Trojan 'Ransomware' en activité et variable..
Résolu
jalobservateur
Messages postés
7372
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Voyant se multiplier les cas un peu partout, il est avisé de faire circuler cette information importante afin de limiter les dégats...
Voici 1 des nombreux cas vu dont ici: Cheval de Troie Rogue:W32/DotTorrent.A
Il y a un nouveau Trojan d'extorsion en circulation.
À première vu, en provenance de la Russie...
Celui-ci essaye de voler l'argent des victimes en les intimidant pour payer « un règlement pre-trial » pour couvrir « une amende de support de copyright ».
La victime est au courant que « un module de balayage de base d'Antipiracy » ait trouvé les torrents illégaux du système.
Le client (utilisateur du PC)doit payer $400 (par l'intermédiaire d'une transaction par carte de crédit), il pourrait faire face à la prison et à des amandes énormes...
De plus, les avertissements ne partiront pas. Ils réapparaîtront chaque fois que l'utilisateur recharge son système, sinon même que cette infection s'installe sur le MBR et met ainsi en grand danger la machine qui risque de planter 'écran bleu de la mort' sinon ne démarre plus.
Tout ceci est complètement faux.
Il n'y a aucune « base d'ICPP », et les messages apparaîtront même si le système ne contient aucun matériel illégal tel que des torrents de logiciels ou musiques téléchargées, via la Mule ou Limewire
D'une manière plus importante : Ces ordures tentent de faire verser de l'argent!
Si les gens les payent, le problème se développera et de façon exponentielle.
Le groupe derrière ceci ont même installé un site Web chez icpp-online.com.
Le domaine est enregistré à M. « Shoen Overns ». Le même email address ovenersbox@yahoo.com Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. a été vu avant dans de divers autres domaines, reliés aux escroqueries de Zeus et de Koobface.
Si vous cliquez sur les rapports montrés par l'application, vous aboutirez à des pages de ce type :
Le téléphone mentionné ne mène nulle part, bien-entendu...
Ces pages sont hébergées chez 91.209.238.2, qui selon le WHOIS appartient à EBUNKER-NET, « un réseau protégé élevé de la Somalie ». Il fonctionne dans Moldau.
Et voici à quoi la page de paiement ressemble :
Il n'y a aucun système évident de paiement par carte de crédit relié à l'emplacement ; ils semblent juste collecter les informations par la carte de crédit.
Si vous êtes frappé par ce Trojan, NE PAYEZ PAS.
Le malware est typiquement placé dans les données de c:\documents and settings\USERNAME\application \ IQManager \ iqmanager.exe. Nous avons vu deux versions jusqu'ici. MD5 hache de elles est cedc2c35bf967027d609df13e937946c et bca3226cc1cfea416c0bcf488082e5fd.
Que du bonheur
Source avant ma francisation: www.f-secure.com/weblog/archives/00001931.html
Analyse de la menace en détails ici : www.threatexpert.com/report.aspx?md5=ced...7027d609df13e937946c
Information sur une nouvelle tentative modifiée, sera communiquée par m0e
Que je remerci de son implication :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Voyant se multiplier les cas un peu partout, il est avisé de faire circuler cette information importante afin de limiter les dégats...
Voici 1 des nombreux cas vu dont ici: Cheval de Troie Rogue:W32/DotTorrent.A
Il y a un nouveau Trojan d'extorsion en circulation.
À première vu, en provenance de la Russie...
Celui-ci essaye de voler l'argent des victimes en les intimidant pour payer « un règlement pre-trial » pour couvrir « une amende de support de copyright ».
La victime est au courant que « un module de balayage de base d'Antipiracy » ait trouvé les torrents illégaux du système.
Le client (utilisateur du PC)doit payer $400 (par l'intermédiaire d'une transaction par carte de crédit), il pourrait faire face à la prison et à des amandes énormes...
De plus, les avertissements ne partiront pas. Ils réapparaîtront chaque fois que l'utilisateur recharge son système, sinon même que cette infection s'installe sur le MBR et met ainsi en grand danger la machine qui risque de planter 'écran bleu de la mort' sinon ne démarre plus.
Tout ceci est complètement faux.
Il n'y a aucune « base d'ICPP », et les messages apparaîtront même si le système ne contient aucun matériel illégal tel que des torrents de logiciels ou musiques téléchargées, via la Mule ou Limewire
D'une manière plus importante : Ces ordures tentent de faire verser de l'argent!
Si les gens les payent, le problème se développera et de façon exponentielle.
Le groupe derrière ceci ont même installé un site Web chez icpp-online.com.
Le domaine est enregistré à M. « Shoen Overns ». Le même email address ovenersbox@yahoo.com Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. a été vu avant dans de divers autres domaines, reliés aux escroqueries de Zeus et de Koobface.
Si vous cliquez sur les rapports montrés par l'application, vous aboutirez à des pages de ce type :
Le téléphone mentionné ne mène nulle part, bien-entendu...
Ces pages sont hébergées chez 91.209.238.2, qui selon le WHOIS appartient à EBUNKER-NET, « un réseau protégé élevé de la Somalie ». Il fonctionne dans Moldau.
Et voici à quoi la page de paiement ressemble :
Il n'y a aucun système évident de paiement par carte de crédit relié à l'emplacement ; ils semblent juste collecter les informations par la carte de crédit.
Si vous êtes frappé par ce Trojan, NE PAYEZ PAS.
Le malware est typiquement placé dans les données de c:\documents and settings\USERNAME\application \ IQManager \ iqmanager.exe. Nous avons vu deux versions jusqu'ici. MD5 hache de elles est cedc2c35bf967027d609df13e937946c et bca3226cc1cfea416c0bcf488082e5fd.
Que du bonheur
Source avant ma francisation: www.f-secure.com/weblog/archives/00001931.html
Analyse de la menace en détails ici : www.threatexpert.com/report.aspx?md5=ced...7027d609df13e937946c
Information sur une nouvelle tentative modifiée, sera communiquée par m0e
Que je remerci de son implication :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
A voir également:
- Trojan 'Ransomware' en activité et variable..
- Activité instagram - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Compte orange bloqué activité suspecte ✓ - Forum Mail
- Trojan b901 system32 win config 34 ✓ - Forum Virus
86 réponses
les cas augmentent encore...
Salut crapoulou:)
Gen va se marrer :) ^ ^
Tu vois, j'en ai traité un sur mon site Linux.
La machine était plantée morte.
Ouais je sais que le post est long à lire et très commenté...
En plus j'avais un boulot de débile ici et le téléphone ne dérougissait pas.
Mais tout y est
Évidemment ce n'est pas la vocation du site que de désinfecter des Windows.
Alors si tu regardes, les outils utilisés (qui peuvent varier, selon les goûts), le principal fût le Live CD Dr.Web sur lequel le droper que m0e m'a refilé est inclue dans la base et quelques autres variantes sont prisent en charge.
Donc oui il est possible en live de 'déplanter':)
Dans les pires cas, si jamais, alors les docs se sauvent toujours via un Live Linux.
C'est fou comme les infections s'étendent partout, mais je pense qu'elles ont une source X commune...
Gen va se marrer :) ^ ^
Tu vois, j'en ai traité un sur mon site Linux.
La machine était plantée morte.
Ouais je sais que le post est long à lire et très commenté...
En plus j'avais un boulot de débile ici et le téléphone ne dérougissait pas.
Mais tout y est
Évidemment ce n'est pas la vocation du site que de désinfecter des Windows.
Alors si tu regardes, les outils utilisés (qui peuvent varier, selon les goûts), le principal fût le Live CD Dr.Web sur lequel le droper que m0e m'a refilé est inclue dans la base et quelques autres variantes sont prisent en charge.
Donc oui il est possible en live de 'déplanter':)
Dans les pires cas, si jamais, alors les docs se sauvent toujours via un Live Linux.
C'est fou comme les infections s'étendent partout, mais je pense qu'elles ont une source X commune...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
PS: 'quand la machine est pas plantée', j'ai conseillé le fix de Gen à un contact anglais via email et il me dit que ça va là :)
Bravo Gen !
Bravo Gen !
Ouais j'avoue que l'aidée a eu son coup de grâce après les manips, puis qu'elle passe sa machine en Linux, mais c'est pas de ma faute :)
La machine de ses parents est resté sous Windows pour le moment, alors il t'en reste au moins une ou + sûrement ?
La machine de ses parents est resté sous Windows pour le moment, alors il t'en reste au moins une ou + sûrement ?
Je prépare une astuce, je vous tiens au courant quand c'est publié pour que vous apportiez vos petites modifs' ;-)
Voilà mon oeuvre, lol.
Cela m'a pris une grosse partie de mon après-midi ! (article, vidéos, captures, tests, ...)
Edit : Lien de l'astuce.
T'as un problème ? Passe sur CCM!
Il n'y a pas de problème sans solution.
Cela m'a pris une grosse partie de mon après-midi ! (article, vidéos, captures, tests, ...)
Edit : Lien de l'astuce.
T'as un problème ? Passe sur CCM!
Il n'y a pas de problème sans solution.
Ecellent Crapoulou :)
Rien à redire mon ami .
Si jamais des infections 'latentes' ne surgissent pas, alors c'est gagnant comme méthode, car je viens encore cet aprés-midi d'avoir une demande email sur ce sujet et traitée :)
Alors super avec le lien de ton astuce.
Chose promise, chose faite. Bravo!
Et merci pour eux:)
Rien à redire mon ami .
Si jamais des infections 'latentes' ne surgissent pas, alors c'est gagnant comme méthode, car je viens encore cet aprés-midi d'avoir une demande email sur ce sujet et traitée :)
Alors super avec le lien de ton astuce.
Chose promise, chose faite. Bravo!
Et merci pour eux:)
Salut et bravo pour ton astuce et ta vidéo crapoulou !
Je profite aussi de l'occase pour apporter un peu plus de précisions sur une des méthodes de diffusion du malware, celle des faux sites de download.
Ce n'est pas la plus répandue mais c'est sans aucun doute la plus interessante car on peut vraiment voir le travail fait pour amener l'internaute à croire qu'il à téléchargé du contenu illégal, et donc pour ensuite mieux tenter de lui extorquer de l'argent par intimidation.
Sur ces faux sites, les fichiers téléchargés sont tous en réalité des downloaders dont le but est d'installer l'infection.
Après exécution le dossier %appdata%\AR(AP)Manager va être crée ainsi que le sous dossier "Metafiles" ou l'on retrouve un fichier *.torrent contenant des infos relatives au téléchargement effectué sur le site piégé.
Exemple du contenu d'un faux *.torrent:
Le livre d'Eli|1024000|0|url qui mene à une image de la jaquette du film, album etc....
Ce fichier servira notament un peu plus tard lors d'un simulacre de téléchargement.
Le downloader télécharge et installe ensuite le reste de l'infection.
S'en suit l'ouverture du programme APManager dont la fenêtre laisse penser à un banal gestionnaire de téléchargement.
Le fichier torrent est alors lu et les infos qu'il contient servent à mettre en place un simulacre de téléchargement via la fenêtre du prog.
Rien n'est téléchargé en réalité mais cette pseudo procédure de téléchargement accentuera la "peur du gendarme" et le sentiment d'avoir fait quelque chose d'illégal lors de la phase d'intimidation qui interviendra plus tard.
Une fois le "pseudo téléchargement" terminé c'est alors au tour de la phase d'intimidation d'entrer en jeu, comme on peut le voir sur la vidéo de Crapoulou :-)
Illustration :
http://perso.orange.fr/aeternum/Misc/APM/ARM2.avi
Bonne continuation, @++
Je profite aussi de l'occase pour apporter un peu plus de précisions sur une des méthodes de diffusion du malware, celle des faux sites de download.
Ce n'est pas la plus répandue mais c'est sans aucun doute la plus interessante car on peut vraiment voir le travail fait pour amener l'internaute à croire qu'il à téléchargé du contenu illégal, et donc pour ensuite mieux tenter de lui extorquer de l'argent par intimidation.
Sur ces faux sites, les fichiers téléchargés sont tous en réalité des downloaders dont le but est d'installer l'infection.
Après exécution le dossier %appdata%\AR(AP)Manager va être crée ainsi que le sous dossier "Metafiles" ou l'on retrouve un fichier *.torrent contenant des infos relatives au téléchargement effectué sur le site piégé.
Exemple du contenu d'un faux *.torrent:
Le livre d'Eli|1024000|0|url qui mene à une image de la jaquette du film, album etc....
Ce fichier servira notament un peu plus tard lors d'un simulacre de téléchargement.
Le downloader télécharge et installe ensuite le reste de l'infection.
S'en suit l'ouverture du programme APManager dont la fenêtre laisse penser à un banal gestionnaire de téléchargement.
Le fichier torrent est alors lu et les infos qu'il contient servent à mettre en place un simulacre de téléchargement via la fenêtre du prog.
Rien n'est téléchargé en réalité mais cette pseudo procédure de téléchargement accentuera la "peur du gendarme" et le sentiment d'avoir fait quelque chose d'illégal lors de la phase d'intimidation qui interviendra plus tard.
Une fois le "pseudo téléchargement" terminé c'est alors au tour de la phase d'intimidation d'entrer en jeu, comme on peut le voir sur la vidéo de Crapoulou :-)
Illustration :
http://perso.orange.fr/aeternum/Misc/APM/ARM2.avi
Bonne continuation, @++
Tu auras remarqué que j'ai passé tes vidéos en swf afin qu'elles soient consultables sur une page html.
Je ferai pareil pour cette vidéo et mettrai à jour l'astuce ce soir avec tes précisions.
Encore un autre moyen d'éradiquer (license=1 puis kill explorer et relance explorer).
Pas utile de la rajouter je pense ça fera trop et l'utilisateur va trifouiller là dedans... :S
Merci pour tes investigations.
Excellente vidéo !
Je ferai pareil pour cette vidéo et mettrai à jour l'astuce ce soir avec tes précisions.
Encore un autre moyen d'éradiquer (license=1 puis kill explorer et relance explorer).
Pas utile de la rajouter je pense ça fera trop et l'utilisateur va trifouiller là dedans... :S
Merci pour tes investigations.
Excellente vidéo !
Ouais. mdr. bon ok je viens d'imaginer, un point de contournement, mais... Ok il vont peut-être pas y songer trop rapidement...
Pas grave on va contre-attaquer , nous aussi, si jamais, échec ne signifie pas MAT, mais astuce de contournement. Puis on es pas minuté lol :)
Pas grave on va contre-attaquer , nous aussi, si jamais, échec ne signifie pas MAT, mais astuce de contournement. Puis on es pas minuté lol :)
je viens de faire ca à tester apres stop du processus , retour d'explorer.
au redemarrage il ne devrait plus etre là (du moins , plus demarrer et permettre de desinfecter tranquille )
http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/Manage.exe
au redemarrage il ne devrait plus etre là (du moins , plus demarrer et permettre de desinfecter tranquille )
http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/Manage.exe
Crapoulou , le lien du removal tool c merdique en plus de ne pas le recommander ,car pas testé' regardes ceci : https://www.mywot.com/fr/scorecard/removal-tool.com
C'est comme ramasser une boué remplie de plomb :)
Jai fais un post 'encore à remonter' je pense...
https://forums.commentcamarche.net/forum/affich-17586690-hxxp-removal-tool-com-icpp-online-com
Bin oui un tool c'est tentant !!!
Saleté de magouilles.
Je vais te laisser modifier :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
C'est comme ramasser une boué remplie de plomb :)
Jai fais un post 'encore à remonter' je pense...
https://forums.commentcamarche.net/forum/affich-17586690-hxxp-removal-tool-com-icpp-online-com
Bin oui un tool c'est tentant !!!
Saleté de magouilles.
Je vais te laisser modifier :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
lol ^^ :
Domain name: removal-tool.com
Name servers:
ns1.360xl.net
ns2.360xl.net
Registrar: Regtime Ltd.
Creation date: 2008-11-02
Expiration date: 2010-10-20
Status: active
Registrant:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Administrative Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Technical Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Billing Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Domain name: removal-tool.com
Name servers:
ns1.360xl.net
ns2.360xl.net
Registrar: Regtime Ltd.
Creation date: 2008-11-02
Expiration date: 2010-10-20
Status: active
Registrant:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Administrative Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Technical Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Billing Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Salut Gen:)
Crapoulou, je pense qu'il serait avisé, surtout suite à la resto antérieure que le (la)demandant(e), passe par le forum afin de vérifier via un ptit coup de RSIT... ou/et ZHPDiag
Je ne sais pas ce que tu en dis .
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Crapoulou, je pense qu'il serait avisé, surtout suite à la resto antérieure que le (la)demandant(e), passe par le forum afin de vérifier via un ptit coup de RSIT... ou/et ZHPDiag
Je ne sais pas ce que tu en dis .
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Ouias à calculer les risques ils sont égaux alors 'ça vaut et pas', le calcul
(Smile )
(Smile )
Ouais, puis crash planté de la mort, y'a toujours sauver avec Linux, bref ,non, c'est cool ainsi.
On dois pas alourdir au point que ça devienne 1 semaine de manips non plus:)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
On dois pas alourdir au point que ça devienne 1 semaine de manips non plus:)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
J'en suis au stade ou j'ai le virus sans le bureau, mais malheureusement je ne peux pas appliquer vos solutions...
J'ai un probleme un peu plus embetant, c'est qu'on dirait que le virus me bloque completement l'acces admin, je ne peut pas faire de ctrl+alt+suppr pour supprimer l'ARmanager.exe...
Je ne peux pas non plus installer les anti virus nécéssaires depuis une autre session, meme admin, on dirait que le virus me bloque aussi cet acces!
Il me faudrait j'imagine soit un moyen de pouvoir installer des programmes en "forcant" un peu le mode admin, soit un moyen alternatif de pouvoir accéder au ctrl+alt+suppr...
J'ai un probleme un peu plus embetant, c'est qu'on dirait que le virus me bloque completement l'acces admin, je ne peut pas faire de ctrl+alt+suppr pour supprimer l'ARmanager.exe...
Je ne peux pas non plus installer les anti virus nécéssaires depuis une autre session, meme admin, on dirait que le virus me bloque aussi cet acces!
Il me faudrait j'imagine soit un moyen de pouvoir installer des programmes en "forcant" un peu le mode admin, soit un moyen alternatif de pouvoir accéder au ctrl+alt+suppr...
