Trojan LockScreen - Security Tool Ransomware

Message par **Curson** » 14 mars 2010 21:57

Cette infection fait partie de la famille des ransomware/rançongiciel

Ransomware : Malware qui a pour but d'empêcher l'accès aux documents à l'utilisateur du PC (en général en encryptant les documents), une somme est en suite demander à l'utilisateur pour lui donner à nouveau accès à ses documents.

Une fois l'infection installée, le bureau disparaît pour être remplacé par une fenêtre incitant l'utilisateur à acheter un rogue pour récupérer l'accès au système. Caractéristique typique du ransomware, l'infection brandit la menace de la suppression de données si l'achat n'est pas réalisé dans un certain laps de temps.

Sur la capture, on remarquera en haut de page les faux avertissements de sécurité (voir : Les fausses alertes indiquant que vous êtes infecté). En bas de page est affiché la page permettant l'achat du rogue/l'obtention de la clé de déverrouillage.

L'infection se lance au démarrage via la clé suivante :

[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run]
"KeyMe"="C:\WINDOWS\myserv.Exe"

Actuellement, la saisie de n'importe quelle clé comportant plus de 12 caractères désinstalle l'infection.

Scan du dropper

a-squared 4.5.0.50 2010.03.14 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2010.03.14 -
AntiVir 8.2.1.180 2010.03.12 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.14 -
Avast 4.8.1351.0 2010.03.14 Win32:Malware-gen
Avast5 5.0.332.0 2010.03.14 Win32:Malware-gen
AVG 9.0.0.787 2010.03.14 Generic17.BGZ
BitDefender 7.2 2010.03.14 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.14 -
Comodo 4262 2010.03.14 Heur.Suspicious
DrWeb 5.0.1.12222 2010.03.14 -
eSafe 7.0.17.0 2010.03.14 Win32.TRATRAPS
eTrust-Vet 35.2.7359 2010.03.12 -
F-Prot 4.5.1.85 2010.03.14 -
F-Secure 9.0.15370.0 2010.03.14 -
Fortinet 4.0.14.0 2010.03.13 -
GData 19 2010.03.14 Win32:Malware-gen
Ikarus T3.1.1.80.0 2010.03.14 Trojan.Win32.VB
Jiangmin 13.0.900 2010.03.14 -
K7AntiVirus 7.10.997 2010.03.13 -
Kaspersky 7.0.0.125 2010.03.14 Trojan.Win32.VB.acwq
McAfee 5920 2010.03.14 -
McAfee+Artemis 5920 2010.03.14 Artemis!04CB597A4FFD
McAfee-GW-Edition 6.8.5 2010.03.13 Trojan.ATRAPS.Gen
Microsoft 1.5502 2010.03.12 -
NOD32 4944 2010.03.14 a variant of Win32/LockScreen.EG
Norman 6.04.08 2010.03.14 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.14 Suspicious file
PCTools 7.0.3.5 2010.03.14 -
Prevx 3.0 2010.03.14 -
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.14 -
Sunbelt 5882 2010.03.14 Trojan.Win32.Generic!SB.0
Symantec 20091.2.0.41 2010.03.14 Trojan.Gen
TheHacker 6.5.2.0.233 2010.03.13 Trojan/LockScreen.eg
TrendMicro 9.120.0.1004 2010.03.14 -
VBA32 3.12.12.2 2010.03.14 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.14 -

Information additionnelle
File size: 32768 bytes
MD5...: 04cb597a4ffddfbae9a76cde53833ab7
SHA1..: 376d391a2f31a9acde7e7e37536c8a88d82466db

Message par **Malekal_morte** » 05 juil. 2010 13:52

Quelques autres exemples de Trojan.Winlock / Trojan.SMS-Ransomware :
sms-ransomware-trojan-winlock-t21772.html
http-mms2u-info-exe-php-6067178d6665bcf ... ml#p216584

Malekal's forum