Virus Gendarmerie méthode de suppression JCB
Transcription
Virus Gendarmerie méthode de suppression JCB
Virus Gendarmerie méthode de suppression JCB Une contribution de Jean-Claude BELLAMY faite sur le newsgroup ponx.fr securite http://ponx.org/win7/ Hello World! J'entendais beaucoup parler ici et là ce cette saloperie de virus "gendarmerie", mais je désespérais (!) presque de ne jamais l'avoir vu "en vrai". Et bien c'est chose faite, le fils d'un de mes amis m'ayant apporté hier en catastrophe son portable infecté par cette cochonnerieware! Mais avec une variante exotique : vu qu'il réside normalement au Mexique, son Windows 7 (et le virus) est en espagnol! ;-) Et c'est une variante particulièrement résistante, vu que : je n'ai pu faire aboutir aucun démarrage en mode sans échec je n'ai pu exécuter aucun CD de UBCD4WIN (j'en ai gravé 2, sur 2 machines différentes, pour être sûr de ne pas avoir de pb de gravure). A chaque fois cela s'est soldé par un BSOD "0x0000007B" ! Mon intuition me disait que cette saloperie avait sûrement modifié l'entrée "Shell" de la clef HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Je voulais donc accéder à cette clef en toute tranquillité, et plutôt que passer un temps fou à essayer de contourner ce VLAC (virus à la con) par les voies logicielles, j'ai préféré la méthode agricole, donc matérielle au départ, qui a consisté à : démonter le disque dur de l'ordinateur infecté l'insérer dans un boitier lecteur de disques SATA le connecter en USB à mon ordinateur monter la ruche SOFTWARE du disque infecté dans une clef temporaire de mon HKLM (HKEY_LOCAL_MACHINE) 1 avoir la confirmation de mon diagnostic : rétablir l'entrée Shell, en supprimant ce "C:\programdata\sfzodrMz" Pendant ce temps, Microsoft Security Essentials a fait correctement son boulot, en mettant en quarantaine la cochonnerieware : J'ai cliqué sur "Obtenez plus d'informations ..." et j'ai pu voir que cette variante était très récente (27 novembre 2012) : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Troja n%3aWin32%2fLyposit.B&threatid=2147670482 J'ai débranché le DD de mon ordinateur puis remonté sur l'autre ordinateur Redémarrage impeccable du 1er coup !!!!! 2 MAIS, au passage, après avoir pu ENFIN ouvrir une session normale sur cet ordinateur, j'ai pu constater que cet ordinateur n'avait ni Flashplayer, ni JAVA à jour, avec un Norton antivirus visiblement amorphe, que je me suis empressé de virer aussi sec pour le remplacer par MSE ! (le seul problème que j'ai rencontré est que MSE s'est installé en anglais et non pas en espagnol comme je l'aurais voulu) Cette méthode très agricole a le mérite d'être simple, en allant directement au but, sans devoir faire appel à RogueKiller, MBAM, ... (que je ne critique pas d'ailleurs!) Par contre elle oblige à un peu de manip "mécanique" (l'ordi était un HP Pavilion G4, et heureusement que je connais ces bestioles : le panneau qui recouvre le DD et la RAM est fixé par seulement 2 vis, mais avec 6 clips, dont deux cachés par la batterie - qu'il faut ôter - et les autres qu'il faut faire "sauter" doucement). J'ai utilisé un boitier USB de montage temporaire de disques SATA ("SATA HDD Docking Station") et je ne regrette pas cette acquisition (j'ai acheté ce boitier il y a 2 ou 3 ans une cinquantaine d'euros. Il est amorti vu les services qu'il m'a rendus!) En espérant avoir fait avancer le Schmilblick ! Question : Une fois le disque infecté connecté sur ton pc, quel est le chemin pour accéder à sa ruche, puis quelle est la méthode pour l'insérer dans ton HKLM (HKEY_LOCAL_MACHINE)? Tout simplement : 1. 2. 3. 4. 5. 6. Lancer REGEDIT (en tant qu'admin, bien sûr) Sélectionner HKLM (HKEY_LOCAL_MACHINE) Menu Fichier / Charger la ruche En admettant que le disque à réparer soit sous la lettre "J:", sélectionner le fichier J:\windows\system32\config\SOFTWARE Attribuer à cette ruche un nom arbitraire, p.ex. "SOFT2" Elle est alors accessible dans la branche HKLM\SOFT2 c'est ce qu'on voit en bas de ma capture d'écran : Je rappelle que les ruches de la BDR propres à la machine sont toutes situées dans le dossier %systemroot%\system32\config\ Fichier SOFTWARE -> HKLM\Software Fichier SYSTEM -> HKLM\System Fichier SAM -> HKLM\Sam Fichier SECURITY -> HKLM\Security Vu que cela consiste à démarrer un processus, il n'y a pas une infinité de solutions: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKLM\SYSTEM\CurrentControlSet\Control\Session Manager 3 -May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------Jean-Claude BELLAMY [MVP] http://www.bellamyjc.fr ou http://www.bellamyjc.org L’avis de Herser J'apprécie, en tant que fils de paysan la méthode agricole que tu viens de proposer. Mais elle ne marche pas toujours, malheureusement. Ce qui caractérise le plus ces ransomwares "Gendarmeries et compagnie" est leur extrême variabilité. Sur ton exemple c'est une clé Winlogon, ce peut aussi être une clé Run ou tout autre façon de se lancer avant Windows http://tigzyrk.blogspot.fr/2011/12/ransomware-gendarmerie-nationale.html Certaines variantes cryptent toutes les données du PC : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loifrance/ Et là aussi ça change régulièrement, pour certaines variantes on n'a pas trouvé de décrypteur : données perdues à jamais. Vive les sauvegardes sur supports externes non branchés. La méthode la plus efficace reste RogueKiller de Tigzy dont il existe une variante PE, sous préenvironnement Windows : http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html C'est un peu le même principe que ton démontage de disque, le LiveCD se lance même si le ransomware a planté Windows et peut lire le registre à distance. Il lit le registre de Windows à distance et cible le coupable si RogueKiller l'a dans sa base. L'avantage est que Tigzy essaie d'être à jour et de cibler la nouvelle variante très vite. Mais ça reste une course du gendarme et du voleur, si on peut dire en l'occurrence, et le gendarme a toujours un train de retard. Sur le fond je me demande quand même si les auteurs, qui demandent une rançon pour redonner la main au propriétaire du PC (disent-ils), arrivent à recevoir des rançons ! Ce qui pouvait marcher au tout début, ne doit guère marcher quelques années après ! Herser 4