Virus GEMA : L’accès à votre ordinateur a été fermé

Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n’est pas adequate : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Une nouvelle variante d’un ransomware après le Virus Gendarmerie : GEMA – L’accès à votre ordinateur a été fermé
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande : https://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement 

GEMA : L'accès à votre ordinateur a été fermé

 

 

 

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Fermer la fenêtre Virus Gema

Il est possible de récupérer la main sur le système via la combinaison de touches CTRL+ALT+PAUSE (pause est la touche en haut à droite du clavier).
Si la fenêtre se relance, refaire la combinaison de touche assez rapidement pour la fermer, celle-ci devrait plus se lancer.
Vous pouvez ensuite faire un scan avec  ou RogueKiller avec l’option suppression puis  Malwarebyte Anti-Malware

(Dans le cas où vous ne récupérez pas votre bureau après la fermeture de la fenêtre GEMA, faire CTRT+ALT+SUPPR pour ouvrir le gestionnaire de tâches puis Menu Fichier / Nouvelle tâche et taper iexplore.exe et valider.
Cela doit lancer Internet Explorer, ce qui peux vous permettre de télécharger RogueKiller et Malwarebyte).

En vidéo :

Windows Seven : Restauration du système

Seulement pour ceux qui sont en Windows Seven :  Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Depuis un CD Live : Kaspersky Live CD et Windows Unlocker

Kaspersky Live CD inclue une fonction Windows Unlocker qui permet de récupérer la main tout de suite après en mode sans échec pour par exemple utiliser Malwarebyte Anti-Malware ou RogueKiller.
Il est conseillé de faire un scan, ans oublier avant, de mettre à jour les définitions virales, le malware peux être détecté par Kaspersky.

Plus d’informations : https://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Kaspersky Live CD et Windows Unlocker

Depuis un CD Live

Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : http://support.kaspersky.com/faq/?qid=208285003

  • Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : https://forum.malekal.com/otlpe-live-t23453.html#p195540
  • Cela permet d’avoir accès au fichier du PC.
  • Ouvrez le gestionnaire de fichiers par le menu disponible depuis un clic droit sur le bureau.
  • Allez dans le dossiers Discs, la partition C de votre disque doit être présentez.
  • Aller dans le dossier system32 de Windows et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware (ci dessous le fichier gema.exe).
  • Même chose dans le dossier utilisateur :
    • Windows Vista/Seven : C:\\Utilisateurs\\<user>\\Appdata\gema.exe et C:\\Utilisateurs\\All Users\\AppData\\gema.exe
    • Windows Xp : C:\\Documents and Settings\\<user>\\Application Data\\gema.exe et  C:\\Documents and Settings\\All Users\\Application Data\\gema.exe

Exemple ci-dessous avec le fichier malicieux gema.exe depuis le Kaspersky Live CD

Virus Gema

  • Si doute, faire un scan sur VirusTotal : http://www.virustotal.com
  • Renommer le fichier en question.
  • Redémarrer l’ordinateur et voyiez si ce dernier est inactif.

Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarrer sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tappez : \\\\adresseduPC\\c$\\Windows\\System32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

EDIT 15 Février 2012

Le fichier malicieux se nomme maintenant gema.exe.
RogueKiller ne supprime pas les clefs Run, je vais prévenir l’auteur 🙂

Détection antivirus du fichier malicieux  récupéré : https://www.virustotal.com/file/67ed1a0d2b186e19211258132c267d5fd266830e1f453b15f952247eecf68a13/analysis/1329328428/

ByteHero    Trojan.Malware.Win32.xPack.h    20120215
Kaspersky    UDS:DangerousObject.Multi.Generic    20120215
NOD32	probably a variant of Win32/LockScreen.AJX	20120215

 EDIT MARS 2012

Il semblerait qu’une nouvelle variante a vu le jour. Sur cette variante la combinaison de touches CTRL+ALT+PAUSE ne semble pas fonctionner.
Le malware se charge par une simple clef Run, contrairement aux variantes précédentes.
Cependant le malware supprime les clefs Safeboot, le redémarrage en mode sans échec n’est pas possible, on obtient un écran bleu : BSOD STOP 0X0000007B

BSOD STOP 0X0000007B

Néanmoins, pour Windows XP, il est possible de lancer une restauration du système (aucune perte de données) via l’invites de commandes en mode sans échec.
Il faut passer les commandes comme dans la capture-ci dessous.

Dans le cas de Windows Seven, la restauration peux être faite au démarrage (voir début du billet).

Les clefs SafeBoot peuvent êtres restaurées, suivre la page suivante : https://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

 

Ci-dessous, une capture du panel de tracking du malware. Comme vous pouvez le constater les plus touchés sont les Allemands (logique vu que l’alerte est de type GEMA).
Vous avez le nombre de vauchers 41, je vous laisse faire le calcul des gains obtenus pour ce site.

 

EDIT – 5 septembre

Retour du virus Gema en français :

 

Print Friendly, PDF & Email
(Visité 165 fois, 1 visites ce jour)
Noter cet article

74 Comments

  1. bandit972 4 février 2012
  2. kon-kun 4 février 2012
  3. Rol_Tanguy 4 février 2012
  4. malekalmorte 4 février 2012
  5. Gatochoco 5 février 2012
  6. Marcus 5 février 2012
  7. Oliv 5 février 2012
  8. Christophe 5 février 2012
  9. Manon 5 février 2012
  10. Pierre 5 février 2012
  11. Kris 6 février 2012
  12. DIVET 7 février 2012
  13. pat 7 février 2012
  14. volcan974 8 février 2012
  15. volcan974 8 février 2012
  16. revolxut 9 février 2012
  17. otchophi 9 février 2012
  18. Anne 10 février 2012
  19. Tony 11 février 2012
  20. jp138 12 février 2012
  21. Ludovic 13 février 2012
  22. annick 13 février 2012
  23. annick 13 février 2012
  24. annick 13 février 2012
  25. sucre21 13 février 2012
  26. Biibou 13 février 2012
  27. Biibou 13 février 2012
  28. viel 14 février 2012
  29. tatiana 14 février 2012
  30. jess 14 février 2012
  31. annick 14 février 2012
  32. malekalmorte 15 février 2012
  33. Xavier 15 février 2012
  34. john 17 février 2012
  35. Merci Xavier 17 février 2012
  36. argol13 22 février 2012
  37. Florian 26 février 2012
  38. Skaldir 27 février 2012
  39. sylvie 29 février 2012
  40. olive 2 mars 2012
  41. grazou 2 mars 2012
  42. Le.Scorpion 3 mars 2012
  43. Le.Scorpion 3 mars 2012
  44. Thalewste 4 mars 2012
  45. Effective 5 mars 2012
  46. Alain 7 mars 2012
  47. Maurice 8 mars 2012
  48. Phil 10 mars 2012
  49. LAURA 10 mars 2012
  50. Clemoucheron 13 mars 2012
  51. Chris 14 mars 2012
  52. phil 16 mars 2012
  53. anne 29 mars 2012
  54. milena108 30 mars 2012
  55. themis 5 avril 2012
  56. Gianni 10 avril 2012
  57. kieffer 16 avril 2012
  58. Lucien 17 avril 2012
  59. Sabrina 20 avril 2012
  60. Ramel 26 avril 2012
  61. nathy555 28 avril 2012
  62. NADINE 3 mai 2012
  63. Bellande 4 mai 2012
  64. ludo897 16 mai 2012
  65. Antho 18 mai 2012
  66. Alex 18 mai 2012
  67. Cedric 7 juin 2012
  68. Provost 12 juin 2012
  69. AlbertII 12 juin 2012
  70. Cedric 13 juin 2012
  71. sonia 5 juillet 2012
  72. Alex 3 septembre 2012
  73. Michel 22 septembre 2012

Add Comment