Mesures contre un nouvelle version de cheval de Troie exigeant une rançon requérant un encodage PGP-RSA de 2048 bits du disque dur

Résumé

Ce type de cheval de Troie à rançon provient d'un autre malware ou est téléchargé à partir d'Internet. Il affiche un certain message et signale à l'utilisateur que le système est verrouillé. Pour le déverrouiller, l'utilisateur doit payer.

Le message suivant s'affiche si le cheval de Troie est exécuté : 

ransom trojan lockscreen
 

Le rançonlogiciel indique que tous les fichiers au niveau local ont été cryptés avec une clé PGP 2048.
Il s'agit en fait d'un encodage RC4 et, avec tous les fichiers d'origine à disposition (à partir d'une sauvegarde ou d'une autre source), il est possible de décoder tous les fichiers.

Comportement du malware

Le cheval de Troie provient d'un autre malware récupéré ou de la consultation de sites internet malveillants à partir desquels il a été téléchargé.

Il génère une copie de lui-même dans le répertoire suivant :

C:\WINDOWS\system32\%random%.exe

Les modifications suivantes sont effectuées dans le registre par le rançonlogiciel :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\%random%.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "D8812EB1"="C:\\Documents and Settings\\%userprofile%\\Application Data\\%random%\\%random%.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 "DisableRegedit"=dword:00000001

Tous les fichiers existants au niveau local à l'exception de ceux dans les répertoires « Windows » et « Programmes » sur le système sont verrouillés selon la méthode RC4. Ils adoptent la syntaxe suivante :

locked-*original file name*.*4 random characters*

Veuillez consulter ce lien pour obtenir plus d'informations sur ce malware ransom.

Solution

Avira offre un outil de décryptage, nommé « Avira Ransom File Unlocker ».

« Avira Ransom File Unlocker » est un outil conçu en .NET 2.0 pour décoder les fichiers cryptés par un type de rançonlogiciel qui indique que les fichiers ont été cryptés avec une clé PGP 2048. Ils sont en fait cryptés en RC4, de sorte qu'avec tous les fichiers d'origine à disposition (à partir d'une sauvegarde ou d'une autre source), il est possible de décrypter tous les fichiers.

ransom file unlocker
 

L'outil ne modifiera pas et ne supprimera pas les fichiers cryptés, afin d'éviter une perte de données au cas où le décryptage ne fonctionnerait pas probablement à cause d'une nouvelle version de ce type de malware.

Pour décrypter les fichiers cryptés, l'utilisateur doit sélectionner un fichier crypté sur le disque dur et la version d'origine de ce fichier sur le disque dur ou une autre source.

Il est impératif que la version d'origine soit une copie exacte du fichier crypté avant que le système ne soit infecté, sinon l'outil risque de ne pas fonctionner correctement.

Mise à jour avec la version 1.0.1 :
vous obtiendrez alors un message d'erreur si vous avez ajouté 2 fichiers cryptés ou décryptés comme « Fichier verrouillé » et « Fichier d'origine ».

Télécharger Avira Ransom File Unlocker

Produits concernés

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Professional Security, Version 2012 [Windows]
  • Avira Antivirus Premium, Version 2012 [Windows]
  • Avira Internet Security, Version 2012 [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Family Protection Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Créé le : vendredi 27 avril 2012
  • Dernière MAJ: lundi 14 octobre 2013
  • Evaluer l’article
Ceci vous a-t-il été utile ?