Virus Gendarmerie méthode de suppression JCB

Virus Gendarmerie méthode de suppression JCB
Une contribution de Jean-Claude BELLAMY faite sur le newsgroup ponx.fr securite
http://ponx.org/win7/
Hello World!
J'entendais beaucoup parler ici et là ce cette saloperie de virus "gendarmerie", mais je
désespérais (!) presque de ne jamais l'avoir vu "en vrai".
Et bien c'est chose faite, le fils d'un de mes amis m'ayant apporté hier en catastrophe son
portable infecté par cette cochonnerieware!
Mais avec une variante exotique : vu qu'il réside normalement au Mexique, son Windows 7
(et le virus) est en espagnol! ;-)
Et c'est une variante particulièrement résistante, vu que :


je n'ai pu faire aboutir aucun démarrage en mode sans échec
je n'ai pu exécuter aucun CD de UBCD4WIN (j'en ai gravé 2, sur 2 machines
différentes, pour être sûr de ne pas avoir de pb de gravure).
A chaque fois cela s'est soldé par un BSOD "0x0000007B" !
Mon intuition me disait que cette saloperie avait sûrement modifié l'entrée "Shell" de la clef
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Je voulais donc accéder à cette clef en toute tranquillité, et plutôt que passer un temps fou à
essayer de contourner ce VLAC (virus à la con) par les voies logicielles, j'ai préféré la
méthode agricole, donc matérielle au départ, qui a consisté à :

 démonter le disque dur de l'ordinateur infecté
l'insérer dans un boitier lecteur de disques SATA


le connecter en USB à mon ordinateur
monter la ruche SOFTWARE du disque infecté dans une clef temporaire de mon HKLM
(HKEY_LOCAL_MACHINE)
1

avoir la confirmation de mon diagnostic :


rétablir l'entrée Shell, en supprimant ce "C:\programdata\sfzodrMz"
Pendant ce temps, Microsoft Security Essentials a fait correctement son boulot, en
mettant en quarantaine la cochonnerieware :

J'ai cliqué sur "Obtenez plus d'informations ..." et j'ai pu voir que cette variante était
très récente (27 novembre 2012) :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Troja
n%3aWin32%2fLyposit.B&threatid=2147670482


J'ai débranché le DD de mon ordinateur puis remonté sur l'autre ordinateur
Redémarrage impeccable du 1er coup !!!!!
2
MAIS, au passage, après avoir pu ENFIN ouvrir une session normale sur cet ordinateur, j'ai pu
constater que cet ordinateur n'avait ni Flashplayer, ni JAVA à jour, avec un Norton
antivirus visiblement amorphe, que je me suis empressé de virer aussi sec pour le remplacer
par MSE !
(le seul problème que j'ai rencontré est que MSE s'est installé en anglais et non pas en
espagnol comme je l'aurais voulu)
Cette méthode très agricole a le mérite d'être simple, en allant directement au but, sans
devoir faire appel à RogueKiller, MBAM, ... (que je ne critique pas d'ailleurs!)
Par contre elle oblige à un peu de manip "mécanique" (l'ordi était un HP Pavilion G4, et
heureusement que je connais ces bestioles : le panneau qui recouvre le DD et la RAM est fixé
par seulement 2 vis, mais avec 6 clips, dont deux cachés par la batterie - qu'il faut ôter - et les
autres qu'il faut faire "sauter" doucement).
J'ai utilisé un boitier USB de montage temporaire de disques SATA ("SATA HDD Docking
Station") et je ne regrette pas cette acquisition (j'ai acheté ce boitier il y a 2 ou 3 ans une
cinquantaine d'euros. Il est amorti vu les services qu'il m'a rendus!)
En espérant avoir fait avancer le Schmilblick !
Question :
Une fois le disque infecté connecté sur ton pc, quel est le chemin pour accéder à sa ruche, puis
quelle est la méthode pour l'insérer dans ton HKLM (HKEY_LOCAL_MACHINE)?
Tout simplement :
1.
2.
3.
4.
5.
6.
Lancer REGEDIT (en tant qu'admin, bien sûr)
Sélectionner HKLM (HKEY_LOCAL_MACHINE)
Menu Fichier / Charger la ruche
En admettant que le disque à réparer soit sous la lettre "J:", sélectionner le fichier
J:\windows\system32\config\SOFTWARE
Attribuer à cette ruche un nom arbitraire, p.ex. "SOFT2"
Elle est alors accessible dans la branche HKLM\SOFT2
c'est ce qu'on voit en bas de ma capture d'écran :
Je rappelle que les ruches de la BDR propres à la machine sont toutes situées dans le
dossier
%systemroot%\system32\config\
Fichier SOFTWARE -> HKLM\Software
Fichier SYSTEM -> HKLM\System
Fichier SAM -> HKLM\Sam
Fichier SECURITY -> HKLM\Security
Vu que cela consiste à démarrer un processus, il n'y a pas une infinité de solutions:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
3
-May the Force be with You!
La Connaissance s'accroît quand on la partage
---------------------------------------------------------Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.fr ou http://www.bellamyjc.org
L’avis de Herser
J'apprécie, en tant que fils de paysan la méthode agricole que tu viens de proposer.
Mais elle ne marche pas toujours, malheureusement.
Ce qui caractérise le plus ces ransomwares "Gendarmeries et compagnie" est leur extrême
variabilité.
Sur ton exemple c'est une clé Winlogon, ce peut aussi être une clé Run ou tout autre façon de
se lancer avant Windows
http://tigzyrk.blogspot.fr/2011/12/ransomware-gendarmerie-nationale.html
Certaines variantes cryptent toutes les données du PC :
http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loifrance/
Et là aussi ça change régulièrement, pour certaines variantes on n'a pas trouvé de décrypteur :
données perdues à jamais.
Vive les sauvegardes sur supports externes non branchés.
La méthode la plus efficace reste RogueKiller de Tigzy dont il existe une variante PE, sous préenvironnement Windows :
http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html
C'est un peu le même principe que ton démontage de disque, le LiveCD se lance même si le
ransomware a planté Windows et peut lire le registre à distance.
Il lit le registre de Windows à distance et cible le coupable si RogueKiller l'a dans sa base.
L'avantage est que Tigzy essaie d'être à jour et de cibler la nouvelle variante très vite.
Mais ça reste une course du gendarme et du voleur, si on peut dire en l'occurrence, et le
gendarme a toujours un train de retard.
Sur le fond je me demande quand même si les auteurs, qui demandent une rançon pour
redonner la main au propriétaire du PC (disent-ils), arrivent à recevoir des rançons !
Ce qui pouvait marcher au tout début, ne doit guère marcher quelques années après !
Herser
4