Virus GEMA
Posté: Jeu 2 Fév 2012 11:30
Une nouvelle variante d’un ransomware après le Virus Gendarmerie : GEMA – L’accès à votre ordinateur a été fermé
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande :https://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement
Ce dernier droppe un fichier C:/Windows/System32/InetAccelerator.exe
Bien entendu le nom va changer dans le temps avec les variantes.
Une clef Run est crée ainsi que la modification de la clef Winlogon. Cela signifie que le malware va être actif en mode sans échec incluant l’invite de commande en mode sans échec.
Désinfection
Windows Seven : Restauration du système
Seulement pour ceux qui sont en Windows Seven : Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : https://forum.malekal.com/windows-recuper...ml#p166847
Depuis un CD Live
Vous pouvez tenter une désinfection via Kaspersky CD Live : https://forum.malekal.com/kaspersky-live-...12133.html
Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : https://support.kaspersky.com/faq/?qid=208285003
Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : https://forum.malekal.com/otlpe-live-t23453.html#p195540
Cela permet d’avoir accès au fichier du PC.
Aller dans le dossier system32 et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware.
Si doute, faire un scan sur VirusTotal : https://www.virustotal.com
Renommer le fichier en question
Redémarrer l’ordinateur et voyiez si ce dernier est inactif.
Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarré sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tapez : adresseduPCc$WindowsSystem32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.
Source
Source
GEMA est l’équivalent de la SACEM en allemagne, c’est donc un ransomware qui a été traduit, puisque ce dernier existait déjà en version allemande :https://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
Le but ici est donc de faire croire que l’internaute a été pris en train de télécharger des chansons illégalement (piratage), d’où le message : Sur votre ordinateur, il y a des chansons qui ont été téléchargées illégalement
Ce dernier droppe un fichier C:/Windows/System32/InetAccelerator.exe
Bien entendu le nom va changer dans le temps avec les variantes.
Une clef Run est crée ainsi que la modification de la clef Winlogon. Cela signifie que le malware va être actif en mode sans échec incluant l’invite de commande en mode sans échec.
Désinfection
Windows Seven : Restauration du système
Seulement pour ceux qui sont en Windows Seven : Lancer une restauration au démarrage via la touche F8, pour plus d’informations, se reporter à l’onglet réparation : https://forum.malekal.com/windows-recuper...ml#p166847
Depuis un CD Live
Vous pouvez tenter une désinfection via Kaspersky CD Live : https://forum.malekal.com/kaspersky-live-...12133.html
Si ce dernier détecte le malware et le nettoye au redémarrage, vous pourrez récupérer le système.
Le CD Live Kaspersky peux être mis sur clef USB : https://support.kaspersky.com/faq/?qid=208285003
Démarrer sur un système alternatif (CD Live Linux) ou OTLPE : https://forum.malekal.com/otlpe-live-t23453.html#p195540
Cela permet d’avoir accès au fichier du PC.
Aller dans le dossier system32 et trier les fichiers par date de modification, vous devriez avoir en premier les derniers fichiers créés et donc le malware.
Si doute, faire un scan sur VirusTotal : https://www.virustotal.com
Renommer le fichier en question
Redémarrer l’ordinateur et voyiez si ce dernier est inactif.
Notez que vous pouvez aussi accéder au système de fichier par le réseau si le PC est démarré sur la fenêtre du malware.
Depuis un PC sur le réseau, dans la barre de tâché, tapez : adresseduPCc$WindowsSystem32
Même chose, trier les fichiers par date de modification pour trouver le malware en question.
Source
Source