Maintenance informatique

Trojan Winlock : "Virus Gendarmerie" et "Virus Bundespolizei"

Trojan Winlock : "Virus Gendarmerie" et "Virus Bundespolizei"

Présentation de l'infection
Les infections "Virus Gendarmerie" et "Virus Bundes polizei" sont des trojans Winlock / Ransomware.
Le but est de bloquer l'ordinateur et de vous demander de payer une "rançon" pour débloquer ce dernier.

Mi-Décembre 2011, une forte propagation de ces infections a lieu suite à des publicités malicieuses (Malvertising) sur les sites de streaming.
Ces publicités malicieuses conduisent à des exploits sur des sites Internet pour infecter les visiteurs.
Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
D'où l'importance de maintenir à jour ses logiciels.

 

Désinfection
La page suivante du site Malekal décrit cette infection et la procédure pour désinfecter l'ordinateur : Trojan Fake Police / Virus Gendarmerie Nationale : violation de la loi française.
Cette procédure décrite est résumée dans cette astuce.
Version "Activite illicite demelee"
Depuis Mi-Janvier une nouvelle version est en propagation.
Le message est "Activite illicite demelee"

 

Version "Votre ordinateur est bloquée"
Se rendre sur la page suivante : http://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque

 

Autre version
Il existe trois variantes (selon aussi la version de Windows et si l'UAC est activé), on distingue :
Une version qui se lance par une simple clef de registre "Run" ; lancée au démarrage. On parvient facilement à l'éradiquer en mode sans échec avec Malwarebyte's Anti-Malware, RogueKiller (option 2), ou PRe_Scan.
Une version qui modifie la clef "Shell" de Windows pour lancer le malware au démarrage. Cette version sera active en mode sans échec.
Une version qui remplace explorer.exe

Remarque : Le bureau (Menu Démarrer avec la barre de tâche) sont régis par le programme explorer.exe, ce dernier est chargé tout au début de la session par la clef du registre Windows Shell.
Modifier le fichier explorer.exe revient donc à changer le bureau de Windows, modifier la clef Shell qui lance explorer.exe (donc le bureau) revient à changer le bureau par un autre programme.
Ici, l'infection modifie soit la clef, soit explorer.exe pour remplacer au final le bureau par le message de rançon. Ce dernier est actif en mode sans échec.

Les deux dernières variantes sont plus complexes à désinfecter.
Pour les pros, notez que vous pouvez restaurer un explorer.exe depuis un CD Live.
Windows Vista/Seven
En démarrant en "invite de commandes en mode sans échec", on parvient à retrouver partiellement la main sur Windows.
Le but ici, via l'invite de commandes, est de modifier le shell pour retrouver l'accès en mode normal et rétablir Windows.

La vidéo suivante décrit la procédure à suivre : http://www.youtube.com/watch?v=4pbF-kD5UvY

Suivre les instructions de la page : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Résumé de la procédure :
Redémarre en invites de commandes. Pour cela, redémarrez l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisissez invites de commandes en mode sans échec et appuyez sur la touche entrée du clavier.
Une fois sur l'invite de commandes, tapez la commande : regedit
Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => SoftWare => Microsoft => Windows NT => CurrentVersion => Winlogon
Ouvrez "Winlogon"
A droite, chercher la valeur "Shell"; et vous devriez y trouver "explorer.exe", effacez tout et retaper "explorer.exe" (oui il faut remettre la même chose).
Fermer l'éditeur de registre
Sur l'invites de commandes, saisir la commande : shutdown /r
Redémarrez l'ordinateur en mode normal

Windows XP
Lancer une restauration en invite de commandes en mode sans échec -voir paragraphe restauration: http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
Conclusion
Si vous ne parvenez pas à vous désinfecter avec l'astuce, créez un sujet dans la partie Virus du forum.

Si vous êtes parvenus à vous désinfecter, vous devez impérativement mettre à jour vos logiciels installés, votre ordinateur est vulnérable.

Un exploit sur site WEB permet l'infection de votre ordinateur de manière automatique à la visite d'un site WEB qui a été piraté, il tire partie du fait que vous avez des logiciels (Java, Adobe Reader etc) non à jour et qui possèdent des vulnérabilités permettant l'exécution de code (malicieux dans notre cas) à votre insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter votre PC.
Exemple avec : Exploit Java

Maintenez vos logiciels à jour c'est important pour la sécurité de votre PC, utilisez ces programmes pour vous y aider : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

 

Ce contenu provient de http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei

Ajouter un commentaire

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Balises HTML autorisées : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Service de maintenance informatique

Email : contact@aaai.fr