Trojan 'Ransomware' en activité et variable..
Résolu
jalobservateur
Messages postés
7372
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
gen-hackman -
gen-hackman -
Bonjour,
Voyant se multiplier les cas un peu partout, il est avisé de faire circuler cette information importante afin de limiter les dégats...
Voici 1 des nombreux cas vu dont ici: Cheval de Troie Rogue:W32/DotTorrent.A
Il y a un nouveau Trojan d'extorsion en circulation.
À première vu, en provenance de la Russie...
Celui-ci essaye de voler l'argent des victimes en les intimidant pour payer « un règlement pre-trial » pour couvrir « une amende de support de copyright ».
La victime est au courant que « un module de balayage de base d'Antipiracy » ait trouvé les torrents illégaux du système.
Le client (utilisateur du PC)doit payer $400 (par l'intermédiaire d'une transaction par carte de crédit), il pourrait faire face à la prison et à des amandes énormes...
De plus, les avertissements ne partiront pas. Ils réapparaîtront chaque fois que l'utilisateur recharge son système, sinon même que cette infection s'installe sur le MBR et met ainsi en grand danger la machine qui risque de planter 'écran bleu de la mort' sinon ne démarre plus.
Tout ceci est complètement faux.
Il n'y a aucune « base d'ICPP », et les messages apparaîtront même si le système ne contient aucun matériel illégal tel que des torrents de logiciels ou musiques téléchargées, via la Mule ou Limewire
D'une manière plus importante : Ces ordures tentent de faire verser de l'argent!
Si les gens les payent, le problème se développera et de façon exponentielle.
Le groupe derrière ceci ont même installé un site Web chez icpp-online.com.
Le domaine est enregistré à M. « Shoen Overns ». Le même email address ovenersbox@yahoo.com Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. a été vu avant dans de divers autres domaines, reliés aux escroqueries de Zeus et de Koobface.
Si vous cliquez sur les rapports montrés par l'application, vous aboutirez à des pages de ce type :
Le téléphone mentionné ne mène nulle part, bien-entendu...
Ces pages sont hébergées chez 91.209.238.2, qui selon le WHOIS appartient à EBUNKER-NET, « un réseau protégé élevé de la Somalie ». Il fonctionne dans Moldau.
Et voici à quoi la page de paiement ressemble :
Il n'y a aucun système évident de paiement par carte de crédit relié à l'emplacement ; ils semblent juste collecter les informations par la carte de crédit.
Si vous êtes frappé par ce Trojan, NE PAYEZ PAS.
Le malware est typiquement placé dans les données de c:\documents and settings\USERNAME\application \ IQManager \ iqmanager.exe. Nous avons vu deux versions jusqu'ici. MD5 hache de elles est cedc2c35bf967027d609df13e937946c et bca3226cc1cfea416c0bcf488082e5fd.
Que du bonheur
Source avant ma francisation: www.f-secure.com/weblog/archives/00001931.html
Analyse de la menace en détails ici : www.threatexpert.com/report.aspx?md5=ced...7027d609df13e937946c
Information sur une nouvelle tentative modifiée, sera communiquée par m0e
Que je remerci de son implication :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Voyant se multiplier les cas un peu partout, il est avisé de faire circuler cette information importante afin de limiter les dégats...
Voici 1 des nombreux cas vu dont ici: Cheval de Troie Rogue:W32/DotTorrent.A
Il y a un nouveau Trojan d'extorsion en circulation.
À première vu, en provenance de la Russie...
Celui-ci essaye de voler l'argent des victimes en les intimidant pour payer « un règlement pre-trial » pour couvrir « une amende de support de copyright ».
La victime est au courant que « un module de balayage de base d'Antipiracy » ait trouvé les torrents illégaux du système.
Le client (utilisateur du PC)doit payer $400 (par l'intermédiaire d'une transaction par carte de crédit), il pourrait faire face à la prison et à des amandes énormes...
De plus, les avertissements ne partiront pas. Ils réapparaîtront chaque fois que l'utilisateur recharge son système, sinon même que cette infection s'installe sur le MBR et met ainsi en grand danger la machine qui risque de planter 'écran bleu de la mort' sinon ne démarre plus.
Tout ceci est complètement faux.
Il n'y a aucune « base d'ICPP », et les messages apparaîtront même si le système ne contient aucun matériel illégal tel que des torrents de logiciels ou musiques téléchargées, via la Mule ou Limewire
D'une manière plus importante : Ces ordures tentent de faire verser de l'argent!
Si les gens les payent, le problème se développera et de façon exponentielle.
Le groupe derrière ceci ont même installé un site Web chez icpp-online.com.
Le domaine est enregistré à M. « Shoen Overns ». Le même email address ovenersbox@yahoo.com Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. a été vu avant dans de divers autres domaines, reliés aux escroqueries de Zeus et de Koobface.
Si vous cliquez sur les rapports montrés par l'application, vous aboutirez à des pages de ce type :
Le téléphone mentionné ne mène nulle part, bien-entendu...
Ces pages sont hébergées chez 91.209.238.2, qui selon le WHOIS appartient à EBUNKER-NET, « un réseau protégé élevé de la Somalie ». Il fonctionne dans Moldau.
Et voici à quoi la page de paiement ressemble :
Il n'y a aucun système évident de paiement par carte de crédit relié à l'emplacement ; ils semblent juste collecter les informations par la carte de crédit.
Si vous êtes frappé par ce Trojan, NE PAYEZ PAS.
Le malware est typiquement placé dans les données de c:\documents and settings\USERNAME\application \ IQManager \ iqmanager.exe. Nous avons vu deux versions jusqu'ici. MD5 hache de elles est cedc2c35bf967027d609df13e937946c et bca3226cc1cfea416c0bcf488082e5fd.
Que du bonheur
Source avant ma francisation: www.f-secure.com/weblog/archives/00001931.html
Analyse de la menace en détails ici : www.threatexpert.com/report.aspx?md5=ced...7027d609df13e937946c
Information sur une nouvelle tentative modifiée, sera communiquée par m0e
Que je remerci de son implication :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
A voir également:
- Trojan 'Ransomware' en activité et variable..
- Activité instagram - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Compte orange bloqué activité suspecte ✓ - Forum Mail
- Trojan b901 system32 win config 34 ✓ - Forum Virus
86 réponses
Salut Jal,
Tu as un lien de référence ou un sample ?
Car je n'ai pas encore rencontré de cas avec un rootkit faisant partie de cette infection.
Merci d'avance.
++
Tu as un lien de référence ou un sample ?
Car je n'ai pas encore rencontré de cas avec un rootkit faisant partie de cette infection.
Merci d'avance.
++
Hey m0e , Salut :)
Même ici : https://forums.commentcamarche.net/forum/affich-17596816-virus-droit-d-auteur?page=3#p17603284
NB: Je suis en plein taf sur ma distro enfants alors j'ai regardé 8 secondes ...
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Même ici : https://forums.commentcamarche.net/forum/affich-17596816-virus-droit-d-auteur?page=3#p17603284
NB: Je suis en plein taf sur ma distro enfants alors j'ai regardé 8 secondes ...
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question