Virus GEMA : L’accès à votre ordinateur a été fermé

Pour tout besoin d'aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n'est pas adequate : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Une nouvelle variante d'un ransomware après le Virus Gendarmerie : GEMA - L'accès à votre ordinateur a été fermé
GEMA est l'équivalent de la SACEM en allemagne, c'est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande : https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police/

Le but ici est donc de faire croire que l'internaute a été pris en train de télécharger des chansons illégalement (piratage), d'où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement 

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d'aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Fermer la fenêtre Virus Gema

Il est possible de récupérer la main sur le système via la combinaison de touches CTRL+ALT+PAUSE (pause est la touche en haut à droite du clavier).
Si la fenêtre se relance, refaire la combinaison de touche assez rapidement pour la fermer, celle-ci devrait plus se lancer.
Vous pouvez ensuite faire un scan avec  ou RogueKiller avec l’option suppression puis  Malwarebyte Anti-Malware

(Dans le cas où vous ne récupérez pas votre bureau après la fermeture de la fenêtre GEMA, faire CTRT+ALT+SUPPR pour ouvrir le gestionnaire de tâches puis Menu Fichier / Nouvelle tâche et taper iexplore.exe et valider.
Cela doit lancer Internet Explorer, ce qui peux vous permettre de télécharger RogueKiller et Malwarebyte).

En vidéo :

Windows Seven : Restauration du système

Seulement pour ceux qui sont en Windows Seven :  Lancer une restauration au démarrage via la touche F8, pour plus d'informations, se reporter à l'onglet réparation : https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Depuis un CD Live : Kaspersky Live CD et Windows Unlocker

Kaspersky Live CD inclue une fonction Windows Unlocker qui permet de récupérer la main tout de suite après en mode sans échec pour par exemple utiliser Malwarebyte Anti-Malware ou RogueKiller.
Il est conseillé de faire un scan, ans oublier avant, de mettre à jour les définitions virales, le malware peux être détecté par Kaspersky.

Plus d'informations : https://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Depuis un CD Live

Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : http://support.kaspersky.com/faq/?qid=208285003

• Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : https://forum.malekal.com/otlpe-live-t23453.html#p195540
• Cela permet d'avoir accès au fichier du PC.
• Ouvrez le gestionnaire de fichiers par le menu disponible depuis un clic droit sur le bureau.
• Allez dans le dossiers Discs, la partition C de votre disque doit être présentez.
• Aller dans le dossier system32 de Windows et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware (ci dessous le fichier gema.exe).
• Même chose dans le dossier utilisateur :
  • Windows Vista/Seven : C:\\Utilisateurs\\<user>\\Appdata\gema.exe et C:\\Utilisateurs\\All Users\\AppData\\gema.exe
  • Windows Xp : C:\\Documents and Settings\\<user>\\Application Data\\gema.exe et  C:\\Documents and Settings\\All Users\\Application Data\\gema.exe

Exemple ci-dessous avec le fichier malicieux gema.exe depuis le Kaspersky Live CD

• Si doute, faire un scan sur VirusTotal : http://www.virustotal.com
• Renommer le fichier en question.
• Redémarrer l'ordinateur et voyiez si ce dernier est inactif.

Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarrer sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tappez : \\\\adresseduPC\\c$\\Windows\\System32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.

Aucune aide ne sera donnée en commentaire, si vous avez besoin d'aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

EDIT 15 Février 2012

Le fichier malicieux se nomme maintenant gema.exe.
RogueKiller ne supprime pas les clefs Run, je vais prévenir l'auteur 🙂

Détection antivirus du fichier malicieux  récupéré : https://www.virustotal.com/file/67ed1a0d2b186e19211258132c267d5fd266830e1f453b15f952247eecf68a13/analysis/1329328428/

ByteHero    Trojan.Malware.Win32.xPack.h    20120215
Kaspersky    UDS:DangerousObject.Multi.Generic    20120215
NOD32	probably a variant of Win32/LockScreen.AJX	20120215

 EDIT MARS 2012

Il semblerait qu'une nouvelle variante a vu le jour. Sur cette variante la combinaison de touches CTRL+ALT+PAUSE ne semble pas fonctionner.
Le malware se charge par une simple clef Run, contrairement aux variantes précédentes.
Cependant le malware supprime les clefs Safeboot, le redémarrage en mode sans échec n'est pas possible, on obtient un écran bleu : BSOD STOP 0X0000007B

Néanmoins, pour Windows XP, il est possible de lancer une restauration du système (aucune perte de données) via l'invites de commandes en mode sans échec.
Il faut passer les commandes comme dans la capture-ci dessous.

Dans le cas de Windows Seven, la restauration peux être faite au démarrage (voir début du billet).

Les clefs SafeBoot peuvent êtres restaurées, suivre la page suivante : https://www.malekal.com/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

Ci-dessous, une capture du panel de tracking du malware. Comme vous pouvez le constater les plus touchés sont les Allemands (logique vu que l'alerte est de type GEMA).
Vous avez le nombre de vauchers 41, je vous laisse faire le calcul des gains obtenus pour ce site.

EDIT - 5 septembre

Retour du virus Gema en français :