Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n’est pas adequate : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
Une nouvelle variante d’un ransomware après le Virus Gendarmerie : GEMA – L’accès à votre ordinateur a été fermé
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande : https://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement
Table des matières
Désinfection
Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
Fermer la fenêtre Virus Gema
Il est possible de récupérer la main sur le système via la combinaison de touches CTRL+ALT+PAUSE (pause est la touche en haut à droite du clavier).
Si la fenêtre se relance, refaire la combinaison de touche assez rapidement pour la fermer, celle-ci devrait plus se lancer.
Vous pouvez ensuite faire un scan avec ou RogueKiller avec l’option suppression puis Malwarebyte Anti-Malware
(Dans le cas où vous ne récupérez pas votre bureau après la fermeture de la fenêtre GEMA, faire CTRT+ALT+SUPPR pour ouvrir le gestionnaire de tâches puis Menu Fichier / Nouvelle tâche et taper iexplore.exe et valider.
Cela doit lancer Internet Explorer, ce qui peux vous permettre de télécharger RogueKiller et Malwarebyte).
En vidéo :
Windows Seven : Restauration du système
Seulement pour ceux qui sont en Windows Seven : Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
Depuis un CD Live : Kaspersky Live CD et Windows Unlocker
Kaspersky Live CD inclue une fonction Windows Unlocker qui permet de récupérer la main tout de suite après en mode sans échec pour par exemple utiliser Malwarebyte Anti-Malware ou RogueKiller.
Il est conseillé de faire un scan, ans oublier avant, de mettre à jour les définitions virales, le malware peux être détecté par Kaspersky.
Plus d’informations : https://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Depuis un CD Live
Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : http://support.kaspersky.com/faq/?qid=208285003
- Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : https://forum.malekal.com/otlpe-live-t23453.html#p195540
- Cela permet d’avoir accès au fichier du PC.
- Ouvrez le gestionnaire de fichiers par le menu disponible depuis un clic droit sur le bureau.
- Allez dans le dossiers Discs, la partition C de votre disque doit être présentez.
- Aller dans le dossier system32 de Windows et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware (ci dessous le fichier gema.exe).
- Même chose dans le dossier utilisateur :
- Windows Vista/Seven : C:\\Utilisateurs\\<user>\\Appdata\gema.exe et C:\\Utilisateurs\\All Users\\AppData\\gema.exe
- Windows Xp : C:\\Documents and Settings\\<user>\\Application Data\\gema.exe et C:\\Documents and Settings\\All Users\\Application Data\\gema.exe
Exemple ci-dessous avec le fichier malicieux gema.exe depuis le Kaspersky Live CD
- Si doute, faire un scan sur VirusTotal : http://www.virustotal.com
- Renommer le fichier en question.
- Redémarrer l’ordinateur et voyiez si ce dernier est inactif.
Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarrer sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tappez : \\\\adresseduPC\\c$\\Windows\\System32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.
Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
EDIT 15 Février 2012
Le fichier malicieux se nomme maintenant gema.exe.
RogueKiller ne supprime pas les clefs Run, je vais prévenir l’auteur 🙂
Détection antivirus du fichier malicieux récupéré : https://www.virustotal.com/file/67ed1a0d2b186e19211258132c267d5fd266830e1f453b15f952247eecf68a13/analysis/1329328428/
ByteHero Trojan.Malware.Win32.xPack.h 20120215 Kaspersky UDS:DangerousObject.Multi.Generic 20120215 NOD32 probably a variant of Win32/LockScreen.AJX 20120215
EDIT MARS 2012
Il semblerait qu’une nouvelle variante a vu le jour. Sur cette variante la combinaison de touches CTRL+ALT+PAUSE ne semble pas fonctionner.
Le malware se charge par une simple clef Run, contrairement aux variantes précédentes.
Cependant le malware supprime les clefs Safeboot, le redémarrage en mode sans échec n’est pas possible, on obtient un écran bleu : BSOD STOP 0X0000007B
Néanmoins, pour Windows XP, il est possible de lancer une restauration du système (aucune perte de données) via l’invites de commandes en mode sans échec.
Il faut passer les commandes comme dans la capture-ci dessous.
Dans le cas de Windows Seven, la restauration peux être faite au démarrage (voir début du billet).
Les clefs SafeBoot peuvent êtres restaurées, suivre la page suivante : https://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/
Ci-dessous, une capture du panel de tracking du malware. Comme vous pouvez le constater les plus touchés sont les Allemands (logique vu que l’alerte est de type GEMA).
Vous avez le nombre de vauchers 41, je vous laisse faire le calcul des gains obtenus pour ce site.
EDIT – 5 septembre
Retour du virus Gema en français :
