Trojan 'Ransomware' en activité et variable.. - Page 4
Résolu
Précédent
- 1
- 2
- 3
- 4
- 5
Suivant
les cas augmentent encore...
Salut crapoulou:)
Gen va se marrer :) ^ ^
Tu vois, j'en ai traité un sur mon site Linux.
La machine était plantée morte.
Ouais je sais que le post est long à lire et très commenté...
En plus j'avais un boulot de débile ici et le téléphone ne dérougissait pas.
Mais tout y est
Évidemment ce n'est pas la vocation du site que de désinfecter des Windows.
Alors si tu regardes, les outils utilisés (qui peuvent varier, selon les goûts), le principal fût le Live CD Dr.Web sur lequel le droper que m0e m'a refilé est inclue dans la base et quelques autres variantes sont prisent en charge.
Donc oui il est possible en live de 'déplanter':)
Dans les pires cas, si jamais, alors les docs se sauvent toujours via un Live Linux.
C'est fou comme les infections s'étendent partout, mais je pense qu'elles ont une source X commune...
Gen va se marrer :) ^ ^
Tu vois, j'en ai traité un sur mon site Linux.
La machine était plantée morte.
Ouais je sais que le post est long à lire et très commenté...
En plus j'avais un boulot de débile ici et le téléphone ne dérougissait pas.
Mais tout y est
Évidemment ce n'est pas la vocation du site que de désinfecter des Windows.
Alors si tu regardes, les outils utilisés (qui peuvent varier, selon les goûts), le principal fût le Live CD Dr.Web sur lequel le droper que m0e m'a refilé est inclue dans la base et quelques autres variantes sont prisent en charge.
Donc oui il est possible en live de 'déplanter':)
Dans les pires cas, si jamais, alors les docs se sauvent toujours via un Live Linux.
C'est fou comme les infections s'étendent partout, mais je pense qu'elles ont une source X commune...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
PS: 'quand la machine est pas plantée', j'ai conseillé le fix de Gen à un contact anglais via email et il me dit que ça va là :)
Bravo Gen !
Bravo Gen !
Ouais j'avoue que l'aidée a eu son coup de grâce après les manips, puis qu'elle passe sa machine en Linux, mais c'est pas de ma faute :)
La machine de ses parents est resté sous Windows pour le moment, alors il t'en reste au moins une ou + sûrement ?
La machine de ses parents est resté sous Windows pour le moment, alors il t'en reste au moins une ou + sûrement ?
Je prépare une astuce, je vous tiens au courant quand c'est publié pour que vous apportiez vos petites modifs' ;-)
Voilà mon oeuvre, lol.
Cela m'a pris une grosse partie de mon après-midi ! (article, vidéos, captures, tests, ...)
Edit : Lien de l'astuce.
T'as un problème ? Passe sur CCM!
Il n'y a pas de problème sans solution.
Cela m'a pris une grosse partie de mon après-midi ! (article, vidéos, captures, tests, ...)
Edit : Lien de l'astuce.
T'as un problème ? Passe sur CCM!
Il n'y a pas de problème sans solution.
Ecellent Crapoulou :)
Rien à redire mon ami .
Si jamais des infections 'latentes' ne surgissent pas, alors c'est gagnant comme méthode, car je viens encore cet aprés-midi d'avoir une demande email sur ce sujet et traitée :)
Alors super avec le lien de ton astuce.
Chose promise, chose faite. Bravo!
Et merci pour eux:)
Rien à redire mon ami .
Si jamais des infections 'latentes' ne surgissent pas, alors c'est gagnant comme méthode, car je viens encore cet aprés-midi d'avoir une demande email sur ce sujet et traitée :)
Alors super avec le lien de ton astuce.
Chose promise, chose faite. Bravo!
Et merci pour eux:)
Salut et bravo pour ton astuce et ta vidéo crapoulou !
Je profite aussi de l'occase pour apporter un peu plus de précisions sur une des méthodes de diffusion du malware, celle des faux sites de download.
Ce n'est pas la plus répandue mais c'est sans aucun doute la plus interessante car on peut vraiment voir le travail fait pour amener l'internaute à croire qu'il à téléchargé du contenu illégal, et donc pour ensuite mieux tenter de lui extorquer de l'argent par intimidation.
Sur ces faux sites, les fichiers téléchargés sont tous en réalité des downloaders dont le but est d'installer l'infection.
Après exécution le dossier %appdata%\AR(AP)Manager va être crée ainsi que le sous dossier "Metafiles" ou l'on retrouve un fichier *.torrent contenant des infos relatives au téléchargement effectué sur le site piégé.
Exemple du contenu d'un faux *.torrent:
Le livre d'Eli|1024000|0|url qui mene à une image de la jaquette du film, album etc....
Ce fichier servira notament un peu plus tard lors d'un simulacre de téléchargement.
Le downloader télécharge et installe ensuite le reste de l'infection.
S'en suit l'ouverture du programme APManager dont la fenêtre laisse penser à un banal gestionnaire de téléchargement.
Le fichier torrent est alors lu et les infos qu'il contient servent à mettre en place un simulacre de téléchargement via la fenêtre du prog.
Rien n'est téléchargé en réalité mais cette pseudo procédure de téléchargement accentuera la "peur du gendarme" et le sentiment d'avoir fait quelque chose d'illégal lors de la phase d'intimidation qui interviendra plus tard.
Une fois le "pseudo téléchargement" terminé c'est alors au tour de la phase d'intimidation d'entrer en jeu, comme on peut le voir sur la vidéo de Crapoulou :-)
Illustration :
http://perso.orange.fr/aeternum/Misc/APM/ARM2.avi
Bonne continuation, @++
Je profite aussi de l'occase pour apporter un peu plus de précisions sur une des méthodes de diffusion du malware, celle des faux sites de download.
Ce n'est pas la plus répandue mais c'est sans aucun doute la plus interessante car on peut vraiment voir le travail fait pour amener l'internaute à croire qu'il à téléchargé du contenu illégal, et donc pour ensuite mieux tenter de lui extorquer de l'argent par intimidation.
Sur ces faux sites, les fichiers téléchargés sont tous en réalité des downloaders dont le but est d'installer l'infection.
Après exécution le dossier %appdata%\AR(AP)Manager va être crée ainsi que le sous dossier "Metafiles" ou l'on retrouve un fichier *.torrent contenant des infos relatives au téléchargement effectué sur le site piégé.
Exemple du contenu d'un faux *.torrent:
Le livre d'Eli|1024000|0|url qui mene à une image de la jaquette du film, album etc....
Ce fichier servira notament un peu plus tard lors d'un simulacre de téléchargement.
Le downloader télécharge et installe ensuite le reste de l'infection.
S'en suit l'ouverture du programme APManager dont la fenêtre laisse penser à un banal gestionnaire de téléchargement.
Le fichier torrent est alors lu et les infos qu'il contient servent à mettre en place un simulacre de téléchargement via la fenêtre du prog.
Rien n'est téléchargé en réalité mais cette pseudo procédure de téléchargement accentuera la "peur du gendarme" et le sentiment d'avoir fait quelque chose d'illégal lors de la phase d'intimidation qui interviendra plus tard.
Une fois le "pseudo téléchargement" terminé c'est alors au tour de la phase d'intimidation d'entrer en jeu, comme on peut le voir sur la vidéo de Crapoulou :-)
Illustration :
http://perso.orange.fr/aeternum/Misc/APM/ARM2.avi
Bonne continuation, @++
Tu auras remarqué que j'ai passé tes vidéos en swf afin qu'elles soient consultables sur une page html.
Je ferai pareil pour cette vidéo et mettrai à jour l'astuce ce soir avec tes précisions.
Encore un autre moyen d'éradiquer (license=1 puis kill explorer et relance explorer).
Pas utile de la rajouter je pense ça fera trop et l'utilisateur va trifouiller là dedans... :S
Merci pour tes investigations.
Excellente vidéo !
Je ferai pareil pour cette vidéo et mettrai à jour l'astuce ce soir avec tes précisions.
Encore un autre moyen d'éradiquer (license=1 puis kill explorer et relance explorer).
Pas utile de la rajouter je pense ça fera trop et l'utilisateur va trifouiller là dedans... :S
Merci pour tes investigations.
Excellente vidéo !
Ouais. mdr. bon ok je viens d'imaginer, un point de contournement, mais... Ok il vont peut-être pas y songer trop rapidement...
Pas grave on va contre-attaquer , nous aussi, si jamais, échec ne signifie pas MAT, mais astuce de contournement. Puis on es pas minuté lol :)
Pas grave on va contre-attaquer , nous aussi, si jamais, échec ne signifie pas MAT, mais astuce de contournement. Puis on es pas minuté lol :)
je viens de faire ca à tester apres stop du processus , retour d'explorer.
au redemarrage il ne devrait plus etre là (du moins , plus demarrer et permettre de desinfecter tranquille )
http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/Manage.exe
au redemarrage il ne devrait plus etre là (du moins , plus demarrer et permettre de desinfecter tranquille )
http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/Manage.exe
Crapoulou , le lien du removal tool c merdique en plus de ne pas le recommander ,car pas testé' regardes ceci : https://www.mywot.com/fr/scorecard/removal-tool.com
C'est comme ramasser une boué remplie de plomb :)
Jai fais un post 'encore à remonter' je pense...
https://forums.commentcamarche.net/forum/affich-17586690-hxxp-removal-tool-com-icpp-online-com
Bin oui un tool c'est tentant !!!
Saleté de magouilles.
Je vais te laisser modifier :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
C'est comme ramasser une boué remplie de plomb :)
Jai fais un post 'encore à remonter' je pense...
https://forums.commentcamarche.net/forum/affich-17586690-hxxp-removal-tool-com-icpp-online-com
Bin oui un tool c'est tentant !!!
Saleté de magouilles.
Je vais te laisser modifier :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
lol ^^ :
Domain name: removal-tool.com
Name servers:
ns1.360xl.net
ns2.360xl.net
Registrar: Regtime Ltd.
Creation date: 2008-11-02
Expiration date: 2010-10-20
Status: active
Registrant:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Administrative Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Technical Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Billing Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Domain name: removal-tool.com
Name servers:
ns1.360xl.net
ns2.360xl.net
Registrar: Regtime Ltd.
Creation date: 2008-11-02
Expiration date: 2010-10-20
Status: active
Registrant:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Administrative Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Technical Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Billing Contact:
Igor Sechenov
Email:
Organization: Private person
Address: Svodody, 117/39
City: Kiev
State: Kievskaya
ZIP: 02002
Country: UA
Phone: +38.0681178882
Salut Gen:)
Crapoulou, je pense qu'il serait avisé, surtout suite à la resto antérieure que le (la)demandant(e), passe par le forum afin de vérifier via un ptit coup de RSIT... ou/et ZHPDiag
Je ne sais pas ce que tu en dis .
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Crapoulou, je pense qu'il serait avisé, surtout suite à la resto antérieure que le (la)demandant(e), passe par le forum afin de vérifier via un ptit coup de RSIT... ou/et ZHPDiag
Je ne sais pas ce que tu en dis .
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Ouias à calculer les risques ils sont égaux alors 'ça vaut et pas', le calcul
(Smile )
(Smile )
Ouais, puis crash planté de la mort, y'a toujours sauver avec Linux, bref ,non, c'est cool ainsi.
On dois pas alourdir au point que ça devienne 1 semaine de manips non plus:)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
On dois pas alourdir au point que ça devienne 1 semaine de manips non plus:)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
J'en suis au stade ou j'ai le virus sans le bureau, mais malheureusement je ne peux pas appliquer vos solutions...
J'ai un probleme un peu plus embetant, c'est qu'on dirait que le virus me bloque completement l'acces admin, je ne peut pas faire de ctrl+alt+suppr pour supprimer l'ARmanager.exe...
Je ne peux pas non plus installer les anti virus nécéssaires depuis une autre session, meme admin, on dirait que le virus me bloque aussi cet acces!
Il me faudrait j'imagine soit un moyen de pouvoir installer des programmes en "forcant" un peu le mode admin, soit un moyen alternatif de pouvoir accéder au ctrl+alt+suppr...
J'ai un probleme un peu plus embetant, c'est qu'on dirait que le virus me bloque completement l'acces admin, je ne peut pas faire de ctrl+alt+suppr pour supprimer l'ARmanager.exe...
Je ne peux pas non plus installer les anti virus nécéssaires depuis une autre session, meme admin, on dirait que le virus me bloque aussi cet acces!
Il me faudrait j'imagine soit un moyen de pouvoir installer des programmes en "forcant" un peu le mode admin, soit un moyen alternatif de pouvoir accéder au ctrl+alt+suppr...
Précédent
- 1
- 2
- 3
- 4
- 5
Suivant
