Malware uKash

[Swissky]

Malware uKash

1)Définition
Je viens de me prendre une de ces merde donc je vous fait un petit compte rendu sur ceux-ci , leur comportement et leur désinfection. Malheureusement je n'ai pas pu prendre de screen, mon ordinateur était vérrouillé, les screens présents ci-dessous proviennent d'autres utilisateurs.
Ce sont des malware de type RansomWare, c'est-à-dire qu'ils bloquent votre PC et demande de payer un certain montant afin de pouvoir récupérer l'accès. Il verrouille totalement le système, la seule manière d'éteindre le PC est en appuyant sur le bouton d'extinction:

Ils vous affichent un message de ce type :

Votre Ordinateur a été bloqué!
Le fonctionnement de votre ordinateur est arrêté pour les signes de la cyberactivité défendue. Les v-olations possibles commises sur votre ordinateur:
Article 274 – Droit d’auteur Amende ou privation de liberté jusqu’à 4 ans (utilisation ou diffusion des fichiers protégés par le droit d’auteur – films, logiciel)
Article 183- Production pornographique Amende ou privation de Pberte jusqu a 2 ans [Utilisation ou diffusion des fichiers pornograph-ques)
Article 184- Production pornographique avec participation des enfants (jusqu'à Pige de 18 ans) Privation de liberté jusqu'à 15 ans [utilisation ou diffusion des fichiers pornographiques)
Article 104- Vulgarisation du Terrorisme Privation de liberté jusqu'à 25 ans [vous avez visité des sites des organisations terroristes)
Article 297- Usage négligent de l'ordinateur ce qui a entrainé des conséquences sérieuses Amende ou privation de liberté jusqu'à 2 ans [votre ordinateur est infecté par le Malware, qui, à son tour, a infecté d'autres ordinateurs)
Article 108- Jeux de hasard Amende ou privation de liberté jusqu'à 2 ans ;vous avez joué aux jeux de hasard, niais d'après la loi de votre pays le business de hasard est interdit]
En vertu de la décision du Gouvernement du 22 août, tous ces délits peuvent être jugés comme conventionnels en cas du paiement de l’amende.
La somme de l’amende fait 100 euros. Le paiement doit etre produit pendant 48 heures, après la révélation de la v:olabon.
Si l’amende n’est pas payée, une action pénale sera automatiquement ouverte contre votre personne.

2) Détails de l'infection
Vous l'aurez surement reçu en visitant un site web, le plus souvent de streaming. Il utilise de nombreux exploits pour se faufiler à l'intérieur e votre système, chez moi il a utilisé un exploit Java mon AV l'a détecté mais il a aussi utilisé un autre exploit qui lui n'a pas été détecté par Microsoft Security Essentials , c'est peut-être une 0day.
Que fait ce Malware ? Il se trouve que ce Malware modifie des valeurs du registre comme l'utilisation du gestionnaire des tâches et s'installe au démarrage sous différent noms. Pour ma part c'etait sous lsass.exe et 2 autres noms générés probablement par random.

3) Suppression de ce ransomware
Il existe plusieurs manière plus ou moins radicale pour éradiquer ce Malware.

a) Soit vous décidez de repartir sur des bases propres et vous bootez sur un LiveCD Linux afin de copier vos données importantes sur un Disque dur externe. Puis vous formatez et installez de nouveau Windows ou un OS libre

b) Soit vous aimez mettre les mains dans le cambouis et vous démarrez votre machine en mode sans échec avec ou sans prise en charge réseau (au choix mais privilégiez sans le réseau on ne sait jamais), pour cela on fait F8 au démarrage :

Ensuite vous arrivez sur votre Windows, une différence de résolution peut survenir , allez dans le menu démarrer ou fait [windows]+[R] puis tappez "msconfig" :

ou

Placez-vous dans l'onglet démarrage et décochez les trucs inutiles et ceux que vous ne connaissez pas, généralement le Malware se place dans APPDATA, ROAMING , TEMP, STARTUP. Si vous connaissez bien votre système vous pouvez aller le supprimer du dossier (de façon manuelle)

Ensuite passez un coup d'Antivirus, de Malwarebyte, de Ccleaner puis redémarrez, si tout se passe correctement et que le Malware est éradiqué, mettez votre navigateur à jour ainsi que vos protections (AV, AntiMalware etc).

PS: Pour les fou n'hésitez pas à récupérer le Malware afin que certaines personnes puissent s'amuser à le décompiler/désassembler

[supersnail]

Btw tu pourrais poster ton sample de ukash pour analyse ? (le tout sous un .zip password-protected, à reverse uniquement sous machine virtuelle)

[Swissky]

Justement je l'ai pas j'ai dégagé le virus et après je me suis dit que j'aurai pu récuperer le sample ^^"
Au pire je dois pouvoir retrouver le site qui m'a infecté si ça t'interesse ^^

[Horgh]

Ce sont des virus de type RansomWare, c'est-à-dire qu'ils bloquent votre PC et demande de payer un certain montant afin de pouvoir récupérer l'accès.

Je crois que je serais mort avant d'avoir fini de répéter ça. Ce n'est PAS un virus, un virus est un programme qui se réplique en infectant d'autres fichiers (généralement des exécutables) en ajoutant son code au programme originel. Ici c'est un malware, un trojan de merde. Les virus ça existe presque plus actuellement.

Il utilise de nombreux exploits pour se faufiler à l'intérieur e votre système, chez moi il a utilisé un exploit Java mon AV l'a détecté mais il a aussi utilisé un autre exploit qui lui n'a pas été détecté par Microsoft Security Essentials , c'est peut-être une 0day.

Lol nope, les mecs derrière sont loin d'avoir le skill pour sortir du 0day. Sans compter que ça serait vraiment une sacré perte que de cramer un 0day dans de la distrib de ransom. Concernant les exploits, c'est du java / pdf / flash, et généralement c'est drop via un Blackhole.

Btw tu pourrais poster ton sample de ukash pour analyse ? (le tout sous un .zip password-protected, à reverse uniquement sous machine virtuelle)

J'dois avoir du Reveton sur mon ordi, je vais chercher (le screen 1 est du reveton, le 2 flemme de chercher). Sinon il y a Urausy ou Gimemo dans le même genre, les samples se trouvent facilement.

Au pire je dois pouvoir retrouver le site qui m'a infecté si ça t'interesse ^^

J'en doute.

Sinon pour la désinfection : mode sans échec sans prise en charge réseau, un coup d'autoruns pour virer les saloperies dans %temp% ou %appdata% (généralement avec nom random), on delete les fichiers en même temps. Si on peut pas delete pcq les entrées sont monitorées, Live CD Kaspersky Rescue Disk. Sinon RogueKiller est pas mal pour tout ce qui est désinfection de Rogue AV et saloperies du genre. Ce genre de malwares sont généralement très faciles à virer.

Morale de l'histoire, garder son PC à jour et pas agir comme un idiot ; et les AV ça sux.

[Swissky]

J'ai repris l'infection , je sais je suis borné, mais j'ai pu récupérer le sample ,vous pouvez me le demander par MP,
tout est dans une archive rar protégée par Mot De Passe avec des screens du virus et de ces emplacements

[kaizo]

a noter que celui ci passe si flash ou java n'est pas à jour, qu'il existe plusieurs variantes dont certaines très chiantes à enlever (remplace le explore.exe), un petit cou de malwarebyte ne fait pas de mal non plus après

[Swissky]

l'explorer n'a pas subit de modification j'ai checké

[kaizo]

si il avait subit une modification tu l'aurais su tout de suite la page du virus s'affiche également en mode sans échec et empêche toutes manipulations

[CyberSee]

Tien on a une news sur a page d'accueil qui en parle

Un groupe de cyber-criminels a déclenché une vaste attaque contre plus de 500 000 internautes en prenant leur ordinateur en otage.

Une attaque de très grande envergure a frappé un grand nombre d’internautes en seulement 18 jours. Le coupable est un ransomware du nom de Reveton. Il s'agit d'un malware qui verrouille une machine jusqu’à ce qu’une rançon soit payée.

Reveton détecté sous le nom Trojan.Ransomlock.G pouvait accomplir plusieurs opérations :

empêcher l’accès au gestionnaire des tâches
crypter les données
verrouiller la zone amorce du disque dur

Les utilisateurs devront alors acheter un Bon (essentiellement lié à des services non conventionnels comme Moneypak et Ukash) pour déverrouiller leur ordinateur.
Les criminels se faisaient passer pour des agences gouvernementales exigeant le paiement d’une amende suite à une supposée infraction sur internet.

Symantec explique qu’avec 2.9% des internautes qui payent l’amende, l’arnaque des Ransomware devient très lucrative pour les criminels et est donc susceptible de se développer.
La totalité des rançons payées chaque année pourrait dépasser les 5 millions de dollars.

Le groupe de cyber-criminels derrière Reveton court toujours et n’ont toujours pas été appréhendés.

[ﮎyиthﮎtyℓє]

Virus uKash

Justement je l'ai pas j'ai dégagé le virus

le truc du virus ^^

/facepalm

Sinon a par ça je serais toi je m'alarmerais plus sur ma sécurité qu'a faire un tuto de remove useless (no offense)
Un winlock c'est cool car c'est voyant mais un RAT t'aurais rien vu.

les mecs derrière sont loin d'avoir le skill pour sortir du 0day. Sans compter que ça serait vraiment une sacré perte que de cramer un 0day dans de la distrib de ransom.

osef du skill les 0day ça s’achète et non ça ne serais pas une perte de temps quand tu voi le taux de conversion ça fait peur.

J'dois avoir du Reveton sur mon ordi

kernelmode.info

j'ai pu récupérer le sample ,vous pouvez me le demander par MP,
tout est dans une archive rar protégée par Mot De Passe avec des screens du virus et de ces emplacements

pourquoi plutôt ne pas l’attaché en pièce jointe a ce thread ?

[Swissky]

Je le met pas en piéce jointe car je ne sais plus qui, Supersnail ou un autre admin m'a dit qu'il fallait limiter les pièces jointe de plus on a droit qu'à 500ko de piece.
De plus je ne fais pas de souci pour la sécurité de mon ordinateur, je lance les trucs sous Machine Virtuelle + Sandbox, quand au trojan ça se trouve facilement en analysant les connexions entrantes et sortantes

[supersnail]

Sinon les hebergeurs de fichiers ça existe (juste foutre un pwd "infected" au cas où)

[ﮎyиthﮎtyℓє]

Je le met pas en piéce jointe car je ne sais plus qui, Supersnail ou un autre admin m'a dit qu'il fallait limiter les pièces jointe de plus on a droit qu'à 500ko de piece.
De plus je ne fais pas de souci pour la sécurité de mon ordinateur, je lance les trucs sous Machine Virtuelle + Sandbox, quand au trojan ça se trouve facilement en analysant les connexions entrantes et sortantes

>implying que tu regarde tous les jours les connexions entrantes et sortantes ? tu fais comment si un bot update les infos au c&c toutes les heures ou a chaque démarrage du pc ?
ta première infection du malware ukash tu la chopé en navigant dans une vm ? quand a la sandbox si c'est un stealer ça ne te sauvera pas la vie.

[badTasTe]

Salut a tous,
Je vais juste reagir sur ce que je viens de lire pour dire que je trouve qu'on s'ecarte pas mal de l'etique des N-PN.
J'ai eut l impression de me retrouver sur un site de lamerz ou ca critique a tout va les posts des autres de maniere un peu trop brutale...
Pour un site d'entraide je trouve ca dommage de voir "tuto de remove useless" et autres reflexion qui n'aident personnes.
Merci swissky pour ce post informatif et fait les tri entre les critiques instructives et les critiques "useless".
Sur ce, je conseil a certain de refaire un tour sur le topic de l etique du site
Des biz

[supersnail]

Bonjour,

En un sens, les critiques "useless" ont malgré tout le mérite de soulever certaines questions pas si "useless" que ça (cf la sécurisation du PC de Swissky, ou encore des points méthodologiques concernant le reverse de malwares qui incitent à se poser des questions).
Bon, c'est vrai que ﮎyиthﮎtyℓє est assez "agressif" dans ses propos, mais il faut aussi savoir se remettre en question et dire à quelqu'un qui se trompe "tu fais de la m*rde là" lui sera plus profitable à long terme que lui dire "c'est bien ton truc, continue" (même si la manière de le dire peut être "offensente".

Bref y'a pas mort d'homme, par contre essayez d'être moins "agressifs" dans vos posts et rassure-toi badTasTe, j'ai nullement l'intention de laisser le forum devenir une board lame