Virus Gendarmerie/Police Nationale/Virus Hadopi/Virus Interpol

Le ransomware/rançon logiciel Virus gendarmerie (voir la page sur les virus fake police) dans un nouveau design : Ce blocage de l’ordinateur sert à la prevetion de vos actes illegaux. Le systeme d’exploitation a ete bloque a cause de la deorgation de lois de la Republique.

Ce ransomware propage par exploits sur site WEB via des malvertising :

Mettez à jour vos programmes ! sinon votre PC est vulnérable !

Il existe maintenant deux variantes du « virus Hadopi »  :

La variante Urausy – normalement le mode sans échec ne fonctionne pas : Agence Nationale de la sécurité des systèmes d’information – Haute autorité pour la Diffusion des Oeuvres et la Protection des Droits sur Internet.
Cette variante se caractérise par la présence de l’image avec les menottes.
Cette variante empêche normalement le démarrage en mode sans échec.

Urausy_new_skin

La variante Reveton – l’image des menottes est remplacée par une WebCam.
Le démarrage en mode sans échec est possible pour cette variante :

Reveton_virus_Interpol

Attention, une autre variante « Office Central de Lutte contre la criminalité liée aux technologies de l’information et de la comunication » sans le logo HADOPI, se reporter à la page : https://www.malekal.com/2013/04/11/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/

Office_Central_Lutte_Criminalite_technologies_information_communication

Ci-dessous quelques captures d’anciennes variantes :

Ransomware Reveton : Office Central de lutte contre la criminalité

 

Autre variante avec l’Office Central de la Lutte contre la Criminalité liée aux Technologies de l’information et de la Communication qui ont été diffusées par le passé :Ransomware Activite illegale demelee

Virus Police Nationale : activite illégale révélée

Activite illégale a été révélée / Activite illicite démélée :

Ransomware Activite illegale a été revélée

Désinfection

Mode sans échec (version Reveton)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • !!! Choisissez la session infectée !!!
  • Téléchargez sur le bureau : http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
  • Lancez RogueKiller.exe.
  • Attendez que le Prescan ait fini
  • Lancez un scan à partir du bouton Scan en haut à droite.
  • RogueKiller doit détecter des éléments msconfig / CTFMON comme ci-dessous :

Reveton_Urausy_Skin6

  • Une fois que le scan est terminé, cliquez sur Suppression à droite.

Redémarrez l’ordinateur, le malware doit être éradiqué.
Suivez le dernier paragraphe « Après Désinfection » pour sécuriser votre ordinateur.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => https://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Restauration du système en invite de commandes en mode sans échec (toutes versions)

Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263

Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

RogueKiller en invite de commandes en mode sans échec (Windows Vista/Seven – toutes variantes)

Désinfection par RogueKiller en invite de commandes en mode sans échec par clef USB.
Suivre ce tutorial : https://www.malekal.com/2012/01/10/virus-hadopi-gendarmerie-office-central-lutte/

RogueKiller_invite_commandes2

 

Regedit en invite de commandes en mode sans échec (Seulement variante Urausy)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • !!! Choisissez la session infectée !!!
  • Tapez Regedit et validée par entrée – Cela doit ouvrir l’Editeur du Registre.

Urausy_regedit5

  • Déroulez en cliquant sur les + HKEY_CURRENT_USER
  • Déroulez Software
  • Déroulez MicrosoftUrausy_regedit
  • Déroulez Windows NT
  • Cliquez sur Winlogon
  • A droite, vous devez avoir une clef Shell.Urausy_regedit2
  • En double cliquant dessus, vous devez avoir explorer.exe,chemin/skype.dat (si vous avez pas skype.dat, laissez tomber)
  • Effacez tout pour n’avoir que explorer.exe et Valider
    Urausy_regedit3
  • Fermer l’éditeur du registre
  • tapez la commande ci-dessous sans faute avec les mêmes espace pour redémarrer l’ordinateur
    Urausy_regedit4

Invites de commandes en mode sans échec (Seulement variante Urausy)

La variante Urausy créé un fichier %APPDATA%/skype.dat ou %APPDATA%/cache.dat soit donc :

  • Pour Windows XP : C:/Document And Settings/sessioninfectee/Application Data/cache.dat
  • Pour Windows Vista/Seven et Windows 8 : C:/Users\sessioninfectee/Roaming/cache.dat

Il est possible aussi de supprimer ce dernier en invites de commandes en mode sans échec.
Pour cela :

  • Redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, invites de commandes en mode sans échec puis appuyez sur la touche entrée du clavier.
  • Choisissez la session infectée ET AUCUNE AUTRE.
  • Saisissez la commande cd %APPDATA% puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/ (Vista / Seven / 8 ) ou C:/Documents and Settings/SessionInfecte/Application Data (Windows XP)
  • tapez la commande dir, vous devez voir dans la liste le fichier skype.dat OU AltShell.dat

Urausy_invites_commandes_sans_echec2

Urausy_AltShell

  • Tapez alors la commande del AltShell.dat ou del skype.dat selon celui qi est présent et entrée afin de supprimer le fichier AltShell.dat / skype.dat
  • Eventuellement, tapez dir à nouveau afin de s’assurer que le fichier skype.dat ou AltShell.dat a bien été supprimé.

Urausy_invites_commandes_sans_echec

  • tapez alors shutdown /r afin de redémarrez le PC

Urausy_invites_commandes_sans_echec3

CD Live Malekal

Démarrer le PC infecté sur le CD Live Malekal.
Lancer un scan RogueKiller, puis faire Suppression à droite.
Redémarre l’ordinateur, vous devriez être débarrassé du ransomware.

Se reporter à la page : https://www.malekal.com/2013/02/22/malekal-live-cd/

Live_CD_Malekal_RogueKiller

CD Live Kaspersky

Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution.
Vous devez graver le CD et Booter dessus, tout ceci est expliqué sur la page suivante : https://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Le principe étant de graver le CD Kaspersky sur un CD ou mettre sur clef USB.
Redémarrer l’ordinateur et changer la séquence de démarrage https://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.

Cliquez sur le menu pour obtenir le Terminal

Kaspersky Windows Unlocker

Dans la fenêtre noire, saisir windowsunlocker (respecter la casse) :

Kaspersky Windows Unlocker

Lorsque vous lancez Kaspersky Unlocker, repérez le fichier donné en suspicious modification.
Dans l’exemple ci-dessous :  C:\Documents and Settings\Mak\Application Data\flint4ytw.exe

En vidéo : http://www.youtube.com/watch?v=7Jn6yKH2r1w

Centre de sécurité et mode sans échec non fonctionnel

Si le centre de sécurité est non fonctionnel suite à ce ransomware Reveton.
Se reporter au paragraphe « Rétablir le centre de sécurité après Reveton » de la page : https://forum.malekal.com/remettre-retablir-les-services-windows-t36444.html

Urausy supprime les clefs Safeboot qui empêche le redémarrage en mode sans échec, il est possible de remettre les clefs en suivant les instructions de cette page:  https://forum.malekal.com/mode-sans-echec-bsod-stop-0x0000007b-t36550.html

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => https://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => https://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : https://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Variantes étrangères

En d’autres langues (merci http://secuboxlabs.fr/kolab/) :

 

Atention ! Cuerpo Nacional de Policia :

EDITION au début février 2012 :

quelques autres captures : http://secuboxlabs.fr/kolab/api?hash=da6016eccf90097e4053c62ce7654ce6dca2674f

EDIT MI Fevrier 2012

Nouveau Skin : Office Central de la lutte contre la ciminalité liée aux technologies de l’information et de la communication : Activite illicite demelée!

EDIT MAI 2012

Le screen a été modifié : https://www.malekal.com/2012/05/12/virus-police-nationale-francaise-activite-illegale-revelee/

Virus Police Nationale : activite illégale révélée

 

Print Friendly, PDF & Email
(Visité 577 fois, 3 visites ce jour)
Noter cet article

155 Comments

  1. Yet Another Trickster 11 janvier 2012
  2. tchels 12 janvier 2012
  3. Karakzho 13 janvier 2012
  4. pierrick 14 janvier 2012
  5. malekalmorte 14 janvier 2012
  6. Ben 16 janvier 2012
  7. Stef 19 janvier 2012
  8. Erwan 20 janvier 2012
  9. anonyme 21 janvier 2012
  10. Dams 21 janvier 2012
  11. Djoe 22 janvier 2012
  12. malekalmorte 22 janvier 2012
  13. amed 24 janvier 2012
  14. miche 24 janvier 2012
  15. Arlette 25 janvier 2012
  16. narvalo 28 janvier 2012
  17. VERDIER 28 janvier 2012
  18. Clade 31 janvier 2012
  19. Clade 31 janvier 2012
  20. jo 6 février 2012
  21. suresh 9 février 2012
  22. bruno 12 février 2012
  23. Julien 13 février 2012
  24. Romain 13 février 2012
  25. Aurélie 17 février 2012
  26. Jos 17 février 2012
  27. Amélie K 19 février 2012
  28. Alex 20 février 2012
  29. blabla 20 février 2012
  30. avie 20 février 2012
  31. mathieu 21 février 2012
  32. Jonathan ! 22 février 2012
  33. Myrabel 24 février 2012
  34. Ponthieu 25 février 2012
  35. lolodilolo 25 février 2012
  36. arnaud 26 février 2012
  37. manue 27 février 2012
  38. quentin 28 février 2012
  39. Elise 29 février 2012
  40. yann 1 mars 2012
  41. caro 2 mars 2012
  42. benaets 2 mars 2012
  43. boro 3 mars 2012
  44. Didus69 4 mars 2012
  45. Didus69 4 mars 2012
  46. Immoarcachon 6 mars 2012
  47. romain 8 mars 2012
  48. low 8 mars 2012
  49. kimbum 8 mars 2012
  50. lucasduthillot 10 mars 2012
  51. brouillard 13 mars 2012
  52. SeB 14 mars 2012
  53. SeB 14 mars 2012
  54. Missa 14 mars 2012
  55. Samir 14 mars 2012
  56. well 15 mars 2012
  57. natale 17 mars 2012
  58. max 17 mars 2012
  59. Benou62 19 mars 2012
  60. Saint-Cast 19 mars 2012
  61. Bertrand 19 mars 2012
  62. Roger 19 mars 2012
  63. Walid 20 mars 2012
  64. clavel 20 mars 2012
  65. bois 21 mars 2012
  66. Jerome 21 mars 2012
  67. strike 21 mars 2012
  68. strike 21 mars 2012
  69. dyder47 24 mars 2012
  70. Bastien 25 mars 2012
  71. goffinet daniel 26 mars 2012
  72. goffinet daniel 26 mars 2012
  73. eliane 27 mars 2012
  74. F2lt 27 mars 2012
  75. KrickPEACE 27 mars 2012
  76. KrickPEACE 27 mars 2012
  77. Rocky 28 mars 2012
  78. Rémi 30 mars 2012
  79. Yatsé 1 avril 2012
  80. sweet storm 2 avril 2012
  81. NINAdu22 9 avril 2012
  82. zigoto 10 avril 2012
  83. bob 20 avril 2012
  84. Olav 23 avril 2012
  85. Thom 25 avril 2012
  86. atch 30 avril 2012
  87. MLR 5 mai 2012
  88. up2bdx 11 mai 2012
  89. RUP 11 mai 2012
  90. bertigo 27 mai 2012
  91. Reconnaissance 5 juin 2012
  92. Corbeau_X 10 juin 2012
  93. Marc 25 juin 2012
  94. malekalmorte 25 juin 2012
  95. big_bucket_KFC 2 juillet 2012
  96. Lets 15 juillet 2012
  97. krycekseb 25 juillet 2012
  98. Jujukine 27 juillet 2012
  99. PiimOusse94 27 juillet 2012
  100. StaKho 30 juillet 2012
  101. yodu59 1 août 2012
  102. Marnay 6 août 2012
  103. canigou 14 août 2012
  104. kami 15 août 2012
  105. Jessyie 2 septembre 2012
  106. Olivier_ex_MVP 19 septembre 2012
  107. Olivier_ex_MVP 19 septembre 2012
  108. Piotr 8 octobre 2012
  109. Ozymandias 30 octobre 2012
  110. Pampam 15 novembre 2012
  111. Jeremy 23 novembre 2012
  112. Lat 4 décembre 2012
  113. Camille 4 décembre 2012
  114. Line 6 décembre 2012
  115. jumax 10 décembre 2012
  116. Alan 13 janvier 2013
  117. Merove 16 janvier 2013
  118. malekalmorte 16 janvier 2013
  119. rom 29 janvier 2013
  120. Thedestr0ye 10 février 2013
  121. sofie 12 février 2013
  122. guitou 12 février 2013
  123. indien 25 février 2013
  124. Large 27 février 2013
  125. Le Beuillou 4 avril 2013
  126. Guy de Lusignan 6 avril 2013
  127. Pasdoué 8 avril 2013
  128. thierry de canet 10 avril 2013
  129. Thomas25 13 avril 2013
  130. Tony 15 avril 2013
  131. Pat 30 avril 2013
  132. Basonee 11 mai 2013
  133. sabrina 12 mai 2013
  134. Alexia 16 mai 2013
  135. stef 21 mai 2013
  136. dan's 23 mai 2013
  137. boulet 23 mai 2013
  138. dan's 24 mai 2013
  139. tohru71 4 juin 2013
  140. PatrickRen 14 juin 2013
  141. denis 21 juin 2013
  142. Kung Foo Kow Boy 9 juillet 2013
  143. klassization 9 juillet 2013
  144. Sarah 24 juillet 2013
  145. chablis59 27 juillet 2013
  146. damien ribaud 30 juillet 2013
  147. sara 6 août 2013
  148. Maud 1 octobre 2013
  149. Pierre 13 octobre 2013
  150. Piierron 20 octobre 2013
  151. saadia 28 octobre 2013
  152. Jean 4 novembre 2013
  153. OSCAR 10 18 avril 2014
  154. thierrry 24 mai 2014
  155. Sylvie 22 janvier 2015

Add Comment