[Sécurité] Ransomware Gendarmerie

Publié le 4 novembre 201310 novembre 2022 par Vincent L

Nous vous en parlions déjà il y a quelques temps : le ransomware “gendarmerie” est un logiciel malveillant de type “trojan”, aussi connu sous le nom de Tr/Winlock. Il est communément appelé “Virus Gendarmerie”, “Virus Ukash”, “Fake Police” ou même “Virus Bundespolizei” et on peut malheureusement être confronté à toute sorte de variante, plus ou moins difficile à éradiquer.

Ce trojan bloque votre ordinateur en faisant apparaitre un message vous demandant de débourser une certaine somme pour une soi-disant amende, voire encore une sorte de rançon, afin que l’ordinateur puisse être déverrouillé. Le message peut varier et les images aussi.

Pour s’installer, il profite généralement de failles de sécurité dans des logiciels communs tels que Java, Adobe Reader, ou Flash Player. C’est pourquoi il est impératif de garder ces logiciels à jour et d’installer les dernières mises à jour de sécurité Windows. Il est également recommandé de télécharger la dernière version à jour de votre navigateur (Chrome, Firefox, Opéra, etc).

Désinfection en mode sans échec

La variante la moins “intrusive” – variante Reveton – ne s’exécute pas en mode sans échec ; il est donc permis d’ouvrir une session tout à fait normalement. Pour ce faire, démarrez Windows en mode sans échec (F8 avant que le logo animé ne s’affiche) puis choisissez “Mode sans échec avec prise en charge réseau”.

Deux logiciels permettent d’éradiquer le logiciel malveillant : ComboFix ou RogueKiller. Le site “Malekal” conseille d’utiliser le dernier mais ils sont tous les deux très efficaces.

Démarrez le PC en mode sans échec (F8 avant le logo Windows).
En mode sans échec, choisissez la session infectée.
Si vous utilisez “RogueKiller” :
- Lancez l’utilitaire (copiez le d’abord dans C:Outils, par ex.).
- Un “pré-scan” est automatiquement effectué.
- En haut à droite, cliquez sur le bouton “Scan”.
- Le logiciel détecte des éléments, cliquez sur “Suppression”.
Si vous utilisez “ComboFix” :
- Lancez l’utilitaire (copiez le d’abord dans C:Outils, par ex.).
- L’utilitaire effectue diverses opérations.
- S’il avertit qu’un antivirus est présent, ce n’est pas grave. Cliquez simplement sur “OK” pour passer le message.
- S’il demande de télécharger la console de récupération, acceptez et suivez les étapes.
- ComboFix effectue une cinquantaine d’étapes puis affiche un rapport. Plusieurs clés de registre sont bloquées ou supprimées et des fichiers sont également éradiqués.
Pour information, rien ne vous empêche d’utiliser les deux… 😉
Redémarrez normalement la machine et ouvrez une session.

Désinfection en invite de commandes

Il existe une variante – nommée Urausy – qui modifie la clé « Shell » du registre de Windows pour lancer le programme malveillant au démarrage. Cette version sera malheureusement active dès lors qu’on sera entré en mode sans échec. Il faut alors choisir l’option “Invite de commandes en mode sans échec”.

Redémarrer en invite de commandes. Pour cela, redémarrez l’ordinateur, avant le logo Windows, appuyer sur sur la touche F8, un menu va apparaitre, choisir alors “invite de commandes en mode sans échec” et appuyer sur la touche entrée du clavier.
Une fois sur l’invite de commandes, saisissez la commande : regedit. Déroulez l’arborescence suivante en cliquant sur les icônes [+] : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Positionnez-vous sur la clé « Winlogon », de telle manière à voir les valeurs apparaitre dans la partie droite.
Localisez la valeur « Shell » (de type chaine) ; vous devriez y trouver « explorer.exe », effacez tout et saisissez à nouveau « explorer.exe » (oui il faut remettre la même chose).
Fermer l’éditeur de registre.
Sur l’invite de commandes, saisir la commande : shutdown /r.
Redémarrez l’ordinateur en mode normal.
Si cela ne fonctionne pas, essayez de placer le programme ComboFix à sur une clé USB, puis de le lancer via l’invite de commandes.

Cette variante crée également des fichiers %APPDATA%\Skype.dat ou %APPDATA%\cache.dat. En invite de commandes, il faut se placer dans ce dossier via la commande “cd” puis supprimer ces fichiers grâce à la commande “del”. Pour connaitre la syntaxe de ces commandes, utilisez le commutateur “/?”

Désinfection grâce à un Live CD

Le site Malekal propose un CD qui contient une version de Windows 7 customisée. Elle peut être téléchargée sur cette page : Live CD Malekal. Gravez l’image via l’utilitaire Windows (depuis un ordinateur propre bien sûr) ou via un utilitaire comme Nero Burning Rom ou UltraISO.

Gravez l’image sur un CD-R/RW.
Redémarrez l’ordinateur vous assurant que l’ordre de démarrage propose de démarrer sur le lecteur CD-ROM en premier lieu (sinon modifier cet ordre dans le BIOS en se référant au manuel de la carte mère).
Le CD met en cache les fichiers ; il faut patienter un moment.
Le menu s’affiche : choisissez Win7PESE (normalement, c’est le premier choix qui vous est proposé).
Windows démarre. Une session s’ouvre et affiche un bureau avec un ensemble d’outils comme Malwarebytes, ainsi que RogueKiller. C’est ce dernier qui nous intéresse…
Lancez-le, attendez que le “pré-scan” se termine.
Cliquez sur “Scan” en haut à droite.
Une fois terminé, cliquez sur “Suppression”.
Redémarrez l’ordinateur et enlevez le CD.

Résoudre l’écran bleu STOP 0x0000007b

Il arrive que les clés de registre qui permettent de démarrer en mode sans échec, aussi appelé “SafeBoot”, aient été supprimées par l’une des variantes, ou même par un autre malware. Vous obtenez alors un écran bleu (BSOD). Dans ce cas, il faut télécharger l’utilitaire SafeBootRepair et le lancer en mode normal, après désinfection.

Que faire après la désinfection?

Plusieurs recommandations :

Utilisation du logiciel AdwCleaner (XPlode) pour éradiquer éventuellement d’autres logiciels publicitaires. Lancez l’outil sur votre machine, faites un scan puis choisissez “Suppression”.
Utilisation du logiciel Malwarebytes dans sa version gratuite.
Nettoyer les fichiers et dossiers temporaires avec CCleaner.
Vérifier le bon fonctionnement de l’antivirus et le mettre à jour.
Mise à jour des logiciels tels que Java, Adobe Reader, Flash Player,…
Mise à jour via Microsoft Update : installez les correctifs importants pour votre système, comme les mises à jour de sécurité.
Utiliser des extensions pratiques dans votre navigateur : Adblock Plus et Bitdefender Trafficlight (pas de connaissances spécifiques requises), Noscript (pour les experts).

Sources

Procédure complète de désinfection – Malekal

Cookie	Description
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
CookieLawInfoConsent	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Description
VISITOR_INFO1_LIVE	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
YSC	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.

Cookie	Description
HAxBimEThzj	Description is currently not available.
iIJNEZDCQBULPrgh	Description is currently not available.
QIsSBkKeLEq	Description is currently not available.