Installation
Introduit les duplicats suivants au sein du système affecté, puis les exécute :
- %Application Data%\{random}.exe
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Introduit les fichiers suivants :
- %Application Data%\bitcrypt.ccw - configuration file
- %Application Data%\BitCrypt.txt - contains ransom message
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Dépose des fichiers texte servant de demandes de rançon contenant les données suivantes :
Technique de démarrage automatique
Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%Application Data%\{random}.exe"
Autres modifications du système
Ajoute les clés de registre suivantes relatives à sa routine d''installation :
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.ccw
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.ccw\OpenWithList
Supprime les clés de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network
Interruption de processus
Met fin aux processus suivants exécutés au niveau de la mémoire du système affecté :
Autres précisions
Chiffre les fichiers en utilisant les extensions suivantes :
- *.abw
- *.arj
- *.asm
- *.bpg
- *.cdr
- *.cdt
- *.cdx
- *.cer
- *.css
- *.dbf
- *.dbt
- *.dbx
- *.dfm
- *.djv
- *.djvu
- *.doc
- *.docm
- *.docx
- *.dpk
- *.dpr
- *.frm
- *.jpeg
- *.jpg
- *.key
- *.lzh
- *.lzo
- *.mdb
- *.mde
- *.odc
- *.pab
- *.pas
- *.pdf
- *.pgp
- *.php
- *.pps
- *.ppt
- *.pst
- *.rtf
- *.sql
- *.text
- *.txt
- *.vbp
- *.vsd
- *.wri
- *.xfm
- *.xlc
- *.xlk
- *.xls
- *.xlsm
- *.xlsx
- *.xlw
- *.xsf
- *.xsn
Step 2
Effectuez un scan de l'ordinateur à l'aide de votre produit Trend Micro et prenez note des fichiers spécifiés comme étant TROJ_CRIBIT.A
Step 3
Mettre fin à ce processus à l'aide de Process Explorer
[ suite ]
[ dos ]
Si vous ne pouvez toujours pas mettre fin au processus de programme malveillant/grayware/programme espion, celui-ci ne s'affichant pas dans Process Explorer, redémarrez votre ordinateur en mode sans échec. Pour plus d'informations, nous vous invitons à consulter
ce site.
Pour mettre fin au processus du programme malveillant/grayware/programme espion :
- Téléchargez Process Explorer.
- Procédez à l'extraction du contenu du fichier compressé (ZIP) à l'emplacement de votre choix.
- Exécutez Process Explorer en double-cliquant sur le fichier d'exécutionPROCEXP.EXE.
- Dans la fenêtre de Process Explorer, recherchez le processus du programme malveillant/grayware/programme espion :
%Application Data%\{random}.exe - Faites un clic droit sur le processus en question, puis sélectionnez Propriétés.
- Vérifiez que la valeur correspondant au répertoire en cours est la suivante :
%Application Data%\{random}.exe - Le cas échéant, faites de nouveau un clic droit sur le processus du programme malveillant/grayware/programme espion, puis sélectionnez Terminer l'arborescence du processus.
- Répétez les étapes 4 à 8 pour les processus suivants :
- %Application Data%\{random}.exe
- Fermez Process Explorer.
Step 4
Rétablissement des clés de registre supprimées
- Toujours dans l'éditeur de registre, dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Control>SafeBoot>Minimal - Faites un clic droit sur la clé et sélectionnez Nouveau>Clé. Remplacez la valeur de la nouvelle clé par :
{4D36E967-E325-11CE-BFC1-08002BE10318} - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
DiskDrive - Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Control>SafeBoot>Network - Faites un clic droit sur la clé et sélectionnez Nouveau>Clé. Remplacez la valeur de la nouvelle clé par :
{4D36E967-E325-11CE-BFC1-08002BE10318} - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
DiskDrive - Fermez l'éditeur de registre.
Step 5
Supprimer cette valeur de registre
[ suite ]
[ dos ]
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Bitcomint = "%Application Data%\{random}.exe"
Pour supprimer la valeur de registre créée par ce programme malveillant :
- Ouvrez l'éditeur de registre. Pour ce faire, cliquez sur Démarrer>Exécuter, saisissez regedit dans le champ de saisie, puis appuyez sur Entrée.
- Dans le panneau de gauche de la fenêtre de l'éditeur de registre, faites un double-clic à l'endroit suivant :
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run - Dans le panneau de droite, recherchez et supprimez l'entrée :
Bitcomint = "%Application Data%\{random}.exe" - Fermez l'éditeur de registre.
Step 6
Supprimer cette clé de registre
[ suite ]
[ dos ]
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l'aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
Pour supprimer les clés de registre créées par ce programme malveillant/grayware/programme espion :
- Ouvrez l'éditeur de registre. Pour ce faire, cliquez sur Démarrer>Exécuter, saisissez regedit dans le champ de saisie, puis appuyez sur Entrée.
- Dans le panneau de gauche de la fenêtre de l'éditeur de registre, faites un double-clic à l'endroit suivant :
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>FileExts - Toujours dans le panneau de gauche, recherchez et supprimez la clé :
.ccw - Fermez l'éditeur de registre.
Step 7
Recherche et suppression de ces fichiers
[ suite ]
[ dos ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case
Rechercher dans les fichiers et les dossiers cachés est cochée dans les Options avancées afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
- %Application Data%\bitcrypt.ccw
- %Application Data%\BitCrypt.txt
- {Folder path of encrypted files}\BitCrypt.txt
Pour supprimer des fichiers de composants de programmes malveillants/graywares/programmes espions
- Faites un clic droit sur Démarrer Recherche... ou Rechercher..., en fonction de la version de Windows que vous exécutez.
- Dans le champ de saisie de nom, tapez :
- %Application Data%\bitcrypt.ccw
- %Application Data%\BitCrypt.txt
- {Folder path of encrypted files}\BitCrypt.txt
- Dans la liste déroulante Regarder dans, sélectionnez Poste de travail, puis appuyez sur entrée.
- Une fois localisé, sélectionnez le fichier et appuyez sur MAJ+SUPPR pour effacer le fichier de manière définitive.
- Répétez les étapes 2 à 4 pour les fichiers restants :
- %Application Data%\bitcrypt.ccw
- %Application Data%\BitCrypt.txt
- {Folder path of encrypted files}\BitCrypt.txt
Step 8
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TROJ_CRIBIT.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Participez à notre enquête!