Vitaly Kamluk a écrit un article au sujet d’un nouveau ransomware Gpcode-like qui crypte les fichiers de l’utilisateur avec les algorithmes RSA-1024 et AES 256. Kaspersky enquête actuellement sur ce malware.
Un ransomware est un programme malveillant qui prend votre PC en otage. C’est le cas de celui-ci, qui demande une rançon en échange du boot de votre machine…
Toutefois, GpCode.ax n’est pas le seul ransomware qui a été découvert aujourd’hui. Un malware qui écrase le master boot record (MBR) et exige une rançon pour récupérer un mot de passe afin de restaurer le MBR d’origine a aussi fait son apparition. Ce malware est détecté comme Trojan-Ransom.Win32.Seftad.a et Trojan-Ransom.Boot.Seftad.a.
Ce ransomware est téléchargé par le cheval de troie Trojan.Win32.Oficla.cw.
La victime ne connaît pas le mot de passe ransomware. Ainsi, après trois tentatives infructueuses, la machine infectée va redémarrer et le même message s’affiche sur l’écran.
Si Seftad.a a été téléchargée par Oficla.cw et exécuter, PC de la victime est redémarré et le message suivant apparaît sur l’écran :
Le MBR d’origine est conservé dans le quatrième secteur du disque dur avec un marqueur d’infection du logiciel malveillant.
Si la victime au accède site de l’auteur du logiciel malveillant, il lui est demandé de payer 100$ en utilisant “Paysafecard” ou “Ukash“.
Si vous êtes infecté par ce malware ne visitez pas le site Web. Utilisez le mot de passe “aaaaaaciip” (sans les guillemets) pour restaurer le MBR d’origine. Si le mot de passe ne fonctionne pas, vous pouvez réparer votre MBR avec Kaspersky Rescue Disk 10.
Source : securelist.comEdit : Le codeur Xylitol a publié un tutoriel sur son site pour supprimer en toute simplicité ce malware. Voici sa vidéo de démonstration :
[youtube e7RgU7NNAbw nolink]
Ok !
Merci pour l’info, je vais lire ça de suite !
A noté ausi que dans le MISC 53 (janvier/février 2011) le malware corner et consacré au ransomware mbr Seftad.
Bon..
après un mois personne na encore écrit sur GpCode so it’s time.
http://xylibox.blogspot.com/2011/01/gpcode-ransomware-2010-simple-analysis.html
Décidément, deux éditions de cet article ce matin ^^
Merci à vous, les corrections ont été apportées !
PS : bien l’humour binaire 😛
Bonjour,
Deux GROSSES corrections pour ce bel article :
KAPERSKY => KASPERSKY (avec deux “S” !)
anonce => annonce (avec deux “n”)
…
Ecrire bien, c’est bien coder : un “0” n’est PAS un “1” ;o)
Bravo pour votre site et longue vie !
Très intéressant ça, merci Xylitol.
J’édite l’article et je rajoute ta vidéo ainsi qu’un lien vers ton blog 😉
Ça fait plaisir que tu passe de temps en temps poster des commentaires ici, ils sont constructifs en plus.
Si le mot de passe ne fonctionne pas // il existe des variantes de ce ransomware (donc des mots des passes)
Le problème c’est que le seul moyen de connaitre le pass c’est de codé un ‘brute force’
donc hum.
anyay si vous êtes infecté j’ai fais un removal guide, visionnable sur youtube, Utilisant Hiren’s BootCD pour se désinfecté.
http://www.youtube.com/watch?v=e7RgU7NNAbw
Les commentaires sont fermés.