Que faire lorsque votre ordinateur est infecté par un virus de minage de monnaie virtuelle ?

• Après WannaCry, le malware « extorsion » Petya sévit, voici comment le réparer et le prévenir
• Comment identifier le malware WannaCry auprès du Vietnam Computer Emergency Response Center (VNCERT)
• WannaCry n'est pas mort, il vient d'attaquer Honda et le système de caméras de circulation australien

Hier, LuckyTemplates a signalé que des milliers d'ordinateurs au Vietnam avaient été piratés par le virus W32.AdCoinMiner via le service de publicité en ligne Adf.ly. Après avoir pris le contrôle de l'ordinateur, ces virus continueront de pénétrer à travers les failles de sécurité du logiciel et de prendre le contrôle de l'ordinateur de l'utilisateur pour télécharger des charges utiles cachées et effectuer du minage d'argent virtuel. Lorsqu'il prend le contrôle de l'appareil de la victime, en plus de télécharger la charge utile d'extraction de monnaie virtuelle, l'attaquant peut installer d'autres codes malveillants via son serveur de contrôle pour effectuer de l'espionnage et des cyberattaques, voler des informations et même crypter des données à des fins de chantage.

Selon les experts de Trend Micro, pour minimiser l'intrusion de virus dans les ordinateurs, les utilisateurs doivent immédiatement mettre à jour le dernier correctif du système d'exploitation, ainsi que mettre à niveau Trend Micro Security version 12 et configurer un niveau de protection élevé.

Si vous pensez que votre ordinateur a été infecté par le virus d'extraction de monnaie virtuelle W32.AdCoinMiner, vous pouvez prendre les mesures suivantes :

Étape 1 : Avant d'effectuer toute opération d'analyse, les utilisateurs de Windows XP, Vista et Windows 7 doivent d'abord désactiver la « Restauration du système » pour pouvoir analyser l'intégralité de l'ordinateur.

Étape 2 : Pendant le processus d'installation, différents systèmes d'exploitation auront différents fichiers, éléments, dossiers ou « clés de registre ». Si vous avez déjà trouvé ces éléments sur votre ordinateur, vous n'avez pas besoin d'effectuer les étapes suivantes. Cependant, de nombreux ordinateurs ne disposent pas de ces éléments, veuillez donc suivre les instructions ci-dessous.

Étape 3 : Recherchez et supprimez le fichier du virus Coinminer au format COINMINER_MALXMR.AB-WIN64.

Lors de la recherche et de la suppression de ce fichier de virus, quelques cas apparaîtront tels que :

• Le Gestionnaire des tâches Windows peut ne pas afficher toutes les applications en cours d'exécution. Dans ce cas, les utilisateurs peuvent utiliser une autre application tierce de surveillance des activités telle que Process Explorer pour détecter les fichiers contenant du code malveillant. Les utilisateurs peuvent télécharger Process Explorer ici .
• Le deuxième cas est que le Gestionnaire des tâches Windows et l'Explorateur de processus sont tous deux affichés mais ne peuvent pas les supprimer, l'utilisateur doit redémarrer l'ordinateur en mode sans échec.
• Troisièmement, le Gestionnaire des tâches Windows et l'Explorateur de processus n'affichent pas ce fichier, les utilisateurs doivent passer à l'étape suivante.

Étape 4 : Supprimez « Valeur du registre ».

Remarque : Si vous ne faites pas attention lors de la modification du « Registre » de Windows, les utilisateurs peuvent rencontrer des problèmes système et ne pas pouvoir récupérer. Trend Micro vous recommande d'effectuer cette étape uniquement si vous savez comment procéder ou si vous demandez de l'aide à votre administrateur système. Les utilisateurs peuvent se référer à l'avance à certains articles de Microsoft sur ce problème s'ils souhaitent continuer à modifier le « Registre ».

Accès via lien :

Dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

XMRRUN = « %SystemRoot%\Windows\SysWOW64\audiodig.exe –c%SystemRoot%\Windows\SysWOW64\audiodig »

Dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wextract_cleanup0 = « rundll32.exe%System%\advpack.dll,DelNodeRunDLL32 »%User Temp%\IXP000.TMP\ » »

Étape 5 : Recherchez et supprimez les fichiers ci-dessous

Remarque : Avant de rechercher et de supprimer des fichiers, les utilisateurs doivent activer la fonctionnalité "Rechercher les fichiers et dossiers cachés" dans la section "Options plus avancées" pour s'assurer que les fichiers ci-dessous ne sont pas masqués lors de la recherche.

%Utilisateur Temp%\IXP000.TMP\TMP{aléatoire}.TMP

· %Utilisateur Temp%\IXP000.TMP\audiodig

· %Utilisateur Temp%\IXP000.TMP\audiodig.exe

· %Utilisateur Temp%\IXP000.TMP\audiodig.reg

· %Utilisateur Temp%\IXP000.TMP\init.bat

· %Racine Système%\SysWOW64\audiodig

· %Racine système%\SysWOW64\audiodig.exe

· %Racine Système%\SysWOW64\audiodig.reg

· %Racine Système%\SysWOW64\init.bat

Étape 6 : Enfin, les utilisateurs doivent utiliser le logiciel antivirus Trend Micro Security pour détecter et supprimer les fichiers aux formats tels que COINMINER_MALXMR.AB-WIN64. Lors de la détection de fichiers infectés par un virus, les utilisateurs doivent les supprimer ou les isoler complètement des autres fichiers pour éviter leur propagation.

En savoir plus :

• Le logiciel antivirus ralentit votre PC
• Top 10 des meilleurs logiciels antivirus début 2018 pour Windows 10
• Bkav 2018 utilise l'intelligence artificielle pour détecter les virus et protéger les ordinateurs
• Un ancien pirate informatique de la NSA a transformé le logiciel antivirus Kaspersky en outil d'espionnage