Kaspersky annonce un nouveau Ransomware

7
118

Vitaly Kamluk a écrit un article au sujet d’un nouveau ransomware Gpcode-like qui crypte les fichiers de l’utilisateur avec les algorithmes RSA-1024 et AES 256. Kaspersky enquête actuellement sur ce malware.

Un ransomware est un programme malveillant qui prend votre PC en otage. C’est le cas de celui-ci, qui demande une rançon en échange du boot de votre machine…

Toutefois, GpCode.ax n’est pas le seul ransomware qui a été découvert aujourd’hui. Un malware qui écrase le master boot record (MBR) et exige une rançon pour récupérer un mot de passe afin de restaurer le MBR d’origine a aussi fait son apparition. Ce malware est détecté comme Trojan-Ransom.Win32.Seftad.a et Trojan-Ransom.Boot.Seftad.a.

Ce ransomware est téléchargé par le cheval de troie Trojan.Win32.Oficla.cw.

La victime ne connaît pas le mot de passe ransomware. Ainsi, après trois tentatives infructueuses, la machine infectée va redémarrer et le même message s’affiche sur l’écran.

Si Seftad.a a été téléchargée par Oficla.cw et exécuter, PC de la victime est redémarré et le message suivant apparaît sur l’écran :

Le MBR d’origine est conservé dans le quatrième secteur du disque dur avec un marqueur d’infection du logiciel malveillant.

Si la victime au accède site de l’auteur du logiciel malveillant, il lui est demandé de payer 100$ en utilisant “Paysafecard” ou “Ukash“.

Si vous êtes infecté par ce malware ne visitez pas le site Web. Utilisez le mot de passe “aaaaaaciip” (sans les guillemets) pour restaurer le MBR d’origine. Si le mot de passe ne fonctionne pas, vous pouvez réparer votre MBR avec Kaspersky Rescue Disk 10.

Source : securelist.com


Edit : Le codeur Xylitol a publié un tutoriel sur son site pour supprimer en toute simplicité ce malware.  Voici sa vidéo de démonstration :


[youtube e7RgU7NNAbw nolink]

7 Commentaires

  1. Bonjour,

    Deux GROSSES corrections pour ce bel article :

    KAPERSKY => KASPERSKY (avec deux “S” !)
    anonce => annonce (avec deux “n”)

    Ecrire bien, c’est bien coder : un “0” n’est PAS un “1” ;o)

    Bravo pour votre site et longue vie !

  2. Très intéressant ça, merci Xylitol.
    J’édite l’article et je rajoute ta vidéo ainsi qu’un lien vers ton blog 😉
    Ça fait plaisir que tu passe de temps en temps poster des commentaires ici, ils sont constructifs en plus.

  3. Si le mot de passe ne fonctionne pas // il existe des variantes de ce ransomware (donc des mots des passes)
    Le problème c’est que le seul moyen de connaitre le pass c’est de codé un ‘brute force’
    donc hum.
    anyay si vous êtes infecté j’ai fais un removal guide, visionnable sur youtube, Utilisant Hiren’s BootCD pour se désinfecté.
    http://www.youtube.com/watch?v=e7RgU7NNAbw

Les commentaires sont fermés.