CryptoLocker (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84461
Inscription : 10 sept. 2005 13:57
Contact :

CryptoLocker (Crypto-Ransomware)

Message par Malekal_morte » 01 févr. 2016 11:04

CryptoLocker est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) qui a sévi en 2013. Il a été grandement médiatisé et des copy-cat ( des clones ) sont rapidement apparus par la suite.

Voici quelques exemples d'instructions CryptoLocker qui se mettent en fond d'écran.
Dans le cas observé, l'extension ajoutée aux fichiers chiffrés est .xyz
Le fichier Your files are locked !!.txt est déposé sur le Bureau des victimes.

Image

Image

Les instructions en anglais :

Code : Tout sélectionner

Support e-mail: dsc584@bk.ru dsc584@india.com dsc584@yandex.com

Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files,
located on a secret server on the Internet; the server will destroy the key after 168 hours.

After that nobody and never will be able to restore files.

To obtain the private key for this computer, you need pay 1.5 Bitcoin (~559 USD)

---------------------------------------------------------------------------------------------------

Your Bitcoin address:

1N2y6HoM3pF7zHPvhxrMt4khWb6VqzzdZ4

You must send 1.5 Bitcoin to the specified address and report it to e-mail customer support.

In the letter must specify your Bitcoin address to which the payment was made.

---------------------------------------------------------------------------------------------------

The most convenient tool for buying Bitcoins in our opinion is the site:

https://localbitcoins.com/

There you can buy Bitcoins in your country in any way you like, including electronic payment systems,
credit and debit cards, money orders, and others.

Instructions for purchasing Bitcoins on account localbitcoins.com read here:

https://localbitcoins.com/guides/how-to-buy-bitcoins

Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:

http://www.youtube.com/watch?v=hroPcR-0zSI

How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:

https://localbitcoins.com/faq#howto_buy

Also you can use to buy Bitcoins these sites:

https://www.bitstamp.net/ - Big BTC exchanger
https://www.coinbase.com/ - Other big BTC exchanger
https://www.moneypakforbitcoins.us/ - Buy BTC via Green Dot MoneyPak
https://btcdirect.eu/ - Best for Europe
https://coincafe.com/ - Recommended for fast, many payment methods
https://bittylicious.com/ - Good service for Europe and World
https://www.247exchange.com/ - Other exchanger
Les fichiers créés dans le système :
HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\Run: [wincl] => C:\Users\Public\WinHub\winhub.exe [262656 2016-02-01] ()
On retrouve beaucoup de détections Win32/FileCoder typiques de ce type de menace.

SHA256: 2c9599396f8267baa20e89bab33b323ae98497f855534a8b2a629af502539cfe
Nom du fichier : sec_check.scr
Ratio de détection : 34 / 52
Date d'analyse : 2016-01-31 20:27:22 UTC (il y a 12 heures, 36 minutes)

Antivirus Résultat Mise à jour
ALYac Gen:Variant.Barys.13365 20160130
AVG Atros2.BYUG 20160130
Ad-Aware Gen:Variant.Barys.13365 20160130
AegisLab Packer.W32.Zack 20160130
Agnitum Trojan.Agent!6cX6mUQDWWs 20160129
AhnLab-V3 Trojan/Win32.Ransom 20160129
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160130
Arcabit Trojan.Barys.D3435 20160130
Avast Win32:Malware-gen 20160130
Avira TR/FileCoder.25139 20160130
BitDefender Gen:Variant.Barys.13365 20160130
Bkav W32.SmagtaKF.Trojan 20160129
DrWeb Trojan.DownLoader18.21693 20160130
ESET-NOD32 a variant of MSIL/Filecoder.AF 20160130
Emsisoft Gen:Variant.Barys.13365 (B) 20160130
F-Secure Gen:Variant.Barys.13365 20160129
GData Gen:Variant.Barys.13365 20160130
Ikarus Trojan.MSIL.Filecoder 20160129
Jiangmin Trojan.Generic.irwc 20160129
K7AntiVirus Riskware ( 0040eff71 ) 20160129
K7GW Riskware ( 0040eff71 ) 20160129
Kaspersky HEUR:Trojan.Win32.Generic 20160129
Malwarebytes Trojan.Agent 20160130
McAfee Artemis!50881C434DB8 20160130
McAfee-GW-Edition BehavesLike.Win32.SteamStealer.mm 20160130
MicroWorld-eScan Gen:Variant.Barys.13365 20160130
Panda Trj/GdSda.A 20160129
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160131
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160129
Sophos Mal/Generic-S 20160130
Symantec Suspicious.Cloud.2 20160129
TrendMicro Ransom_CRYPZUQUIT.SMA 20160130
TrendMicro-HouseCall Ransom_CRYPZUQUIT.SMA 20160130
VIPRE Trojan.Win32.Generic!BT 20160130


Il existe de multiples variantes "CryptoLocker" qui reprennent le nom sans être le véritable ransomware d'origine.
Souvent ce sont des développeurs de malwares moins professionnel qui utilise le nom très médiatisé pour faire croire qu'il s'agit de CryptLocker.

Image

Si votre Windows a été infecté par CryptoLocker

Suivre la procédure pour désinfecter votre Windows afin de vous assurer que CryptoLocker n'est plus actif.
Nous vous recommandons de suivre les liens suivants : A ses débuts CryptoWall se fait passer pour une variante de CryptLocker :

Image
(source: https://www.cryptowalltracker.org/ ).

Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité