Jump to content


Trojan : Win/32>Ransomcrypt


  • You cannot reply to this topic
9 replies to this topic

#1 loumax

loumax

    YodaMars

  • SÚcuritÚ
  • PipPipPipPipPipPipPipPipPip
  • 3,472 posts
  • Gender:Male

Posted 17 April 2012 - 08:46 AM

Trojan : Win/32>Ransomcrypt

Si votre ordinateur est infecté par ce malware, suivez ces instructions :
http://www.malekal.c...-des-documents/

Plus de détails sur cette menace et ses différentes variantes :
http://infomars.fr/f...indpost&p=71743
http://infomars.fr/f...indpost&p=71755
http://infomars.fr/f...indpost&p=68034

Retour en force des rançongiciels, vu par Kaspersky Lab :
http://www.securelis...de_strikes_back




Pour décrypter les fichiers, il faut être en mesure de décoder la configuration.
Le logiciel de nettoyage proposé par Dr Web fonctionne exactement comme ça.

Les codes sources de ce type de générateurs sont diffusés sur des sites pirates, il y a donc parfois des variantes.
Voilà qui explique que les outils de désinfection qui fonctionnent pour l'un ne fonctionnent pas pour l'autre.

Recommandations:
- Restez calme car céder à la panique entraine plus de catastrophes que de bonnes choses.
- Ne PAS renommer les fichiers, c'est très important dans ce cas précis.
- Ne PAS formater sauvagement, sauvegardez vos fichiers cryptés si vous voulez un jour les revoir.
- N'essayez PAS de récupérer vous même les fichiers ( si besoins, faites des copies )
- NE PAYEZ JAMAIS !


Pour résumer face à cette infection, vous pouvez utiliser ces deux outils :

1) Utilisez ce logiciel de désinfection généraliste :

• Téléchargez et installez Malwarebytes' Anti-Malware
• Mettre a jour Malwarebyte's Anti-Malware
• Dans l'onglet "Recherche", cochez "Exécuter un examen rapide puis "Rechercher"
• A la fin de l'analyse, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Redémarrer l'ordinateur

2) Utiliser ce fix spécifique à ce genre d'infection :
  • Télécharger Dr.Web decryptor sur votre bureau
  • Lancez le (Vista/Seven "exécuter en tant qu'administrateur")
  • cliquez sur "continue" et laissez travailler l'outil


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#2 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 3,919 posts
  • Gender:Male
  • Location:Normandie

Posted 17 April 2012 - 10:02 AM

Bonne initiative Loumax ;)
"Il vaut mieux etre acteur de sa sÚcuritÚ, que de la subir"...VigenTests. YouTube

Twitter

Posted Image

#3 darksky1985

darksky1985

    Phobosien

  • Eminence Verte
  • PipPipPipPipPipPipPip
  • 662 posts
  • Gender:Male
  • Location:Belgique

Posted 17 April 2012 - 19:52 PM

Retour en force des rançongiciels, vu par Kaspersky Lab :
http://www.securelis...de_strikes_back


J'avais carrément mal cherché sur le site quand j'ai écris mon "article" le 13/04...


Kaspersky lab discovered a new variant today[...]The threat was detected automatically thanks to the Kaspersky Security Network as UDS:DangerousObject.Multi.Generic. [...]Specific detection has been added and the threat is now detected as Trojan-Ransom.Win32.Gpcode.bn


On pourrait donc supposer que le KSN détecte les variantes?

Les démons intérieurs d'un individu se nourrissent de ses rêves


#4 loumax

loumax

    YodaMars

  • SÚcuritÚ
  • PipPipPipPipPipPipPipPipPip
  • 3,472 posts
  • Gender:Male

Posted 18 April 2012 - 09:50 AM

Kaspersky lab discovered a new variant today[...]The threat was detected automatically thanks to the Kaspersky Security Network as UDS:DangerousObject.Multi.Generic. [...]Specific detection has been added and the threat is now detected as Trojan-Ransom.Win32.Gpcode.bn


On pourrait donc supposer que le KSN détecte les variantes?

Très certainement puisque Kaspersky ont aussi sortit un outil XoristDecryptor :)

Mak a mis à jour sa procédure le 17/04 :
http://www.malekal.c...-des-documents/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#5 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 3,919 posts
  • Gender:Male
  • Location:Normandie

Posted 18 April 2012 - 10:00 AM

Simple supposition, le fait que les ransom ne sont pas signés, kaspersky devrait les mettres d'office en droits limités via sont controle d'application théoriquement, et donc ne pas se lancé au démarrage?

(Pour ceux ayant la version internet security, pour ceux possédants l'AV simple et bien...Tant pis :D)

A moins que le malware ne contourne la chose.

Edited by vigen, 18 April 2012 - 10:02 AM.

"Il vaut mieux etre acteur de sa sÚcuritÚ, que de la subir"...VigenTests. YouTube

Twitter

Posted Image

#6 darksky1985

darksky1985

    Phobosien

  • Eminence Verte
  • PipPipPipPipPipPipPip
  • 662 posts
  • Gender:Male
  • Location:Belgique

Posted 18 April 2012 - 11:18 AM

La supposition me semble assez juste en effet.
Le contrôle d'application réagira surement vu que le malware va quand même effectuer des actions sur des fichiers qui sont "non-prévues", par un programme inconnu.

Bon ben je suis pas mécontent en tout cas. Ca me conforte un peu plus dans mon idée que la version internet security que je renouvelle chaque année n'est pas si inutile que ça ^^

Les démons intérieurs d'un individu se nourrissent de ses rêves


#7 loumax

loumax

    YodaMars

  • SÚcuritÚ
  • PipPipPipPipPipPipPipPipPip
  • 3,472 posts
  • Gender:Male

Posted 19 April 2012 - 17:17 PM

Windows server maintenant :
http://www.emsisoft....aign=news120419


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#8 loumax

loumax

    YodaMars

  • SÚcuritÚ
  • PipPipPipPipPipPipPipPipPip
  • 3,472 posts
  • Gender:Male

Posted 08 June 2012 - 05:48 AM

Un autre outils chez Kaspersky pour décrypter les fichiers concernant cette variante : Trojan-Ransom.Win32.Rannoh
  • Télécharger RannohDecryptor.exe
  • Exécuter RannohDecryptor.exe sur l'hôte infecté (lancer l'outil en tant qu'administrateur pour vista/seven)
  • Dans "Parameters" sélectionner toutes les options
  • Un redémarrage peut être nécessaire une fois que l'utilitaire a fini la désinfection.
A noter que l'outil demandera une copie d'un des fichiers infecté non cryptée.

http://support.kaspe.../?qid=208286527


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#9 loumax

loumax

    YodaMars

  • SÚcuritÚ
  • PipPipPipPipPipPipPipPipPip
  • 3,472 posts
  • Gender:Male

Posted 04 December 2012 - 19:25 PM

Virus Gendarmerie : variante Office Centrale de Luttre contre la criminalité – controle informationnel


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#10 brandodu31

brandodu31

    15+15+1

  • Zimien
  • PipPipPipPipPipPipPip
  • 514 posts
  • Gender:Male

Posted 14 February 2013 - 01:34 AM

Europol et la police espagnole ont démantelé un réseau mondial de cybercriminalité soupçonné d'avoir infecté "des millions" d'ordinateurs à travers le monde, faisant payer des amendes illégales aux internautes, a annoncé mercredi une source policière à Madrid.

Le réseau fonctionnait en plusieurs "petites cellules" éparpillées dans différents pays et utilisait "un logiciel malveillant qui bloquait, en faisant apparaître le nom de différents corps de police, les ordinateurs de millions d'usagers", a expliqué cette source.

Il était alors demandé aux internautes de payer "une amende pour avoir accédé à des sites de pornographie infantile ou de téléchargement illégal", a ajouté la même source, selon laquelle d'importantes quantités d'argent ont ainsi été volées.

Plusieurs personnes ont été interpellées lors de cette opération que devait détailler mercredi à Madrid le directeur d'Europol, Rob Wainwright.

 

voilà une bonne nouvelle!





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Partenaires :