Virus Ministère de l'intérieur

Septembre 2016

EDITION Juillet 2013 : La variante décrite plus bas n'est plus propagée.
La variante Hadopi la remplace : http://www.commentcamarche.net/faq/36326-virus-hadopi-virus-ukash-virus-police

A noter qu'une autre variante Ministère de l'intérieur - DirtyDecrypt a vu le jour.
Plus d'informations : http://www.malekal.com/2013/07/09/dirtydecrypt-et-virus-police-ministere-de-linterieur/



Voici une page pour supprimer l'infection : Votre ordinateur est bloqué - Le fonctionnement de votre ordinateur était arreté en raison de la cyberactivité non sanctionné



Ces infections se propagent en autre via des publicités malicieuses (Malvertising) sur les sites de streaming/téléchargements etc.
Ces publicités malicieuses conduisent vers des sites WEB piégés pour infecter les visiteurs.
Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
D'où l'importance de maintenir à jour ses logiciels.

Une vidéo d'un exploit en action ou une infection s'installe à la simple visite d'un site WEB :

Information


Le fichier créé les éléments suivants :
Un raccourci dans le dossier Démarrage afin de se lancer au démarrage :
  • Windows XP : C:\Documents and Settings\Session\Menu Démarrer\Programmes\Démarrage\runctf.lnk
  • Windows Vista/Seven : C:\Users\Session\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk


Le virus à proprement dit, un fichier aléatoire dans le dossier TEMP :
  • Windows XP : C:\Documents and Settings\Session\Local Settings\Temp\83ALuOH.exe
  • Windows Vista/Seven : C:\Users\Session\AppData\Local Settings\Temp\83ALuOH.exe


Sur Vista/Seven - ce fichier aléatoire peux parfois se trouver le dossier ProgramData.

Le malware modifie aussi le service du centre de sécurité pour se lancer (RogueKiller le remet).

Désinfection


Cette procédure est issue de la page : http://www.malekal.com/2012/10/26/ransomware-reveton-variante-ministere-de-linterieur/

Mode sans échec / Restauration du système


Si vous êtes sur Windows Seven/8, lancez une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Pour Windows XP :
Lancez une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263


*
    • PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **


NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.

CD Live Malekal


Téléchargez et graver le CD Live Malekal (ou à mettre sur clef USB).
Démarrez sur le CD Live Malekal sur le PC infecté.
Lancez RogueKiller, faire un scan puis cliquez sur Suppression à droite.
Redémarrez l'ordinateur, vous devriez être débarrassé du ransomware.

CD Live Malekal : http://www.malekal.com/2013/02/22/malekal-live-cd/

Live CD Kaspersky


Si le mode sans échec ne fonctionne pas, vous pouvez tenter avec le CD Live Kaspersky (il fonctionne aussi pour clef USB).

en vidéo :


Post-Désinfection


Afin de supprimer d'autres programmes malicieux et notamment les adwares ou autres programmes inutiles qui ralentissent l'ordinateur comme les barre d'outils, il est conseillé :

D'utiliser AdwCleaner :
  • Télécharger AdwCleaner ( d'Xplode ) sur votre bureau.
  • Lancer le programme et cliquer sur [Suppression] puis patienter le temps du scan.


Ainsi que de faire un scan Malwarebyte Anti-Malware :

Malwarebyte Anti-Malware est relativement efficace et peut être gardé pour des scans ponctuels (compatabile en version gratuite avec tous les antivirus).

stopransomware.fr


D'autres procédures de désinfections sont aussi disponibles sur le site : http://stopransomware.fr/

Si vous avez installé SpyHunter


Vous pouvez le désinstaller.
Ce programme est proposé par des faux blogs de sécurité/désinfection pour gagner de l'argent.
Plus d'informations : http://www.malekal.com/2013/01/09/virus-ministere-de-linterieur-et-arnaque-spyhunter-spywaredoctor/

Conclusion


Si vous ne parvenez pas à vous désinfecter avec l'astuce, créez un sujet dans la partie Virus du forum.

Si vous êtes parvenus à vous désinfecter, vous devez impérativement mettre à jour vos logiciels installés car votre ordinateur est vulnérable.

Un exploit sur site WEB permet l'infection de votre ordinateur de manière automatique à la visite d'un site WEB qui a été piraté, il tire partie du fait que vous avez des logiciels (Java, Adobe Reader etc) non à jour et qui possèdent des vulnérabilités permettant l'exécution de code (malicieux dans notre cas) à votre insu.
Le fait d'avoir des logiciels non à jour, qui potentiellement ont des vulnérabilités, permet donc d'infecter votre PC.
Exemple avec : Exploit Java

Maintenir vos logiciels à jour c'est important pour la sécurité de votre PC.
Il suffit d'utiliser ces programmes pour vous y aider : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite (à faire absolument).

Plus globalement pour sécuriser son ordinateur : http://www.commentcamarche.net/faq/8934-securisation-de-son-pc

A voir également :

Ce document intitulé «  Virus Ministère de l'intérieur  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.