Trojan.Winlock / Trojan.Ransomware : Virus Police

EDIT – Avril 2012 : confirmation de campagnes de publicités malicieuses « Malvertising »  conduisant à des exploits sur site WEB depuis fin Novembre.

source http://www.securitycartoon.com/

Un billet concernant ces Trojan.Winlock/Trojan.Ransomware – pour rappel un Trojan.Winlock est un malware qui bloque le chargement du bureau et vous demande quelques chose en échange afin de débloquer votre PC (envoie d’un SMS, argent etc). Bref une rançon.

Le principe n’est pas nouveau :
https://forum.malekal.com/sms-ransomware-trojan-winlock-t21772.html
https://www.malekal.com/2011/04/27/ransomware-plugin-erreur-critique-0x00874324/
https://forum.malekal.com/flash-player-exe-ransomware-t26652.html
https://forum.malekal.com/http-mms2u-info-exe-php-6067178d6665bcfe-t26727.html#p216584

Ici ce qui est interressant, c’est que les ransomwares tentent de se faire passer par des messages de la Police.

Comme vous pouvez le voir ci-dessus, il y a une grosse campagne courant octobre avec des sujets « Virus Police Nationale ».
Je soupçonne très fortement, après discussion avec les victimes, une campagne, via des publicités infectées, notamment sur les sites de streaming comme on avait eu là :https://www.malekal.com/2011/03/08/site-de-streaming-et-malware-advertisement-et-infections-round-2/

Je vous cache pas l’effet psychologique d’un tel malware provenant soit disant de la police quand on se trouve sur ces sites.
Sur le forum de commentcamarche.net :

Il existe donc des ransomwares reprenant des messages de polices de divers pays.
Je n’ai pas pu mettre la main sur la version française : Virus Police Nationale.

Néanmoins, Xylitol (que je remercie) m’a donné deux samples de la version allemand de ces Trojan.Ransomware : Achtung !

J’en profite aussi pour donner ces deux liens provenant de son blog : http://xylibox.blogspot.com/2011/05/trojanransom-fake-federal-german-police.html

et le second sample : http://xylibox.blogspot.com/search?updated-max=2011-11-27T18:23:00%2B01:00&max-results=5

Les messages s’affichent au chargement de Windows et il est impossible de faire quoique ce soit (c’est bien le but).
Les deux samples réclament l’envoi d’argent afin de débloquer votre Windows.
Comme vous pouvez le constater les messages sont très propres et font sérieux et peuvent donc tromper l’internaute qui pense alors avoir affaire à un message officiel.

Voici quelques autres captures en vrac trouvées ci et là :

Ci-dessous, Gema qui est plutôt un organisme de droit d’auteur (un équivalent de notre Sacem) : http://en.wikipedia.org/wiki/Gesellschaft_für_musikalische_Aufführungs-_und_mechanische_Vervielfältigungsrechte<

EDIT : Debut Février, une vague en français via une traduction est en ligne : https://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

Merc à Jipe_

Si on se réfère à ce topic : http://xylibox.blogspot.com/2011/11/fakeavfakepolicealert-source-code-for.html
L’auteur vend carrement le code source – il semblerait que cette personne soit aussi à l’origine de divers rogues (mais pas que cela) dont des familles qui avaient valu des campagnes assez virulente.
D’ailleurs, si vous regardez le lien que j’ai donné plus haut sur les malwares via des publicités sur des sites de streaming, on peux voir qu’un Antivirus Monitor était droppé qui ressemble assez aux rogues produits par cette personne.

Désinfection Trojan.Winlock – Virus Police

Côté désinfection, ce n’est pas forcément simple selon le point de chargement utilisé, chose qui peux évoluer dans le temps ou selon la variante sur laquelle vous tomber.
La meilleur solution est de redémarrer en mode sans échec et de tenter de faire un scan avec Malwarebyte.

Si le Trojan.Winlock est actif en mode sans échec, vous êtes bonbons, il y a alors des chances qu’il faille passer par un CD Live comme c’était le cas sur cette variante :

Vous avez un PDF qui explique comment faire : https://twitter.com/#!/Xylit0l/status/135795708887437312

Sinon voici une procédure plus générique :

• Redémarrer en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
• Télécharger et installer Malwarebyte : https://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
• Mettez le à jour, fais un scan rapide, supprimer tout et poste le rapport ici.
• !!! Malwarebyte doit être à jour avant de faire le scan !!! 
• Supprimer bien ce qui est détecté : bouton supprimer sélection.

Si cela ne fonctionne pas, créer un sujet dans la partie Virus du forum

EDIT Mi-Decembre 2011 :

Explosion des sujets relatifs à ces malwares avec notamment des versions françaises :

• Trojan.Winlock / Tropan.Ransomware : Virus Police (suite)
• Trojan Fake Police / Virus Gendarmerie Nationale

EDIT Janvier 2012 :

Nouvelle charte graphique : https://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/ 
Merci à : http://secuboxlabs.fr/kolab/

 

et le fameux virus gendarmerie : https://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ 

ce dernier est décliné en version belge et espagnol

EDITION au début février 2012 :

Debut Février, une vague en français via une traduction est en ligne : https://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

Quelques autres captures des Fake Police étrangers : http://secuboxlabs.fr/kolab/api?hash=da6016eccf90097e4053c62ce7654ce6dca2674f

EDIT Début mars 2012

Quelques autres en vrac :

Autriche :

Belgique :

Finlande :

Luxembourg :

Portugal :

Suède :

Etats-Unis :

EDIT Mars 2012 – nouveau Trojan.Ransomware : https://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

EDIT début Mai pour rajouter ces deux variantes :

EDIT Mi-mars : le virus initialement « virus gema » (la sacem version allemande) commence à être porté dans divers pays :

Virus Sacem pour la France :

Angleterre avec PRS for Music : Pays bas avec buma stemra :

La Suisse :

EDIT Mai 2012 – Virus GVU remplace le Virus Sacem

EDIT Fin MARS 2012

Le Virus gendarmerie « Votre ordinateur est bloqué sous diverses langues »: https://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

Espagnol : Su ordenador fue bloqueado por violacion de las leyes de Espana :

Version italiene : Ill suo computer è per una violazione delle leggi d’Italia

EDIT – Debut Avril 2012

Une nouvelle variante Police Nationale : https://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

On retrouve les déclinaisons pour les différents pays.
Ci-dessous l’espagne avec la Cuerpo Nacional de Policia :

L’Italie avec la Polizia Di Stato

L’Allemagne avec BundesPolizei :

EDIT – 14 Avril

Autre variante : https://www.malekal.com/2012/04/13/un-autre-ransomware-gendarmerie-votre-ordinateur-a-ete-bloqueverrouille/

La version anglaise :

la version Italienne :

EDITION – MI MAI 2012

Deux nouvelles variantes.

Virus Police Nationale Française : Activite illégale révelée : https://www.malekal.com/2012/05/12/virus-police-nationale-francaise-activite-illegale-revelee/

Retour du remplacement d’explorer.exe : https://www.malekal.com/2012/05/15/ransomware-virus-gendarmerie-retour-du-remplacement-explorer-exe/

Autre mise à jour : Ransomware : La criminalité sur internet est détectés!

22 Mai 2012

Deux nouvelles variantes : https://www.malekal.com/2012/05/22/ransomware-ordinateur-bloque-par-systeme-de-controle-automatique-informationnel/

EDIT 2 Juin

Quelques versions revisitées du Virus Sacem :

EDIT – 18 Juillet : Ransomware International Police Association

Se reporter au billet : https://www.malekal.com/2012/07/18/ransomware-fake-police-international-police-association/