Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf ·...

16
Trojan Fake Police / Virus Gendarmerie Nationale : violation de la loi française Par malekalmorte 11 décembre 2011 - Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n’est pas adequate : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html On continue avec ces malwares Trojan.Winlock / Trojan.Ransomware : Virus Police qui font des ravages : http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/ http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police- suite/ Il semblerait que ces derniers comme je l’avais indiqué dans le premier billet se propagent par des Malvertising sur les sites de streaming (EDIT confirmé). Viser les sites de streaming n’est pas une surprise contenu de la nature du malware et par le fait que les sites de streaming attirent beaucoup de monde (maximation des profits) Si vous avez été infecté, c’est que votre système est vulnérable aux exploits sur site WEB - Cela signifie que vous ne maintenez pas à jour vos logiciels et contiennent des vulnérabilités qui permettent l’infection de votre système à la simple visite d’un site. Dans notre cas, c’est via des publicités pourries (malvertising) sur les sites de streaming. La version française existe sous 3 formes et est différente selon la version de Windows la procédure de désinfection est différente selon la variante : Windows XP : dans tous les cas, le fichier C:Windowsexplorer.exe a été remplacé par une version malicieuse. De ce fait, tout démarrage (mode normal, sans échec) arrivera sur le message du virus. Seule l’invite de commandes est disponible et permet quelques manipulations. Windows Vista/Seven : deux formes. o Le mode sans échec est disponibel : version facile il suffit d’aller en mode sans échec avec prise en charge du réseau et de scanner avec Malwarebyte : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php ou RogueKiller avec l’option Suppression. o Une autre forme qui modifie la clef Shell pour faire pointer sur un fichier C:Windowsexpl?rer.exe (au lieu de C:Windowsexplorer.exe), l’affichage par l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le fichier qui est mentionné dans la clef Shell, dans tous les cas vous aurez explorer.exe. Se reporter à la page :

Transcript of Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf ·...

Page 1: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Trojan Fake Police / Virus Gendarmerie

Nationale : violation de la loi française

Par

malekalmorte

– 11 décembre 2011

-

Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune

aide ne sera donnée en commentaire, ce n’est pas adequate :

http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

On continue avec ces malwares Trojan.Winlock / Trojan.Ransomware : Virus Police qui font

des ravages :

http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-

suite/

Il semblerait que ces derniers comme je l’avais indiqué dans le premier billet se propagent par

des Malvertising sur les sites de streaming (EDIT – confirmé).

Viser les sites de streaming n’est pas une surprise contenu de la nature du malware et par le

fait que les sites de streaming attirent beaucoup de monde (maximation des profits)

Si vous avez été infecté, c’est que votre système est vulnérable aux exploits sur site

WEB - Cela signifie que vous ne maintenez pas à jour vos logiciels et contiennent des

vulnérabilités qui permettent l’infection de votre système à la simple visite d’un site. Dans notre cas, c’est via des publicités pourries (malvertising) sur les sites de streaming.

La version française existe sous 3 formes et est différente selon la version de Windows – la

procédure de désinfection est différente selon la variante :

Windows XP : dans tous les cas, le fichier C:Windowsexplorer.exe a été remplacé par

une version malicieuse. De ce fait, tout démarrage (mode normal, sans échec) arrivera

sur le message du virus. Seule l’invite de commandes est disponible et permet

quelques manipulations.

Windows Vista/Seven : deux formes.

o Le mode sans échec est disponibel : version facile il suffit d’aller en mode sans

échec avec prise en charge du réseau et de scanner avec Malwarebyte :

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php ou

RogueKiller avec l’option Suppression.

o Une autre forme qui modifie la clef Shell pour faire pointer sur un fichier

C:Windowsexpl?rer.exe (au lieu de C:Windowsexplorer.exe), l’affichage par

l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

fichier qui est mentionné dans la clef Shell, dans tous les cas vous aurez

explorer.exe. Se reporter à la page :

Page 2: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-

powa/ pour la désinfection de cette forme.

Voici le message :

This image has been resized. Click this bar to view the full image. The original image is

sized 1027x764px.

This image has been resized. Click this bar to view the full image. The original image is

sized 1023x767px.

Page 3: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Comme vous pouvez le constater, cette version est plus soignée.

On a un logo Gendarmerie Nationale.

EDITION MIS JANVIER :

Une nouvelle variante, plus facile à désinfecter est maintenant en propagation. Le message est

différent.

Vous trouvez une procédure sur cette page : http://www.malekal.com/2012/01/10/virus-

gendarmerie-activite-illicite-demelee/

Si vous avez cette variante, suivre donc la procédure plus haut, notez que la procédure donnée

plus bas, notamment la restauration du système fonctionne aussi.

Il est important de mettre à jour ses programmes, les programmes non à jour contiennent des

vulnérabilités qui permettent l’infection de votre système.

This image has been resized. Click this bar to view the full image. The original image is

sized 1144x802px.

Page 4: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Pour la version « Virus Gema » – se reporter à la page

: http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

This image has been resized. Click this bar to view the full image. The original image is

sized 1026x766px.

Page 5: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Pour la version ci-dessous, se reporter à ce lien : http://www.malekal.com/2012/03/12/votre-

ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

This image has been resized. Click this bar to view the full image. The original image is

sized 1024x647px.

Page 6: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Pour le virus Sacem / Police Nationale, se rendre sur cette page :

http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/

This image has been resized. Click this bar to view the full image. The original image is

sized 1028x766px.

Page 7: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Pour la variante Police Nationale, se rendre sur cette page

: http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

This image has been resized. Click this bar to view the full image. The original image is

sized 800x600px.

Page 8: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Désinfection Virus Gendarmerie Nationale

Voici la procédure de désinfection, l’infection est différente si vous êtes sur Windows XP par

rapport à Windows Vista/Seven.

du fait que sur Windows XP le fichier système explorer.exe est remplacé, ce qui n’est pas le

cas sur Windows Vista et Seven.

Désinfection Windows Vista/Seven

Dans un premier temps, vérifiez si avez la main en mode sans échec avec prise en charge du

réseau : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste

au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez

mode sans échec avec prise en charge du réseau.

Si c’est le cas :

Téléchargez RogueKiller, lancez un scan puis cliquez à droite sur Suppression.

Téléchargez et installer Malwarebyte Anti-Malware :

o Mettez les définitions virales à jour

o Lancer un scan.

o Lorsque le scan est terminé, sélectionnez les détections et faites Supprimer

sélection pour mettre en quarantaine les éléments malicieux détectés.

Page 9: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Redémarrez l’ordinateur en mode normal et regardez ce que cela donne.

Si le PC est désinfecté, mettez à jour tous vos programmes qui ne le sont pas et qui

contiennent des vulnérabilités permettant l’infection de votre PC à la simple visite d’un site

WEB (voir paragraphe tout à la fin de ce billet).

Si vous n’avez pas la main en mode sans échec, se reporter à la page :

http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

Désinfection Windows XP

Cette procédure est spéciale pour Windows XP, ça ne doit pas fonctionner pour Windows

Vista et Seven à cause de l’UAC (si l’UAC est désactivé – c’est mal - ça doit marcher).

C’est un peu compliqué à expliquer avec des mots alors j’ai fait une vidéo. Les étapes :

Pouvoir accéder aux fichiers comme expliqué avec l’astuce donnée dans la vidéo ci-

dessous

Aller renommer explorer.exe en ce que vous voulez.

Chercher le fichier twexx32.dll, le renommer en explorer.exe

Redémarre l’ordinateur

Si aucun explorer.exe n’est restauré, vous aurez votre fond d’écran ce qui permet d’aller

télécharger un explorer.exe (voir à la fin de la procédure générale).

Le bémol : Si un explorer.exe trop vieux est remis, ça peux générer des plantages.

Après avoir renommé le explorer.exe comme indiqué dans la vidéo suivante, il faut faire un

reset pour redémarrer l’ordinateur, comme on a accès à rien, on peux pas dire à Windows de

redémarrer.

Windows XP: Restaurer explorer en invites de commandes en mode sans

échec

Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au

changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite

de commandes en mode sans échec

Sur la fenêtre cmd.exe – tapez la commande copy comme dans la capture ci-dessous et

valider.

Si un message vous demande de remplacer le fichier accepter. Vous devez avoir un message 1

fichier(s) copié(s).

Saisir exit pour redémarrer l’ordinateur

Redémarrez l’ordinateur et vérifiez si l’infection continue à se lancer.

This image has been resized. Click this bar to view the full image. The original image is

sized 1080x167px.

Page 10: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

NOTE : Il est aussi possible de passer la commande SFC /scannow toujours en invites de

commandes en mode sans échec.

Le scan devrait restaurer le fichier explorer.exe

Windows XP : Restauration du système en ligne de commandes mode sans

échec

C’est la procédure à privilégier.

Cela ne fait pas perdre les données mais restaure Windows à une image prise antièrement

(vous devez choisir la date, donc prendre une date antérieure à l’infection).

Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au

changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite

de commandes en mode sans échec

This image has been resized. Click this bar to view the full image. The original image is

sized 721x504px.

Page 11: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Saisir les commandes suivantes en validant par entrée :

cd %windir%

cd system32

cd restore

rstrui.exe

Ce qui devrait lancer la restauration système de Windows – laissez vous guider et prenez une

date antérieure.

This image has been resized. Click this bar to view the full image. The original image is

sized 1075x786px.

Redémarrez en mode normal et contastez si l’infection est toujours présente, si c’est le cas,

passer à la procédure suivante.

Liens explicatifs vers le fonctionnement de la restauration du système Windows :

La restauration du système sous Windows XP

Restauration système Vista/Seven

Notez que pour Windows Seven, il est possible de faire une restauration du système au

démarrage de l’ordianteur via l’option « Réparer l’ordinateur » – cf la page suivante

: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Page 12: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Windows XP : CD Live Kaspersky

Vous pouvez aussi utiliser le CD Live Kaspersky.

Fichier ISO : http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Il est possible de le graver sur CD ou le mettre sur Clef USB, se reporter aux pages suivantes :

http://forum.malekal.com/kaspersky-live-rescue-t12133.html

http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Une fois sur le CD, lancer le gestionnaire de fichiers via un clic droit sur le bureau.

Allez dans le dossier Discs puis C puis dossier Windows.

Vérifiez que le fichier twexx32.dll existe.

This image has been resized. Click this bar to view the full image. The original image is

sized 1029x776px.

Page 13: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Si c’est le cas, chercher explorer.exe et supprimer le (clic droit / mettre à la corbeille).

Chercher twexx32.dll et clic droit puis renommer, nommez le explorer.exe

(le but étant donc de mettre le fichier twexx32.dll en explorer.exe).

Redémarrez l’ordinateur quand cela est fait.

This image has been resized. Click this bar to view the full image. The original image is

sized 1026x768px.

Page 14: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Windows XP : Procédure avec clef Shell

Voici une dernière procédure (en fait il en exite une autre avec des CD Live par exemple avec

OTLPE simplement en copiant un explorer.exe).

Les procédures précendentes fonctionnent bien, en théorie vous ne devriez pas avoir besoin

d’appliquer celle-ci qui est un peu plus compliqué. Suivez en priorité les étapes

précédentes.

Cette procédure consiste à changer la clef Shell pour récupérer la main en mode normal.

Redémarrez en invites de commandes en mode sans échec : Au démarrage de l’ordinateur,

après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8

pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec

Sur la fenêtre cmd.exe, tapez regedit et validez

This image has been resized. Click this bar to view the full image. The original image is

sized 1066x276px.

Page 15: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE =>

Software => Microsoft => Windows NT => CurrentVersion => Winlogon

A droite, chercher Shell, vous devez avoir explorer.exe – remplacer par iexplore.exe

Saisir la commande : shutdown /r pour que l’ordinateur redémarre

Redémarrez l’ordinateur en mode normal.

Vous devriez avoir Internet Explorer qui se lance tout seul.

Si ce n’est pas le cas, si vous avez votre fond d’écran :

Faites CTRL+ALT+Suppr sur le clavier pour lancer le gestionnaire de tâches.

Sur les gestionnaire de tâches :

o Cliquez sur le Menu Fichier puis Nouvelle tâche

o Saisir iexplore.exe – Si vous êtes sur Windows Vista ou Seven, faites

SHFIT+CTRL (à gauche de la barre d’espace – Shift est la touche majuscule)

et Entrée pour valider, cela va déclencher l’UAC (demande d’autorisation pour

modifier le système), pour Windows XP validez simplement – Internet

Explorer se lance

Téléchargez le explorer.exe correspondant à votre système :

Windows XP SP3 : http://www.malekal.com/download/explorer_XP_SP3.exe

Windows XP SP2 : http://www.malekal.com/download/explorer_XP_SP2.exe

Après l’avoir téléchargé, copier le dans le dossier Windows sous le nom explorer.exe en

remplaçant celui existant.

Le but est de remplacer le explorer.exe malicieux par un légitime afin de récupérer le bureau.

Retournez sur regedit à partir du gestionnaire de tâche et modifiez la clef Shell en

remettant explorer.exe dans la clef.

Fermer toutes les fenêtres et faites un shutdown -t 1 pour fermer la session toujours à

partir du gestionnaîre de tâches.

Redémarrez l’ordinateur, vous devriez avoir accès à votre système.

La vidéo suivante décrit la procédure :

Procédure Windows Seven et Vista

Se reporter à la partie désinfection de cette page : http://www.malekal.com/2012/02/09/virus-

gendarmerie-sur-seven-unicode-powa/

Page 16: Trojan Fake Police / Virus Gendarmerie Nationale ...homeres.free.fr/pdf/TrojanFakePolice.pdf · l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

Après la désinfection – Tres important

Demande de remboursements : http://www.ukash.com/fr/fr/faq/can-i-get-a-refund.aspx

Si vous avez utilisé un ukash pour payer la rançon, il n’est pas forcément débité.

Vous pouvez alors aller sur le site pour prendre une carte prépayée ce qui consommera votre

ukash. Vous pourrez alors utiliser la carte prépayée pour acheter un article sur internet.

Contacter Ukash : https://www.ukash.com/fr/fr/support/contact-customer-services.aspx

Si vous avez fait le paiement, contactez les.

Vous pouvez aussi essayer d’acheter directement avec le ukash si les pirates ne l’ont pas

encore utilisé.

Sécuriser son PC :

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très

répandus.

Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une

publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si

votre antivirus est dans le vent, ce qui est souvent le cas).

La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.

Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-

maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces

programmes non à jour permettent l’infection de votre système.

Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se

reporter au billet : Sécuriser Firefox