[fr/en] Browlock Ransomware Down/Disrupt Operation

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 103862
Inscription : 10 sept. 2005 13:57
Contact :

[fr/en] Browlock Ransomware Down/Disrupt Operation

Message par Malekal_morte »

FR (English version Below) :
Aujourd'hui, en contact avec OVH, nous avons pu down Browlock Ransomware
Browlock est Ransomware qui bloque le navigateur WEB et affiche un faux message se faisant passer pour les autoriter afin d'extorquer de l'argent :
Plus d'informations : https://www.malekal.com/2013/10/07/virus ... -securite/

(Les malvertising en anglais : https://www.malekal.com/2013/10/07/en-br ... -campaign/ ).

Image

Les IPs OVH impliquées : OVH avait été aussi utilisé pour héberger le Nuclear Pack, OVH avait aussi fait le nécessaire et avait mis à mal l'exploit kit pendant quelques semaines : ovh-nuclear-exploit-kit-t46468.html

Nous allons voir combien de temps, les pirates vont mettre pour reconstruire l’infrastructure.

~~

English :
Today, i work with OVH to get all the Browlock Ransomware IP at OVH down.

OVH Browlock IP List : Browlock is a Web Browser Ransomware that claim to be the authority and prevent to close the browser.
Browlock Ransomware use the same skin as the Ransomware Reveton that block the computer.
Image


More informations about Browlock :
http://www.f-secure.com/v-descs/trojan_ ... lock.shtml
http://www.symantec.com/connect/blogs/m ... ransomware

Browlock is spreaind via malvertising on adult websites (as Reveton does) :
https://www.malekal.com/2013/10/07/en-br ... -campaign/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103862
Inscription : 10 sept. 2005 13:57
Contact :

Re: [fr/en] Browlock Ransomware Down/Disrupt Operation

Message par Malekal_morte »

FR : Browlock a été down environ ~4h.
Ils sont revenus avec une IP chez OVH : https://www.virustotal.com/fr/ip-addres ... formation/
et ont bougé chez Ubiquityhosting / Nobistech :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
Je les ai contactés et ont contactés le client car cela peux être un hack, il faut attendre 72h avant qu'ils prennent des dispositions.
Le Ransomware Browlock va donc tourner pendant 72h sans problem.

English : Browlock has been down for ~4h.
They come back with a new IP at OVH : https://www.virustotal.com/fr/ip-addres ... formation/
and also 3 new IPs at Ubiquityhosting / Nobistech :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
i contact Ubiquityhosting / Nobistech abuse - then they contact their customer, because they think it can be hack .... ............ they give him 72h to reply, so Browlock Ransomware gonna run for 72h whitout any disrupt.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103862
Inscription : 10 sept. 2005 13:57
Contact :

Re: [fr/en] Browlock Ransomware Down/Disrupt Operation

Message par Malekal_morte »

.109 and .100 too :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
network:Class-Name:network
network:Auth-Area:23.83.200.0/21
network:ID:NET-51255.23.83.200.104/29
network:Network-Name:Base Assignment
network:IP-Network:23.83.200.104/29
network:IP-Network-Block:23.83.200.104 - 23.83.200.111
network:Tech-Contact:MAINT-51255.23.83.200.104/29
network:Created:20130625162907000
network:Updated:20140529164309000
network:Updated-By:[email protected]
contact:POC-Name:Nobis Network Administration Team
contact:POC-Email:[email protected]
contact:POC-Phone:[email protected]
contact:Tech-Name:Nobis Network Administration Team
contact:Tech-Email:[email protected]
contact:Tech-Phone:[email protected]
contact:Abuse-Name:Nobis Network Abuse Team
contact:Abuse-Email:[email protected]
contact:Abuse-Phone:[email protected]
and Ubiquityhosting / Nobistech is still doing nothing.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103862
Inscription : 10 sept. 2005 13:57
Contact :

Re: [fr/en] Browlock Ransomware Down/Disrupt Operation

Message par Malekal_morte »

.122 and .123 now :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/

abuse contacted and again, they are waitting for a reply for the responsible (lol)
Thank you for contacting us regarding this issue. We have forwarded your inquiry to the party responsible for the administration of the system(s) referenced in your complaint. Please note that we may contact you again for additional information if it is requested by the party responsible for the administration of the system(s) referenced in your complaint. Please let us know if you experience any further issues relating to this or any other system(s) on our network.




Ticket Details
---------------------------------
Ticket ID: ANV-953-65656
Department: Abuse
Type: Issue
Status: Closed
Priority: Low

Support Center: https://support.ubiquityhosting.com/ind ... ult_import
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

ManuParis
Messages : 2
Inscription : 24 juil. 2014 18:44

Re: [fr/en] Browlock Ransomware Down/Disrupt Operation

Message par ManuParis »

Bonsoir,

J'ai chopé ce virus hier sur le web de mon Iphone, mais le problème ou plutôt le non-problème c'est que ni mon Iphone, ni mon pc ne sont bloqués ; c'est bizarre, dois-je quand même prendre mes précautions, ou faire appel à un technicien de chez mon FAI ?

Par ailleurs j'ai fait un scan ! Avec RogueKiller et Malwarebytes Anti-Malware, du côté de RogueKiller ça m'a trouvé des PMU.Policies !!! Et le scan de Malwarebytes... me dit : "Potential Threats Detected!"

Voilà.

Malekal_morte
Site Admin
Site Admin
Messages : 103862
Inscription : 10 sept. 2005 13:57
Contact :

Re: [fr/en] Browlock Ransomware Down/Disrupt Operation

Message par Malekal_morte »

Selon le navigateur, le blocage ne fonctionne peut-être pas.
Si tu as une idée sur quel site, tu l'as choppé, je suis preneur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Actualité & News Informatique »