Une campagne a actuellement lieu sur des sites pornographiques, cette campagne a pour but d’ouvrir une fausse pages type “Virus Gendarmerie“.
Ces pages sont ouvertes par des redirections opérées par des régies de publicités depuis les sites pornographiques : aucun virus n’est installé sur l’ordinateur.
Pour vous protéger contre ces infections, vous pouvez installer l’extension Blockulicious : https://forum.malekal.com/blockulicious-blocage-site-malveillant-t46656.html
La page comporte en haut les mentions : Gendarmerie Nationale – Ministère de l’intérieur – Département de la Cybercriminalité avec le logo à droite DLCC : Division de lutte contre la cybercriminalité
et le message :
Activités illégales ont été révélé! Tous les fichiers sont cryptés
ATTENTION!
Opérations sur les activités illégales ont été détectés sur votre ordinateur.
Votre système d’exploitation a été verrouillé pour cette infractions.
Vos actions sont considérées comme illégales en France et dans l’Union européenne.
Lors de la tentative de fermeture de la page, vous obtenez une popup avec le message (avec les fautes) :
Opérations sur les activités illégés ont été détectés sur votre ordinateur.
Votre système d’exploitation a été verrouillé pour cette infractions.
Vos actions sont considérées comme illégales en France et dans l’Union européenne.
Pour lever dếbloquer l’ôrdinateur, vous êtes obligés de payer une pénalité de 200 euros.
Ce message est bien sûr faux, le but étant de vous faire peur, pour que vous payez.
On voit bien l’utilisation d’un traducteur automatique, ce qui donne des syntaxes très approximatives :
Table des matières
Windows
Si vous ne parvenez pas à vous en débarrasser, faites CTRL+ALT+Suppr et gestionnaire de tâches puis onglet processus.
Chercher votre navigateur dans la liste des processus
Firefox => firefox.exe
Google Chrome => chrome.exe
Internet Explorer => iexplore.exe (ne pas prendre explorer.exe).
Tuer le processus et relancer le navigateur, répétez l’opération, jusqu’à obtenir le message vous demande si vous désirez restaurer la session, refusez.
MacOs et Safari
Les campagnes peuvent viser les Iphones ou Ipad Air.
En vidéo :
ou encore la version “Interpol Assocation National Security Agency”
Sur Safari, Cliquez sur le Menu Réglages puis Effacer l’historique.
Fermez et relancez le navigateur.
Si pas mieux :
Fermer Safari.
Supprimer le fichier ~/Library/Saved Application State/com.apple.Safari.savedState
Relancer Safari.
Si vous avez payé : il n’est pas trop tard, contactez rapidement le support Ukash afin de bloquer le coupon et vous faire rembourser : https://www.ukash.com/fr-fr/support/contact/
Quelques exemples de redirections par avattrafic :
http://avatraffic.com/in.php?sid=2&niche=430&type=3&category=1
http://extralivechat.com/
http://o6367.com/
http://europol.europe.eu.france.id657546456-3999456674.o6367.com/?flow_id=2019&&453640=45513/case_id=39994
Sur le topic suivant, il semblerait qu’une extension soit capable d’ouvrir de manière systématique la page Virus Gendarmerie DLCC – mais je n’ai plus d’informations pour le moment : https://forum.malekal.com/virus-gendarmerie-dlcc-t44104.html
J’éditerai la page, dans le cas où trouve une infection qui installe une extension pour ouvrir cette fausse page “Virus Gendarmerie DLCC”
EDIT 28 Juillet
Simplement pour signaler que la page du ransomware a été un peu retouchée, notamment sur le texte.
Du rouge, pour faire peur a été ajouté.
Ainsi qu’en filigrane qu’un logo (non officiel?) de la gendarmerie
et quand on passe la souris sur le texte, le logo se met en avant, ça doit être pour masquer les fautes!
La popup en version kikoolol !
NOTE : je n’avais pas fait attention, mais ils demandent 200 Euros – wow. Même Reveton et Urausy, c’est que 100 euros!
EDIT – 12 Octobre – Virus Europol
Une version “Virus Europol” est maintenant distribuée.
EDIT : cette variante a été remplacée par la variante Virus Interpol : ANSSI! votre browser est bloqué pour des raisons de sécurité
En vidéo : http://www.youtube.com/watch?v=xm7kTiJDOy8
EDIT – 13 Mars 2013
Le skin de la page d’une des variantes a changé et réclament maintenant 600 euros !