Trojan Winlock : "Virus Gendarmerie" et "Virus Bundespolizei"

Présentation de l'infection

Les infections "Virus Gendarmerie" et "Virus Bundes polizei" sont des trojans Winlock / Ransomware.
Le but est de bloquer l'ordinateur et de vous demander de payer une "rançon" pour débloquer ce dernier.

Mi-Décembre 2011, une forte propagation de ces infections a lieu suite à des publicités malicieuses (Malvertising) sur les sites de streaming.
Ces publicités malicieuses conduisent à des exploits sur des sites Internet pour infecter les visiteurs.
Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
D'où l'importance de maintenir à jour ses logiciels.

Désinfection

La page suivante du site Malekal décrit cette infection et la procédure pour désinfecter l'ordinateur : Trojan Fake Police / Virus Gendarmerie Nationale : violation de la loi française.
Cette procédure décrite est résumée dans cette astuce.

Version "Activite illicite demelee"

Depuis Mi-Janvier une nouvelle version est en propagation.
Le message est "Activite illicite demelee"

Version "Votre ordinateur est bloquée"

Se rendre sur la page suivante : http://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque

Autre version

Il existe trois variantes (selon aussi la version de Windows et si l'UAC est activé), on distingue :

• Une version qui se lance par une simple clef de registre "Run" ; lancée au démarrage. On parvient facilement à l'éradiquer en mode sans échec avec Malwarebyte's Anti-Malware, RogueKiller (option 2), ou PRe_Scan.
• Une version qui modifie la clef "Shell" de Windows pour lancer le malware au démarrage. Cette version sera active en mode sans échec.
• Une version qui remplace explorer.exe

Remarque : Le bureau (Menu Démarrer avec la barre de tâche) sont régis par le programme explorer.exe, ce dernier est chargé tout au début de la session par la clef du registre Windows Shell.
Modifier le fichier explorer.exe revient donc à changer le bureau de Windows, modifier la clef Shell qui lance explorer.exe (donc le bureau) revient à changer le bureau par un autre programme.
Ici, l'infection modifie soit la clef, soit explorer.exe pour remplacer au final le bureau par le message de rançon. Ce dernier est actif en mode sans échec.

Les deux dernières variantes sont plus complexes à désinfecter.
Pour les pros, notez que vous pouvez restaurer un explorer.exe depuis un CD Live.

Windows Vista/Seven

En démarrant en "invite de commandes en mode sans échec", on parvient à retrouver partiellement la main sur Windows.
Le but ici, via l'invite de commandes, est de modifier le shell pour retrouver l'accès en mode normal et rétablir Windows.

La vidéo suivante décrit la procédure à suivre : http://www.youtube.com/watch?v=4pbF-kD5UvY

Suivre les instructions de la page : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Résumé de la procédure :

• Redémarre en invites de commandes. Pour cela, redémarrez l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisissez invites de commandes en mode sans échec et appuyez sur la touche entrée du clavier.
• Une fois sur l'invite de commandes, tapez la commande : regedit
• Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => SoftWare => Microsoft => Windows NT => CurrentVersion => Winlogon
  • Ouvrez "Winlogon"
  • A droite, chercher la valeur "Shell"; et vous devriez y trouver "explorer.exe", effacez tout et retaper "explorer.exe" (oui il faut remettre la même chose).
• Fermer l'éditeur de registre
• Sur l'invites de commandes, saisir la commande : shutdown /r
• Redémarrez l'ordinateur en mode normal

Windows XP

Lancer une restauration en invite de commandes en mode sans échec -voir paragraphe restauration: http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Conclusion

Si vous ne parvenez pas à vous désinfecter avec l'astuce, créez un sujet dans la partie Virus du forum.

Si vous êtes parvenus à vous désinfecter, vous devez impérativement mettre à jour vos logiciels installés, votre ordinateur est vulnérable.

Un exploit sur site WEB permet l'infection de votre ordinateur de manière automatique à la visite d'un site WEB qui a été piraté, il tire partie du fait que vous avez des logiciels (Java, Adobe Reader etc) non à jour et qui possèdent des vulnérabilités permettant l'exécution de code (malicieux dans notre cas) à votre insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter votre PC.
Exemple avec : Exploit Java

Maintenez vos logiciels à jour c'est important pour la sécurité de votre PC, utilisez ces programmes pour vous y aider : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Plus globalement pour sécuriser son ordinateur : http://www.commentcamarche.net/faq/8934-securisation-de-son-pc Ce document intitulé « Trojan Winlock : "Virus Gendarmerie" et "Virus Bundespolizei"  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.