2013/07/26/en-reveton-adxpansion-com-malvertising/ We can see a nice fall down in the RogueKiller statistic : http://www.sur-la-toile.com/RogueKiller/stats.php Looks like they are trying an other way to get traffic, using a Hacked website : http://ninoromano.it/DNGJxdCW.php (62.149.128.154) http://www.ninoromano.it/DNGJxdCW.php (62.149.128.154) http://recitonshautakirjoituksia.cachemeifyoucangame.com:801/conversion-silent_mole_crew.html http://recitonshautakirjoituksia.cachemeifyoucangame.com:801/domestic-wellknown.html http://recitonshautakirjoituksia.cachemeifyoucangame.com:801/obedience_colour-fatal.html http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/15.0.1/update/win32/fr/firefox-15.0.1.complete.mar http://recitonshautakirjoituksia.cachemeifyoucangame.com:801/department-kidney-gastric-shortly.jar http://recitonshautakirjoituksia.cachemeifyoucangame.com:801/java/lang/ClassBeanInfo.class http://recitonshautakirjoituksia.cachemeifyoucangame.com:801/java/lang/ObjectBeanInfo.class […]

Une campagne a actuellement lieu sur des sites pornographiques, cette campagne a pour but d’ouvrir une fausse pages type « Virus Gendarmerie« . Ces pages sont ouvertes par des redirections opérées par des régies de publicités depuis les sites pornographiques : aucun virus n’est installé sur l’ordinateur. Pour vous protéger contre ces infections, […]

Nouveau Skin pour Urausy avec le logo de la Police Nationale en plus de celui de la Gendarmerie Nationale. Une photo du Président de la République. Le titre est maintenant : Agence Nationale de la Sécurité des systèmes d’information : Haute Autorité pour la Diffusion des Oeuvres et de la […]

Merci à malware.lu pour le sample. Une variante du virus Police/gendarmerie, avec en titre « Ministère de l’intérieur » : Votre fournisseur d’accès à Internet est bloqué. Des images pornograhiques sont aussi affichées. Note : Rien à voir avec les variantes Reveton. J’ai finalement pu trouver comment il se propage par faux codec […]

Merci à @kafeine pour le sample. Un nouveau ransomware qui se fait passer pour SPAMHAUS (un service de RBL pour spam mail). Pas encore vu de sujet de ce cas, je ne suis pas certains que ce malware vise la France. Le malware ajoute simplement une clef RUN donc le […]

Pas nouveau puisque ça doit faire plusieurs mois que ces sites de faux codec existent, mais pas mal de sujet de désinfection d’Urausy dû à cela, donc un billet informatif. Le principe est loin d’être nouveau puisqu’il était utilisé en 2006 : https://forum.malekal.com/faux-codec-zlob-videoaccess-trojan-win32-dnschanger-t878.html J’en avais reparlé là : https://www.malekal.com/2011/09/13/faux-codecfaux-flash-player-social-engineering/ Des faux […]

Merci à @kafeine pour le sample. La semaine dernière, je signalais que la variante Reveton reprenait l’écran Office Central de Lutte contre la criminalité liée aux technologies de l’information et de la comunication initialement utilisée par la variante Urausy => https://www.malekal.com/2013/04/02/reveton-reprends-les-skins-durausy-virus-hadopi/ Voici une troisière variante, comme vous pouvez le constater, celle-ci […]

Vu en Tweet chez Kafeine : https://twitter.com/kafeine/status/319012109436456960 La variante Reveton (anciennement skin Virus Ministère de l’intérieur) reprend les skins d’Urausy aka « Virus Hadopi » : https://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/ Ci-dessous une capture d’écran. La grosse différence avec Urausy est qu’il n’y a pas l’image avec les menottes et la webcam sur la gauche – le contour semble […]

Le ransomware Gendarmerie Urausy, lorsqu’il ne parvient pas à charger la page de blocage, affiche une page blanche. Cette page vous explique comment vous débarrasser de cette page blanche au démarrage de Windows. A l’ouverture de la session, on se retrouve avec le fond d’écran : puis la page blanche […]

Toujours par des malvertising sur adf.ly : http://adf.ly/holder.php http://adf.ly/static/other/omnigy7425325409.swf?n=986334 http://adf.ly/1market.php?cb=3m&sc=1&t=38c49c7664b4bb56cbe8d9cae87c8772&d=521153&n=986334 http://jonaffis.com/ http://jonaffis.com/index-Dateien/layout_1.css http://j.maxmind.com/app/geoip.js http://jonaffis.com/tracking.js http://releaseszooms.net/orders/buried_symbols_model.php (173.212.238.18) Domain Name: RELEASESZOOMS.NET Registrar: INTERNET.BS CORP. Whois Server: whois.internet.bs Referral URL: http://www.internet.bs Name Server: NS1.AIRPORTFOUNDED.COM Name Server: NS2.AIRPORTFOUNDED.COM Status: clientTransferProhibited Updated Date: 27-feb-2013 Creation Date: 27-feb-2013 Expiration Date: 27-feb-2014 Registrant Pivert Marx Email:pivert_marx63@airforceemail.com 300 […]

Merci @Kafeine pour le sample. Un Urausy Like (il se charge comme Urausy en modifiant la clef Shell avec skype.dat) mais qui reprends un écran assez similaire à CBeplay Ce dernier affiche le message : Activité illégale a été révélé! Tous les fichiers sont cryptés. Contrairement à ce qui est dit, […]

Nouveau Skin pour le ransomware Fake Police Urausy qui se fait passer pour l’OFFICE CENTRAL DE LA LUTTE CONTRE LA CRIMINALITE LIEE AUX TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION. Vous avez une capture d’écran de l’ancien écran sur le billet suivant : https://www.malekal.com/2012/11/28/en-urausy-ransomware-get-an-update-and-taunts-antivirus/ A droite, on a le logo […]

Une page consacrée aux ransomwares Survey. J’en avais déjà parlé sur ce billet : https://www.malekal.com/2012/12/13/ransomware-survey-unlock-this-page-to-continue/ Pour le moment, le phénomène ne prend pas énormément d’ampleur. On ne voit pas de sujet sur les forums de désinfection. Ces ransomware surveys sont surtout pour le moment utilisés sur quelques botnets pour monétiser. […]

Simplement pour signaler le premier ransomware Hadopi. (Pour ceux qui ne savent pas ce qu’est Hadopi, malgrè les péripéties médiatique lors de sa création, voici le lien Wikipedia : http://fr.wikipedia.org/wiki/Haute_Autorit%C3%A9_pour_la_diffusion_des_%C5%93uvres_et_la_protection_des_droits_sur_internet ). Je n’ai pas le malware en question – la photo a été prise par un internaute désinfecté sur le […]

Nouvelle variante du Ransomware Fake Police Reveton. Celle-ci tente toujours de se faire passer pour le Ministère de l’Intérieur et la Police Nationale comme la précédente : Ransomware Reveton variante : Ministère de l’intérieur Le graphisme est soignée, la traduction l’est beaucoup moins. Un gros encart rouge : VOTRE ORDINATER […]

Après le ransomware « surveys » – Mes « amis » de Kbot se mettent aux ransomwares fake police : Office Central de la Lutte contre la Criminalité liée aux technologies de l’information et de la communication.   Le ransomware en question se lance par une simple clef Run: O4 – HKLM\..\Run: [Windows Defender] […]

  Lancement du site communautaire stopransomware.fr, collaboration entre les sites botnets.fr et malekal.com. Le but du site est d’informer sur la menace des ransomwares qui depuis fin 2011 ont émergé. Le site propose une procédure de désinfection générique et des informations sur la sécurité informatique afin de se prémunir de ces […]

Un nouveau type de ransomware commence à arriver : ransomware survey Le but de ces ransomware contrairement aux ransomwares Fake Police est de bloquer le PC, pour pouvoir débloquer le PC, vous devez cliquer sur des liens de publicité. L’auteur du ransomware touchera de l’argent pour chaque clic. Etant donné […]

Just got an Exploit from a malvertising on tubemotion.com and again and again, from Clicksor network : then jumps to 195.3.146.81 and then the iframe to the Exploit Kit : So we got : http://ww.isstats.net/redirx4_gw389op.php?s_id=12 http://195.3.146.81/cust_gw/ads_m/show_bn.cd.php?sid=28429487 http://195.3.146.81/cust_gw/ads_m/show_bn.c.php?sid=53824578 http://transitionfluctuation.asia/anyplace/err_designed-charged.php   The dropper made some connections and then load an instance of […]

Merci à S!Ri de Malwarebyte’s pour capture, marchait pas chez moi le dropper 🙂 Un enième ransomware au nom de STOP PIRACY qui tente de se faire passer pour la SOPA et la PIPA (vous connaissez pas, c’est normal, mais c’est pour faire style). Et bien sûr il faut payer en […]

Today, i notice an update from Urausy ransomware (sample http://malwaredb.malekal.com/index.php?hash=5ffcea540f262d5a20165a03a9b11dfa). Previous version used the file msconfig.dat now it uses the file skype.dat and of course the skin is updated adding some informations (IP, Country, Username) and also a « Protected by » sentences with an image. In the first case, the image is […]

Reveton revient avec une nouvelle page ransomware « Ministère de l’intérieur » Désinfection Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html Mode sans échec Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela […]

Un nouveau écran winlock issu d’une nouvelle variante de Gimeno : Sur le dropper observé, ce dernier créé deux clefs Run et remplace le Shell de Windows :  Désinfection Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS […]

Une variante de ce ransomware https://www.malekal.com/2012/08/20/ransomware-fake-microsoft-security-essentials/ actuellement en ligne : Les clefs Safeboot ne sont pas touchées, le redémarrage en mode sans échec pour nettoyer l’ordinateur est possible. Le malware ajoute le fichier suivant : %APP%DATA/Adobe/flash_player.exe Désinfection Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre […]

Une nouvelle variante qui s’inspire au niveau du message d’écran déjà utilisé : https://www.malekal.com/2012/07/18/ransomware-fake-police-international-police-association/ Cette variante ne vise que les USA 🙂 Le malware se lance par une clef Run puis kill le processus explorer.exe L’URL contactée est de type http://HOST/picture.php Voici une capture du panel de gestion : Le malware […]