Windows Anytime Upgrade : Ransomware (Lock Files)

Un nouvelle version d’un ransomware qui n’est pas de type Fake Police mais affiche un message se faisant passer pour Windows disant que vous avez une licence de Windows expirée : Your computer is blocked

La mauvaise nouvelle est que le ransomware lock les fichiers :

C’est une variante du virus gendarmerie Rannoh / Matsnu déjà vu dans le PC : https://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

Le malware :

  • Supprime les clefs Safeboot
  • Empêche le lancement de regedit et taskmgr

Les éléments ajoutés :

F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\14AA45104063B68D38A6.exe,
O4 – HKCU\..\Run: [4063B68D] C:\Documents and Settings\Mak\Application Data\Ggtpf\A46913454063B68D05A9.exe

et les connexions :

1343911693.342 152 192.168.1.27 TCP_MISS/200 362 GET http://sagradiana.net/lin/a.php?id=4063B68D4B4B414D004B&cmd=geo – DIRECT/193.0.146.242 text/html
1343911693.431 83 192.168.1.27 TCP_MISS/200 332 GET http://sagradiana.net/lin/a.php?id=4063B68D4B4B414D004B&cmd=lfk&data=9OUxfAy9o98sWIN9%2FM1ItsX5hXA9 – DIRECT/193.0.146.242 text/html

 

Pour ce qui es de la désinfection et la récupération des documents, vous pouvez suivre la procédure de cette page : https://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

 

Ce dernier est propagé par des malvertising sur clicksor – mettre à jour ses programmes afin de ne pas être vulnérables aux exploits sur site WEB.
Se reporter à la page : https://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

(Visité 80 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet