Installation
Introduit les fichiers suivants :
- %User Temp%\n00529zzqmw3.bmp
(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)
Ajoute les processus suivants :
- vssadmin.exe Delete Shadows /All /Quiet
- bcdedit /set {default} recoveryenabled No
- bcdedit /set {default} bootstatuspolicy ignoreallfailures
Dépose des fichiers texte servant de demandes de rançon contenant les données suivantes :
- {random characters}-HOW-TO-DECRYPT.txt
Autres modifications du système
Ajoute les clés de registre suivantes :
HKEY_CURRENT_USER\Software\recfg
pk_key = {hex value}
HKEY_CURRENT_USER\Software\recfg
sk_key = {hex value}
HKEY_CURRENT_USER\Software\recfg
0_key = {hex value}
HKEY_CURRENT_USER\Software\recfg
rnd_ext = {random characters}
HKEY_CURRENT_USER\Software\recfg
stat = {hex value}
Change l''arrière-plan du bureau en modifiant les entrées de registre suivantes :
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User temp%\n00529zzqmw3.bmp
Définit l'image suivante comme papier peint du bureau du système :
Step 3
Redémarrage en mode sans échec
[ suite ]
[ dos ]
Pour redémarrer en mode sans échec :
• Pour les utilisateurs de Windows 98 et ME
- Redémarrez votre ordinateur.
- Maintenez la touche Ctrl enfoncée jusqu'à ce que s'affiche le menu de démarrage.
- Choisissez l'option de mode sans échec, puis appuyez sur la touche Entrée.
• Pour les utilisateurs de Windows NT (mode VGA)
- Cliquez sur Démarrer>Paramètres>Panneau de configuration.
- Double-cliquez sur l'icône Système.
- Cliquez sur l'onglet Démarrage/Arrêt.
- Paramétrez le champ Afficher liste sur 10 secondes et cliquez sur OK pour enregistrer cette modification.
- Éteignez et redémarrez l'ordinateur.
- Sélectionnez le mode VGA dans le menu de démarrage.
• Pour les utilisateurs de Windows 2000
- Redémarrez votre ordinateur.
- Appuyez sur la touche F8 lorsque la barre de démarrage de Windows s’affiche au bas de votre écran.
- Sélectionnez l’option de mode sans échec dans le menu Options avancées de Windows, puis appuyez sur la touche Entrée.
• Pour les utilisateurs de Windows XP
- Redémarrez votre ordinateur.
- Appuyez sur la touche F8 une fois le test POST (Power-On Self Test) terminé. Si le menu des options avancées de Windows ne s’affiche pas, essayez de redémarrer, puis d’appuyer plusieurs fois sur la touche F8 après l’affichage de l’écran POST.
- Sélectionnez l’option de mode sans échec dans le menu Options avancées de Windows, puis appuyez sur la touche Entrée.
• Pour les utilisateurs de Windows Server 2003
- Redémarrez votre ordinateur.
- Appuyez sur la touche F8 après le démarrage de Windows. Si le menu des options avancées de Windows ne s'affiche pas, essayez de redémarrer une nouvelle fois, puis d'appuyer plusieurs fois sur la touche F8 après le redémarrage.
- Dans le menu des options avancées de Windows, utilisez les touches fléchées pour sélectionner le mode sans échec, puis appuyez sur la touche Entrée.
Step 4
Supprimer cette clé de registre
[ suite ]
[ dos ]
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- HKEY_CURRENT_USER\Software\recfg
Pour supprimer les clés de registre créées par ce programme malveillant/grayware/programme espion :
- Ouvrez l'éditeur de registre. Pour ce faire, cliquez sur Démarrer>Exécuter, saisissez regedit dans le champ de saisie, puis appuyez sur Entrée.
- HKEY_CURRENT_USER\\Software\\recfg
- Fermez l'éditeur de registre.
Step 5
Recherche et suppression de ce fichier
[ suite ]
[ dos ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case
Rechercher dans les fichiers et les dossiers cachés est cochée dans les Options avancées afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
- %User Temp%\n00529zzqmw3.bmp
- {random characters}-HOW-TO-DECRYPT.txt
Pour supprimer le fichier du programme malveillant/grayware/programme espion :
- Faites un clic droit sur Démarrer Recherche... ou Rechercher..., en fonction de la version de Windows que vous exécutez.
- Dans le champ de saisie de nom, tapez :
- %User Temp%\n00529zzqmw3.bmp
- {random characters}-HOW-TO-DECRYPT.txt
- Dans la liste déroulante Regarder dans, sélectionnez Poste de travail, puis appuyez sur entrée.
- Une fois localisé, sélectionnez le fichier et appuyez sur MAJ+SUPPR pour effacer le fichier de manière définitive.
Step 6
Rétablissement des propriétés du bureau
[ suite ]
[ dos ]
Pour rétablir les propriétés du bureau :
Sous Windows 98, ME, NT et 2000 - Ouvrez le panneau de configuration. Pour ce faire, cliquez sur Démarrer>Paramètres>Panneau de configuration.
- Dans le panneau de configuration, double-cliquez sur Affichage.
- Dans l’écran de propriétés Affichage, sélectionnez l’onglet Web.
- Dans la liste des pages Web, décochez la case des informations de sécurité.
- Décochez également la case d’affichage du contenu Web sur Active Desktop si vous n’utilisiez pas ce paramètre auparavant.
- Cliquez sur Appliquer pour appliquer et enregistrer les paramètres, puis cliquez sur OK.
Sous Windows XP et Server 2003 - Ouvrez le panneau de configuration. Pour ce faire, cliquez sur Démarrer>Panneau de configuration.
- Dans le panneau de configuration, cliquez sur l’onglet Bureau.
- Dans l’onglet Bureau, sélectionnez Personnalisation du bureau, puis sélectionnez l’onglet Web.
- Dans la liste des pages Web, décochez la case des informations de sécurité.
- Cliquez sur Appliquer pour appliquer et enregistrer les paramètres, puis cliquez sur OK.
Step 7
Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant Ransom.Win32.SODINOKIBI.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Step 9
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant Ransom.Win32.SODINOKIBI.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
