Trojan Fake Police / Virus Gendarmerie Nationale

Trojan Fake Police / Virus Gendarmerie
Nationale : violation de la loi française
Par
malekalmorte
– 11 décembre 2011
Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune
aide ne sera donnée en commentaire, ce n’est pas adequate :
http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
On continue avec ces malwares Trojan.Winlock / Trojan.Ransomware : Virus Police qui font
des ravages :


http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-policesuite/
Il semblerait que ces derniers comme je l’avais indiqué dans le premier billet se propagent par
des Malvertising sur les sites de streaming (EDIT – confirmé).
Viser les sites de streaming n’est pas une surprise contenu de la nature du malware et par le
fait que les sites de streaming attirent beaucoup de monde (maximation des profits)
Si vous avez été infecté, c’est que votre système est vulnérable aux exploits sur site
WEB - Cela signifie que vous ne maintenez pas à jour vos logiciels et contiennent des
vulnérabilités qui permettent l’infection de votre système à la simple visite d’un site.
Dans notre cas, c’est via des publicités pourries (malvertising) sur les sites de streaming.
La version française existe sous 3 formes et est différente selon la version de Windows – la
procédure de désinfection est différente selon la variante :


Windows XP : dans tous les cas, le fichier C:Windowsexplorer.exe a été remplacé par
une version malicieuse. De ce fait, tout démarrage (mode normal, sans échec) arrivera
sur le message du virus. Seule l’invite de commandes est disponible et permet
quelques manipulations.
Windows Vista/Seven : deux formes.
o Le mode sans échec est disponibel : version facile il suffit d’aller en mode sans
échec avec prise en charge du réseau et de scanner avec Malwarebyte :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php ou
RogueKiller avec l’option Suppression.
o Une autre forme qui modifie la clef Shell pour faire pointer sur un fichier
C:Windowsexpl?rer.exe (au lieu de C:Windowsexplorer.exe), l’affichage par
l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le
fichier qui est mentionné dans la clef Shell, dans tous les cas vous aurez
explorer.exe. Se reporter à la page :
http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicodepowa/ pour la désinfection de cette forme.
Voici le message :
This image has been resized. Click this bar to view the full image. The original image is
sized 1027x764px.
This image has been resized. Click this bar to view the full image. The original image is
sized 1023x767px.
Comme vous pouvez le constater, cette version est plus soignée.
On a un logo Gendarmerie Nationale.
EDITION MIS JANVIER :
Une nouvelle variante, plus facile à désinfecter est maintenant en propagation. Le message est
différent.
Vous trouvez une procédure sur cette page : http://www.malekal.com/2012/01/10/virusgendarmerie-activite-illicite-demelee/
Si vous avez cette variante, suivre donc la procédure plus haut, notez que la procédure donnée
plus bas, notamment la restauration du système fonctionne aussi.
Il est important de mettre à jour ses programmes, les programmes non à jour contiennent des
vulnérabilités qui permettent l’infection de votre système.
This image has been resized. Click this bar to view the full image. The original image is
sized 1144x802px.
Pour la version « Virus Gema » – se reporter à la page
: http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/
This image has been resized. Click this bar to view the full image. The original image is
sized 1026x766px.
Pour la version ci-dessous, se reporter à ce lien : http://www.malekal.com/2012/03/12/votreordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
This image has been resized. Click this bar to view the full image. The original image is
sized 1024x647px.
Pour le virus Sacem / Police Nationale, se rendre sur cette page :
http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/
This image has been resized. Click this bar to view the full image. The original image is
sized 1028x766px.
Pour la variante Police Nationale, se rendre sur cette page
: http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/
This image has been resized. Click this bar to view the full image. The original image is
sized 800x600px.
Désinfection Virus Gendarmerie Nationale
Voici la procédure de désinfection, l’infection est différente si vous êtes sur Windows XP par
rapport à Windows Vista/Seven.
du fait que sur Windows XP le fichier système explorer.exe est remplacé, ce qui n’est pas le
cas sur Windows Vista et Seven.
Désinfection Windows Vista/Seven
Dans un premier temps, vérifiez si avez la main en mode sans échec avec prise en charge du
réseau : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste
au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez
mode sans échec avec prise en charge du réseau.
Si c’est le cas :


Téléchargez RogueKiller, lancez un scan puis cliquez à droite sur Suppression.
Téléchargez et installer Malwarebyte Anti-Malware :
o Mettez les définitions virales à jour
o Lancer un scan.
o Lorsque le scan est terminé, sélectionnez les détections et faites Supprimer
sélection pour mettre en quarantaine les éléments malicieux détectés.
Redémarrez l’ordinateur en mode normal et regardez ce que cela donne.
Si le PC est désinfecté, mettez à jour tous vos programmes qui ne le sont pas et qui
contiennent des vulnérabilités permettant l’infection de votre PC à la simple visite d’un site
WEB (voir paragraphe tout à la fin de ce billet).
Si vous n’avez pas la main en mode sans échec, se reporter à la page :
http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/
Désinfection Windows XP
Cette procédure est spéciale pour Windows XP, ça ne doit pas fonctionner pour Windows
Vista et Seven à cause de l’UAC (si l’UAC est désactivé – c’est mal - ça doit marcher).
C’est un peu compliqué à expliquer avec des mots alors j’ai fait une vidéo. Les étapes :




Pouvoir accéder aux fichiers comme expliqué avec l’astuce donnée dans la vidéo cidessous
Aller renommer explorer.exe en ce que vous voulez.
Chercher le fichier twexx32.dll, le renommer en explorer.exe
Redémarre l’ordinateur
Si aucun explorer.exe n’est restauré, vous aurez votre fond d’écran ce qui permet d’aller
télécharger un explorer.exe (voir à la fin de la procédure générale).
Le bémol : Si un explorer.exe trop vieux est remis, ça peux générer des plantages.
Après avoir renommé le explorer.exe comme indiqué dans la vidéo suivante, il faut faire un
reset pour redémarrer l’ordinateur, comme on a accès à rien, on peux pas dire à Windows de
redémarrer.
Windows XP: Restaurer explorer en invites de commandes en mode sans
échec
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au
changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite
de commandes en mode sans échec
Sur la fenêtre cmd.exe – tapez la commande copy comme dans la capture ci-dessous et
valider.
Si un message vous demande de remplacer le fichier accepter. Vous devez avoir un message 1
fichier(s) copié(s).
Saisir exit pour redémarrer l’ordinateur
Redémarrez l’ordinateur et vérifiez si l’infection continue à se lancer.
This image has been resized. Click this bar to view the full image. The original image is
sized 1080x167px.
NOTE : Il est aussi possible de passer la commande SFC /scannow toujours en invites de
commandes en mode sans échec.
Le scan devrait restaurer le fichier explorer.exe
Windows XP : Restauration du système en ligne de commandes mode sans
échec
C’est la procédure à privilégier.
Cela ne fait pas perdre les données mais restaure Windows à une image prise antièrement
(vous devez choisir la date, donc prendre une date antérieure à l’infection).
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au
changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite
de commandes en mode sans échec
This image has been resized. Click this bar to view the full image. The original image is
sized 721x504px.
Saisir les commandes suivantes en validant par entrée :
cd %windir%
cd system32
cd restore
rstrui.exe
Ce qui devrait lancer la restauration système de Windows – laissez vous guider et prenez une
date antérieure.
This image has been resized. Click this bar to view the full image. The original image is
sized 1075x786px.
Redémarrez en mode normal et contastez si l’infection est toujours présente, si c’est le cas,
passer à la procédure suivante.
Liens explicatifs vers le fonctionnement de la restauration du système Windows :


La restauration du système sous Windows XP
Restauration système Vista/Seven
Notez que pour Windows Seven, il est possible de faire une restauration du système au
démarrage de l’ordianteur via l’option « Réparer l’ordinateur » – cf la page suivante
: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
Windows XP : CD Live Kaspersky
Vous pouvez aussi utiliser le CD Live Kaspersky.
Fichier ISO : http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso
Il est possible de le graver sur CD ou le mettre sur Clef USB, se reporter aux pages suivantes :


http://forum.malekal.com/kaspersky-live-rescue-t12133.html
http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Une fois sur le CD, lancer le gestionnaire de fichiers via un clic droit sur le bureau.
Allez dans le dossier Discs puis C puis dossier Windows.
Vérifiez que le fichier twexx32.dll existe.
This image has been resized. Click this bar to view the full image. The original image is
sized 1029x776px.
Si c’est le cas, chercher explorer.exe et supprimer le (clic droit / mettre à la corbeille).
Chercher twexx32.dll et clic droit puis renommer, nommez le explorer.exe
(le but étant donc de mettre le fichier twexx32.dll en explorer.exe).
Redémarrez l’ordinateur quand cela est fait.
This image has been resized. Click this bar to view the full image. The original image is
sized 1026x768px.
Windows XP : Procédure avec clef Shell
Voici une dernière procédure (en fait il en exite une autre avec des CD Live par exemple avec
OTLPE simplement en copiant un explorer.exe).
Les procédures précendentes fonctionnent bien, en théorie vous ne devriez pas avoir besoin
d’appliquer celle-ci qui est un peu plus compliqué. Suivez en priorité les étapes
précédentes.
Cette procédure consiste à changer la clef Shell pour récupérer la main en mode normal.
Redémarrez en invites de commandes en mode sans échec : Au démarrage de l’ordinateur,
après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8
pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec
Sur la fenêtre cmd.exe, tapez regedit et validez
This image has been resized. Click this bar to view the full image. The original image is
sized 1066x276px.
Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE =>
Software => Microsoft => Windows NT => CurrentVersion => Winlogon
A droite, chercher Shell, vous devez avoir explorer.exe – remplacer par iexplore.exe
Saisir la commande : shutdown /r pour que l’ordinateur redémarre
Redémarrez l’ordinateur en mode normal.
Vous devriez avoir Internet Explorer qui se lance tout seul.
Si ce n’est pas le cas, si vous avez votre fond d’écran :


Faites CTRL+ALT+Suppr sur le clavier pour lancer le gestionnaire de tâches.
Sur les gestionnaire de tâches :
o
Cliquez sur le Menu Fichier puis Nouvelle tâche
o Saisir iexplore.exe – Si vous êtes sur Windows Vista ou Seven, faites
SHFIT+CTRL (à gauche de la barre d’espace – Shift est la touche majuscule)
et Entrée pour valider, cela va déclencher l’UAC (demande d’autorisation pour
modifier le système), pour Windows XP validez simplement – Internet
Explorer se lance
Téléchargez le explorer.exe correspondant à votre système :


Windows XP SP3 : http://www.malekal.com/download/explorer_XP_SP3.exe
Windows XP SP2 : http://www.malekal.com/download/explorer_XP_SP2.exe
Après l’avoir téléchargé, copier le dans le dossier Windows sous le nom explorer.exe en
remplaçant celui existant.
Le but est de remplacer le explorer.exe malicieux par un légitime afin de récupérer le bureau.



Retournez sur regedit à partir du gestionnaire de tâche et modifiez la clef Shell en
remettant explorer.exe dans la clef.
Fermer toutes les fenêtres et faites un shutdown -t 1 pour fermer la session toujours à
partir du gestionnaîre de tâches.
Redémarrez l’ordinateur, vous devriez avoir accès à votre système.
La vidéo suivante décrit la procédure :
Procédure Windows Seven et Vista
Se reporter à la partie désinfection de cette page : http://www.malekal.com/2012/02/09/virusgendarmerie-sur-seven-unicode-powa/
Après la désinfection – Tres important
Demande de remboursements : http://www.ukash.com/fr/fr/faq/can-i-get-a-refund.aspx
Si vous avez utilisé un ukash pour payer la rançon, il n’est pas forcément débité.
Vous pouvez alors aller sur le site pour prendre une carte prépayée ce qui consommera votre
ukash. Vous pourrez alors utiliser la carte prépayée pour acheter un article sur internet.
Contacter Ukash : https://www.ukash.com/fr/fr/support/contact-customer-services.aspx
Si vous avez fait le paiement, contactez les.
Vous pouvez aussi essayer d’acheter directement avec le ukash si les pirates ne l’ont pas
encore utilisé.
Sécuriser son PC :
Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très
répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.
Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une
publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si
votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pourmaintenir-ses-programmes-jour-t15960.html
Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces
programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)
Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se
reporter au billet : Sécuriser Firefox