Accueil » Sécurité Informatique » Les ransomwares, explications et contre-mesures

Bien qu’à présent très populaires, les ransomwares ou « rançongiciels » en français ne datent pas d’hier.

On entend beaucoup parler des ransomwares dans l’actualité, mais comment peut-on en attraper un ? comment se protéger ? faut-il payer ou non ? Cet article tente de faire le point et d’apporter des réponses de façon simple et compréhensible.

Le premier du genre est sans doute le Trojan AIDS (aussi appelé PC Cyborg) qui infectait déjà des ordinateurs en 1989. Il chiffrait les fichiers sur les ordinateurs infectés puis indiquait que la licence d’un logiciel avait expiré, et qu’il fallait payer 189 dollars pour déverrouiller les fichiers.

Cela fait maintenant quelques années que ce type de logiciels malveillants est redevenu à la mode, notamment avec la médiatisation de Cryptocker qui chiffre les fichiers d’un ordinateur puis réclame une rançon pour les déchiffrer.

 

Trois types de ransomwares

On peut classer les ransomwares en deux grands types : ceux qui bloquent les programmes et ceux qui chiffrent les fichiers. Leur point commun étant de soutirer de l’argent à leurs victimes. Un troisième type moins radical existe également et agit via des sites web verrouillant du contenu.

Les ransomwares bloqueurs utilisent notamment des fenêtres pop-up par dessus les autres programmes (ou applications dans le cas des smartphones), les bloquant ainsi et empêchant l’utilisateur de continuer dans sa tâche. Ces ransomwares vous accusent habituellement d’avoir commis des infractions imaginaires. Comme le fait le virus de la gendarmerie, la version française du rançongiciel FBI Moneypak.

Bien entendu, il existe une multitude de variations de ransomwares dans la nature, qu’il est impossible de citer sous forme exhaustive.

Exemple du virus de la gendarmerie :

ransomware-gendarmerie

Pas d’accents, des fautes de français, et des services de paiement que la vraie gendarmerie n’utiliserait jamais sont des points qui mettent la puce à l’oreille.

Les ransomwares qui chiffrent les fichiers sont plus problématiques. Ils chiffrent discrètement les fichiers sur l’ordinateur, puis affichent un message vendant la clé de déchiffrement suivie d’un compteur, qui une fois arrivé à zéro détruit cette clé de déchiffrement.

cryptolocker

Le paiement par Bitcoin est souvent proposé de part sa nature dématérialisée et anonyme. En ce moment, 2 BTC = 820€.

Enfin, le troisième type de ransomwares est peut-être celui que l’on rencontre le plus facilement. Il s’agit des souscriptions obligatoires à des services payants pour pouvoir télécharger un fichier. Les sites web ShareCash et FileIce sont parmi les plus connus, voici un exemple de souscriptions obligatoires à choisir puis à remplir avant de pouvoir télécharger un fichier :

fileice

Bien entendu, un numéro de mobile existant est requis pour télécharger, et la souscription est payante.

On placera dans cette catégorie le nouveau rançongiciel appelé Ransom32 qui est plus précisément un créateur de ransomwares à la demande, utilisant JavaScript pour infecter les ordinateurs.

Voir :

http://blog.emsisoft.com/fr/2016/01/01/decouvrez-ransom32-le-premier-rancongiciel-decouvert-dans-javascript/

 

Payer ou ne pas payer ?

C’est une bonne question, mais il n’y a en fait pas de réponse universelle.

La plupart des rançongiciels demandent entre 200 et 500€. On peut se dire que cela vaut le coup de retrouver des documents personnels (vidéos du bébé, factures, photos de vacances, etc).

Dans l’autre sens, rien ne garantit le déchiffrement des documents après paiement, ni même qu’un deuxième paiement ne sera pas demandé par la suite.

Je cite tout de même « Oscar D » qui a été infecté par CryptoLocker et qui a payé la rançon :

« Dans mon cas, je confirme qu’après avoir payé une rançon de 300 dollars à CryptoLocker via MoneyPak, ça a fonctionné, cela a pris environ 1 jour pour traiter le paiement, et environ 1 jour pour déchiffrer tous les fichiers… »

Cela dit, le fait de payer donne également raison aux créateurs de ces logiciels et les pousse à continuer. D’après les calculs de Norton, un pirate pourrait gagner autour de 390 000 dollars (~360 000€) par mois grâce à un ransomware.

Un pirate pourrait gagner autour de 390 000 dollars (~360 000€) par mois grâce à un ransomware Click To Tweet

 

Comment fonctionnent-ils ?

Les ransomwares s’installent comme d’autres programmes malveillants, c’est-à-dire via beaucoup de moyens différents.

Ils peuvent être joins dans des e-mails, téléchargés via des sites de partages, se faire passer pour des faux antivirus, se propager via des failles dans les navigateurs et bien d’autres. Il n’y a donc pas de façons très spécifiques de se faire infecter, la seule chose qui peut vous faire éviter le pire et de réfléchir avant d’effectuer un double clic sur un programme suspect. Les antivirus les détectent également, mais pas toujours.

On peut trouver les rançongiciels sous plusieurs extensions de fichiers différentes dont « .exe » mais aussi « .scr », entre autres. Les icônes sont souvent changées dans le but de vous faire croire qu’il s’agit d’un document légitime ou d’un dossier.

Dès leur exécution, les ransomwares chiffrent discrètement tous les fichiers classiques présents sur l’ordinateur mais aussi sur les clés USB éventuellement branchées ainsi que sur les lecteurs réseau.

D’un point de vue cryptographique, on a deux grandes façons de chiffrer des données : la façon symétrique et la façon asymétrique.

La façon symétrique est la façon qui nous vient naïvement à l’esprit : on utilise le même mot de passe pour chiffrer et pour déchiffrer.

Le problème c’est que pour pouvoir déchiffrer des données chiffrées avec une clé donnée, il faut justement cette clé. Et on n’a pas de façon sécurisée de partager cette clé (à part en mains propres).

La façon asymétrique règle ce problème, une clé dite « publique » est partagée, elle permet uniquement de chiffrer des données. La clé privée n’est pas partagée et permet de déchiffrer les données. Cette clé privée est donc gardée bien au chaud sur un serveur distant (et n’est pas livrée cachée dans le ransomware par exemple). Il faudra donc payer pour l’obtenir.

Le premier ransomware « AIDS » dont on parlait au début de l’article utilisait un chiffrement symétrique donc facilement cassable. Les ransomwares récents utilisent les mêmes techniques de chiffrement que celles utilisées habituellement pour chiffrer des communications entre machines, à savoir des chiffrements asymétriques.

Lorsque la victime paie, c’est la clé privée qui lui est fournie. Lorsqu’elle ne paie pas, la clé est probablement détruite et les fichiers se retrouvent chiffrés à jamais. Du moins, peu de personnes sur Terre disposent d’un supercalculateur suffisamment patient pour casser des clés RSA 2048 bits (utilisées par Cryptolocker). On dit que même Chuck Norris n’arriverait pas à cracker un chiffrement RSA 2048 bits…

Par ailleurs, vous trouverez beaucoup de méthodes de désinfection sur le net permettant de retirer le ransomware de votre ordinateur. Il faut bien savoir que même en supprimant le rançongiciel en question, vos fichiers chiffrés le resteront. La suppression du programme malveillant ne déchiffre pas les fichiers, sinon les ransomwares ne seraient même pas un problème.

Vous pouvez également tomber sur des outils permettant de « déchiffrer » les fichiers chiffrés…mais à condition de fournir la clé privée à ces outils. Limitant ainsi beaucoup leur champ d’action.

Tout cela pour dire que si le rançongiciel est bien pensé, vous avez très peu de chances de récupérer vos fichiers sans payer (et là encore rien n’est garanti comme on l’a vu).

Si vous souhaitez obtenir plus de détails techniques sur Cryptolocker, notamment sur le format des fichiers chiffrés, je vous invite à lire l’article suivant en anglais : http://www.kyrus-tech.com/2013/11/12/cryptolocker-decryption-engine/

Et si vous souhaitez simplement voir ce qu’il se passe lorsqu’on se fait infecter par CryptoWall (un clone de Cryptolocker), vous pouvez vous rendre ici (en anglais).

 

Puis-je tout de même récupérer mes fichiers sans payer ?

Oui, mais à condition d’avoir fait des sauvegardes auparavant. Ces sauvegardes peuvent être automatiques (par exemple : création de points de restauration) ou manuelles (sauvegardes via clé USB ou via le Cloud).

Concernant Windows 7 et en dessous, vous avez peut-être une chance via la Protection du système.

Sous Windows 8 et 10, vous avez peut-être une chance via l’Historique des fichiers.

Et d’une façon générale, vous pouvez récupérer vos fichiers à partir de sauvegardes.

Note importante :

Les derniers ransomwares comme CryptoWall 4.0 désactivent la restauration du système, suppriment les sauvegardes et empêchent l’utilisation de l’assistant de réparation de Windows. Sauvegardez donc au plus vite, et donc dès maintenant, vos fichiers importants sur le Cloud et/ou sur une clé USB. Si la question du partage de vos fichiers sur le Cloud vous inquiète, n’hésitez pas à utiliser le logiciel (gratuit)  BoxCryptor permettant de chiffrer automatiquement vos fichiers avant de les envoyer à distance.

 

Comment se protéger des ransomwares ?

La plupart des éditeurs de programmes de sécurité proposent leur propre outil de désinfection :

Les ransomwares qui ne chiffrent pas les fichiers sont ainsi faciles à retirer, cependant et comme dit plus haut, les fichiers chiffrés par les ransomwares ne seront pas automatiquement récupérés en supprimant le programme ransomware lui-même.

De façon générale, voici les conseils à appliquer pour se protéger des ransomwares (les éviter et récupérer vos fichiers en cas de soucis) :

  • Sauvegardez régulièrement vos fichiers de façon chiffrée sur un service de stockage en ligne.
  • ou sauvegardez régulièrement les fichiers sur un support externe et non connecté en permanence au réseau.
  • Utiliser un antivirus et un système à jour.
  • Éviter de cliquer sur des liens trop alléchants.
  • Afficher les extensions des fichiers sur l’ordinateur.
  • Restez méfiants encore et toujours et ne cliquant que sur des programmes dont vous avez confiance.

87 Commentaires

  1. BERNARDOFF a écrit:

    Bonjour Michel- Merci pour ces informations. J’espère que mes sauvegardes sont suffisantes ainsi que le Cloud de Microsoft. Mais je me demande pourquoi Kaspersky voulait m ‘abonner à la Dropbox en plus.
    Cordialement.

  2. Mon dieu les ransomwares me font vraiment peur!

  3. Bonjour,

    Excellent article qui résume parfaitement la situation des « ramsonwares » dans un monde où la puissance des installations informatiques en constante évolution renforce considérablement le « côté obscur » de ces logiciels malveillants et intrusifs.

    L’un des plus virulents et dangereux « ramsonwares » est de type cryptoware. Généralement, lorsque vos données sont atteintes par ce « parasite », il est trop tard, enfin presque… Il est possible de récupérer la totalité de vos données mais au prix d’un effort harassant ! 🙂 C’est pour cette raison que je ne vais pas me lancer dans un tutoriel en mode « Techos » car ce n’est pas le lieux et l’objet de cet article.

    Je crois que dans ce ticket tout a été évoqué, c’est évidemment à l’utilisateur qu’incombe la lourde responsabilité d’être sûr à 100% que son matériel et ses données soient très bien protégés.

    Petite astuce du moment qui est toujours d’actualité. Pensez à configurer votre compte utilisateur Windows sans les droits Administrateurs, ET SURTOUT SURTOUT SURTOUT NE JAMAIS ACTIVER LE COMPTE « SUPER ADMINISTRATEUR » DE VOTRE OS WINDOWS !! HORMIS POUR DES OPERATIONS SPECIFIQUES TEMPORAIRES QUI NECESSITENT D’ETRE EN « SUPER ADMIN ».

    Le but de la manoeuvre est de bloquer toute tentative de manipulation ou de modification de votre système par le biais d’une installation malveillante.

    LORSQUE VOTRE OS WINDOWS VOUS OUVRE UNE FENETRE ET VOUS DEMANDE L’AUTORISATION POUR L’INSTALLATION D’UNE APPLICATION OU AUTRE SERVICE ETC. LISEZ BIEN A QUI OU A QUOI VOUS ALLEZ AUTORISER L’ACCES TOTAL A VOTRE SYSTEME D’INSTALLATION WINDOWS ! (sourires)

    A+!

  4. cristiano a écrit:

    bonjour envie d’un ami pour me suivre

  5. Jeremy martin a écrit:

    Bonjour à tous je me suis fait hacker par un ransomware pendant psg chelsea en streaming live j’ai vraiment pas moyen de casser cette saloperie j’y connais rien en piratage en plus.
    Merci

    • Bonsoir Jeremy,

      Je peux rien te garantir mais avec un peu de chance c’est possible sans trop forcer 🙂

      Quel est le nom du ransomware qui s’affiche sur ta machine ? Quel est le modèle de ton ordinateur ? Sur quel système d’exploitation tu tournes ? As-tu des points de restauration système réalisés automatiquement ?

      Si tu réponds à ces questions, peut-être que l’on pourra faire un essai avec le mode sans échec avec prise en charge réseau. Il se peut que ce ransomware l’ait désactivé, on verra d’ici là. On tentera dans ce dernier cas de lancer un disque de récupération système 🙂 J’espère que tu en as un de côté ou bien le disque Windows d’origine de ton ordinateur ???

      Dans l’attente de tes réponses sans lesquelles je ne pourrais rien faire malheureusement, je te souhaite une bonne soirée.

      A bientôt.

      • Jeremy martin a écrit:

        Merci diki de cette réponse rapide

        Alors mon pc est un Asus aspire modèle x53b tournant avec Windows 7
        J’ai chercher un point de restauration mais visiblement y en a pas.

        Pour le virus A ce que j’ai lu il s’agit d’un asymétrique encrypter avec Rsa-4096
        Comment trouver le nom du ransomware? Sur les instructions on me demande de télécharger tor-projet ça a un rapport ?

        Merci de ton aide en tout cas

        • Bonjour Jeremy,

          Visiblement ce ransomware de type cryptoware est agressif. Je ne vais pas te mentir ça sent le brûler sur tes données !

          Procédons step by step.

          Etape n°1: Dis moi d’abord avec quel navigateur internet tu as fait du streaming et avec lequel il semblerait que tu aies été infecté ? (Internet Explorer, Firefox, Google Chrome ) ?

          Etape n°2: Vérifier que ton système de restauration Windows est toujours activé ! IMPORTANT ! Retourne dans le menu « Restauration Système » de Windows, tu devrais voir s’afficher une fenêtre nommée ‘Propriétés système ». A l’intérieure de cette fenêtre regarde bien le « Disque local (C) (Système) » UN SEUL CLIC GAUCHE SOURIS SUR CE DISQUE ‘C’, normalement à côté son statut doit être « Activée ». Si ce n’est pas le cas alors clique sur l’onglet « Configurer » et active la Restauration Système de ton PC.

          Etape n°3: Tu vas maintenant tenter de démarrer en mode sans échec avec pris en charge réseau. C’est simple. Dès que tu mettras en marche ton PC en même temps appuyer répétitivement la touche de fonction intitulée « F8 » en haut de ton clavier jusqu’à ce qu’il s’affiche à l’écran une fenêtre noire avec des options écrites en blanc. A l’aide du curseur « flèche » du bas sur ton clavier descend jusqu’à la ligne intitulée:

           » Démarrer en mode sans échec avec pris en charge réseau  »

          Puis appuyer sur la touche « ENTRÉE » de ton clavier. Normalement ton ordinateur démarre en mode sans échec. A partir de là, je te propose d’aller revérifier l’historique de tes points de restauration système. DIS MOI SI TU AS UN POINT DE RESTAURATION QUI S’AFFICHE ??? Evidemment, si tu en as un qui s’affiche antérieur à la date de ton infection, lance le !! 🙂

          Etape n°4: Si tout est négatif que tu n’as aucun point de restauration, alors nous reviendrons plus tard sur la suite des opérations à suivre… (nettoyage de ton navigateur internet, analyse virale etc.) J’attends ton retour pour savoir…

          Bon courage 🙂

          • Jeremy martin a écrit:

            OK donc j’ai été infecter via internet explorer

            Hier quand j’ai chercher un point de restauration mon ordinateur ne trouvait rien et la restauration de « c » n’était pas activer mais aujourd’hui elle est apparu activer avec un point de restauration datant de cette nuit après que avast et effectuer un scan au démarrage.

            Je vient de redémarrer avec le sans échec prise réseaux et rien ne change juste le point de restauration de cette nuit apparaît.

  6. Suite pour Jeremy,

    Lorsque tu auras effectué les opérations ci-dessus, ne fais rien d’autre ! Ne surffe pas sur le Web, laisse ton ordinateur allumé. Cinfigure ton mode d’alimentation ordinateur pour qu’il ne mette JAMAIS en veille et ne s’atteint JAMAIS !

    TU VAS CRÉER MAINTENANT UN NOUVEAU COMPTE UTILISATEUR WINDOWS SAIN ET PROPRE. Comment ? Je t’explique vite fait.

    Dans le champ de « Recherche de fichiers et programmes » dans le Menu « Démarrer » en bas à gauche de l’écran Windows tu tapes ceci: ‘cmd’. C’est un petit programme Windows qui va s’afficher en résultat. Clique droit souris dessus pour l’exécuter. Une fenêtre noire « invite de commande » va s’ouvrir. Zen! 🙂 Dans cette fenêtre noire tape exactement les 2 lignes de commandes suivante suivie de la touche « ENTREE » clavier pour valider la commande.

    1er commande à taper (à la fin de la saisie tape la touche ENTREE):

    net user Administrateur /active:yes

    2ème commande à taper (à la fin de la saisie tape la touche ENTREE):

    net user Administrateur !123456!

    La première commande active le compte SUPER ADMINISTRATEUR Windows de ton ordinateur. La 2ème commande créée un mot de passe pour ce compte utilisateur « Administrateur ». C’est ce compte SUPER ADMINISTRATEUR que l’on va utiliser par la suite. OK ? 🙂

    A+! 🙂

  7. Suite à ton retour…

    Ok, j’ai pris note. Tu navigues avec I.E. J’attends ton retour pour la suite des opérations que je t’ai posté plus haut…

  8. Jeremy martin a écrit:

    OK j’ai rentrer les deux ligne de code sa me dit que la commande s’est terminer correctement et la fenêtre reste ouverte

  9. Ok. Relance l’Etape n°3 plus haut: Tu vas maintenant démarrer à nouveau en mode sans échec avec pris en charge réseau. Tu ouvriras à partir de là le compte SUPER ADMINISTRATEUR « Administrateur » que tu viens d’activer précédemment. avec son mot de passe.

    Il se peut que Windows n’affiche pas le compte « Administrateur » au démarrage du mode sans échec avec prise en charge réseau. Relax, c’est pas grave. Si tel est le cas je t’expliquerais comment faire, c’est simple…

  10. Passons à quelques installations classiques d’utilitaires sur ton compte SUPER ADMIN Windows.

    Rends toi sur les liens de téléchargement suivant et installe les outils sur ton compte SUPER ADMINISTRATEUR Windows:

    « MALWAREBYTES »: https://fr.malwarebytes.org/

    Si tu n’as pas de logiciel antivirus sur ton PC installe AVIRA FREE vers le lien suivant: http://www.avira.com/fr/avira-free-antivirus.

    Une fois installé tu activeras les utilitaires gratuits « Protection navigateur » et « System SpeedUp » de AVIRA. C’est simple il suffit de cliquer sur l’icône Avira en bas à droite de l’écran.

    Une fois tout installé, exécute-les pour lancer une analyse virale complète avec MALWAREBYTES + ANTIVIRUS AVIRA

    Au terme des analyses, !!! PRENDS LE SOIN DE NOTER TOUS LES NOMS DES VIRUS ET SPYWARES DÉTECTES SUR UN PAPIER !!! 🙂

    ENSUITE LANCE LA MISE EN QUARANTAIRE DE TOUS CES FICHIERS SUSPECTS ET VIRUS EN TOUT GENRE sur MALWAREBYTES et AVIRA.

    Ces opérations sont une précaution pour être certain que ton compte SUPER ADMIN n’ait pas été infecté durant son installation avec le ransomware.

    Ca nous laisse un peu de temps pour nous concerter plus tard Je dois filer à ce soir ! 🙂

    • Jeremy martin a écrit:

      Me revoilà ☺

      Alors j’ai bien installer malwarebytes mais mon ordi n’à pas installer avira !!!
      Il dit qu’il ne peut pas accéder à l’installateur Windows
      J’ai déjà avast dessus ça fait quelque chose ??

      Je fait quoi du coups ?

      C’est normal aussi qu’internet explorer n’existe pas sur le compte super admin ?

      • Bonsoir Jeremy,

        Je te propose de désinstaller Avast, A PARTIR DE TON COMPTE SUPER ADMINISTRATEUR, puis installe à nouveau AVIRA FREE et sélectionne la version Pro d’essai de 15 jours ça mange pas de pain. Idem pour MALWAREBYTES, as-tu activé la version Pro d’essai de 15 jours ?

        Concernant Internet Explorer rassure toi il ne peut pas être désinstallé. Certainement qu’il n’apparaît plus en icône sur le bureau Windows. Recherche Internet Explorer dans le Menu Démarrer en bas à gauche de l’écran Windows, tape « Internet Explorer », il devrait s’afficher puis clique dessus.

        Une fois que tu auras désinstallé Avast et installé AVIRA Pro, il va falloir laisser le temps au temps 🙂

        Maintenant, il va falloir sécuriser ton compte utilisateur Windows qui a été infecté par le ransomware. IL FAUT IMPÉRATIVEMENT QUE TU CHANGES LE MOT DE PASSE DE TON COMPTE UTILISATEUR WINDOWS DU COMPTE WINDOWS INFECTE. Tu peux le faire à partir de la session SUPER ADMINISTRATEUR, no souci.

        ATTENTION NE CHANGE PAS LE MOT DE PASSE DU COMPTE SUPER ADMINISTRATEUR SUR LEQUEL TU ES ACTUELLEMENT 🙂

        Dès que tu auras installé AVIRA PRO sur ton compte SUPER ADMINISTRATEUR, lance une mise à jour de la base virale Avira. C’est simple c’est dans un des onglets de Avira.

        Ensuite ne lance aucune analyse puisque c’est déjà fait normalement;

        Une fois le mot de passe changé de ton compte Windows infecté, ferme le compte utilisateur SUPER ADMINISTRATEUR, et ouvre le compte utilisateur Windows infecté.

        Dans le tableau de bord MALWAREBYTES, dans l’onglet « ANALYSE » sélectionne « Analyse personnalisée », puis sélectionne tous les disque dur locaux qui s’affichent. Termine en cliquant sur « Analyser maintenant ».

        Je suis désolé mais cette opération va prendre du temps, mais elle est nécessaire. Lorsqu’elle sera finie, SUPPRIME TOUS LES FICHIERS SUSPECTS ET MALVEILLANTS DÉTECTÉS par Malwarebytes.

        C’est pas fini ! 🙂 En même temps rends toi dans le menu « Scanner » de AVIRA, clique sur l’onglet intitulé « Configuration » en haut à droite. Coche « Tous les fichiers », coche dans priorité du Scanner « Elevée ». Sélectionne dans le bloc « Autres réglages » TOUT SAUF « Ignorer les fichiers et les chemins sur les lecteurs réseaux ». Clique sur « Accepter » puis « OK ».

        Sélectionne « Scan des lecteurs locaux », puis clique droit sur l’icône « loupe » juste dessus pour lancer l’analyse complète Avira.

        Il reste maintenant qu’à patienter…

        N’oublie pas de SUPPRIMER TOUS LES FICHIERS MALVEILLANTS DÉTECTÉS ! 🙂

        PS; ton navigateur Internet Explorer devra être fermé durant l’analyse désolé.

  11. Jeremy martin a écrit:

    OK ça marche je lance tes procédures merci beaucoup

    Par contre même en cherchant dans la barre de recherche du menu démarrer internet explorer n’est pas trouver t’en dit quoi ?

    • Tapes simultanément les touches « Windows + R »

      Dans la fenêtre qui apparaît tape: iexplore.exe -extoff

      Clique sur « OK »

      Internet Explorer sans modules complémentaires devrait s’ouvrir normalement ? 🙂

    • Oui redémarre puis suis cette procédure:

      Tapes simultanément les touches « Windows + R »

      Dans la fenêtre qui apparaît tape: iexplore.exe -extoff

      Clique sur « OK »

      Internet Explorer sans modules complémentaires devrait s’ouvrir normalement ? 🙂

  12. non mais par précaution installe la dernière version d’Internet Explorer à partir de ce lien officiel Microsoft:

    http://windows.microsoft.com/fr-fr/internet-explorer/ie-11-worldwide-languages

    On verra ensuite si tu as une ancienne version on pourra la désinstaller. D’ailleurs c’est beaucoup mieux vu ta situation ! 🙂

  13. JE TE CONSEILLE D’INSTALLER LA DERNIERE VERSION INTERNET EXPLORER AU TERME DE L’ANALYSE ANTIVIRALE MALWAREBYTES ET AVIRA ! 🙂

    • Jeremy martin a écrit:

      OK mais je vient de desinstaller avast et pourtant toujours pas moyen d’installer avira ????

      Le message afficher est le suivant
      Impossible d’accéder au service Windows installer. Ceci peut se produire si le programme d’installation Windows n’est pas bien installer

      Au faite je t’écrit depuis la tablette donc pas de souci si je doit fermer le navigateur

  14. Es-tu certain d’avoir bien désinstallé Avast ?

    Vérifie dans « Panneau de configuration » et « Programmes et fonctionnalités » pour voir si Avast est bien désinstallé ?

  15. Vérifie dans la section suivante tu devrais trouver Internet Explorer:

    Clique sur le bouton Démarrer (en bas à gauche de l’écran), sur Programmes, sur Accessoires, sur Outils système puis sur Internet Explorer (sans module complémentaire).

    Tu trouves ? 🙂

  16. Réinstalle Avira Pro sur ton compte compte Windows actuel

  17. Laisse tes navigateurs internet fermés pour l’instant 🙂

    • Jeremy martin a écrit:

      Sur le compte pirater je l’installe ?
      Je change juste de compte ? 😊 désoler mais pas envie de faire conneries lol
      Je telecharge avira avec chrome ou ie ?

  18. Enfin normalement tu as le fichier d’installation Avira d’enregistré sur ton bureau Windows, pas besoin de navigateur

  19. Si l’installation Avira échoue no souci, laissons ça de côté. Laisse terminer l’analyse MALWAREBYTES PRO sur ton compte infecté. Puis supprime tous les fichiers détectés. On verra ensuite 🙂

  20. Au fait Jeremy, tu ne m’as pas répondu au sujet du CD Windows. As-tu un CD d’installation Windows 7 d’origine ?

    Je te pose cette question car c’est pratique pour réinstaller des fonctionnalités Windows qui ont disparu ou ont été modifié/supprimé par exemple 🙂

  21. Jeremy martin a écrit:

    Alors de retour sur le compte pirater avast est toujours là alors qu’il n’apparaît pourtant plus dans programme est fonctionnalité
    Et je ne trouve pas le fichier installateur de avira

  22. Bon, on va adopter une autre technique pour désinstaller Avast.

    Télécharge et installe le DESINSTALLATEUR AVAST sur le site officiel suivant: https://www.avast.com/fr-fr/uninstall-utility

    Désactive le système d’autoprotection Avast s’il est toujours actif dans l’icône en bas à droite de l’écran.

    Ensuite installe tranquilou Avira Pro, mets le à jour et suis la procédure de configuration Avira que je t’ai posé plus haut puis lance l’analyse Avira. OK ? 🙂

  23. Jeremy martin a écrit:

    Il a desinstaller avast ok il me demande un redémarrage faut le faire ou pas ??

    • Oui redémarre puis suis cette procédure:

      Tapes simultanément les touches « Windows + R »

      Dans la fenêtre qui apparaît tape: iexplore.exe -extoff

      Clique sur « OK »

      Internet Explorer sans modules complémentaires devrait s’ouvrir normalement ? 🙂

  24. Evidemment relance les 2 analyses antivirales MALWAREBYTES PRO et AVIRA PRO. On a pas le choix 🙂

  25. Jeremy martin a écrit:

    Attend tu m’à perdu la lol 😉

    La je suis sur mon compte pirater et je vient de desinstaller avast je m’apprête à redémarrer sans antivirus

    L’ordi va t’il rester en mode sans échec de lui même ?
    Une fois redémarrer je vais sur quel compte pour installer avira et lancer mes scan ?

  26. Désolé, oui il faut que tu ouvres le comptes SUPER ADMIN pour installer AVIRA PRO et le mettre à jour.

    Ensuite tu fermes le SUPER ADMIN, et tu ouvres le compte Windows piraté. Et tu lances MALWAREBYTES et AVIRA en analyse comme je te l’ai expliqué plus haut (revoir la procédure de configuration AVIRA et de MALWAREBYTES).

    Tu laisses en arrière plan les analyses antivirales.

    Ensuite Tapes simultanément les touches « Windows + R »

    Dans la fenêtre qui apparaît tape: iexplore.exe -extoff

    Clique sur « OK »

    Internet Explorer sans modules complémentaires devrait s’ouvrir normalement ? 🙂

  27. Jeremy martin a écrit:

    OK je me suis remis en mode sans échec avec prise en charge réseaux pour faire ça j’ai bien fait ?

  28. Jeremy,

    OUVRE INTERNET EXPLORER AVEC LA COMMANDE QUE JE T’AI FOURNI C’EST IMPORTANT !!! 🙂 IL NE FAUT PAS OUVRIR INTERNET EXPLORER AVEC LES MODULES COMPLEMENTAIRES CAR TA MACHINE EST INFECTÉE PAR UN RANSOMWARE! 🙂

    Si tu ouvres normalement Internet Explorer tu auras certainement le ou les modules complémentaires d’actifs du RANSOMWARE !

  29. Jeremy martin a écrit:

    Il veut pas l’installer une fois de plus 😵

  30. OK. LAisse terminer l’analyse complète de MALWAREBYTES c’est IMPORTANT 🙂 On verra ensuite..

  31. Jeremy martin a écrit:

    Même depuis ie sans module avira veut pas s’installer

  32. OK. Il faut laisse MALWAREBYTES terminer son travail. Je suis persuadé que tu as pas mal d’infections à supprimer avec MALWAREBYTES. Je te déconseille de surffer sur le Web pendant l’analyse.. Au pire si vraiment tu es contraint d’aller sur internet réinstalle Avast, mais à ce stade ton système Windows a des soucis c’est clair. IL TE FAUDRA LE CD D’INSTALLATION WINDOWS POUR REPARER CERTAINES FONCTIONNALITES WINDOWS DE TON OS 🙂

  33. Au fait j’ai l’impression que tu utilises que Internet Explorer ??

    Il faut utiliser Google Chrome par exemple pour isntaller AVIRA PRO! 🙂 Télécharge AVIRA à partir de ta tablette, mets le fichier d’installation AVIRA sur une clé USB et installe AVIRA via ce fichier copié/collé à partir de ta clé USB sinon.

    • Jeremy martin a écrit:

      J’ai utiliser chrome pour essayer d’installer avira sur le compte admin
      OK je vais essayer avec la clé usb

      • Bonjour Jeremy,

        Quels résultats à donner l’analyse MALWAREBYTES ? As-tu noter les virus détectés par Malwarebytes avant de les supprimer ?

        Au sujet du bureau Windows et des documents « disparus », cela est certainement dû au fait que tu as ouvert ton compte « infecté » en mode sans échec, c’est normal 🙂

        Au fait, pour installer AVIRA PRO il faut que tu ouvres ton compte SUPER ADMINISTRATEUR normalement sans le mode sans échec! 🙂 As-tu réinstallé AVIRA PRO ?

        Maintenant il va falloir vérifier le « PROPRIÉTAIRE » de tes documents infectés par le « ransomware » et leur date de modification. Pas tous mais juste 5 ou 6. C’est assez simple. Tu cliques droit sur un document infecté, tu sélectionnes « Propriétés », puis tu cliques sur l’onglet « Sécurité », puis en bas de la fenêtre qui s’ouvre clique sur l’onglet « Avancé ».

        Normalement tu vas pouvoir vérifier le nom du « Propriétaire » du document ou dossier en question en haut de la fenêtre.

        Prends des notes sur papier. Si le nom du propriétaire est autre chose que « système » ou « toi » ou « Administrateurs » ou « Utilisateurs » ou « Administrateurs authentifiés », note les sur un papier puis retourne-moi les ici ! 🙂

        Essaie de revenir avec toutes les réponses sur ton prochain commentaires, ceci pour éviter que l’on se perde dans les séquences des opérations, merci 🙂

      • Rebonjour Jeremy,

        Je pars du principe que tu as effectué l’ensemble des tâches que je t’ai posté plus haut aujourd’hui ?

        Si c’est le cas alors tu as certainement du recouvrer tes documents sur ton bureau en ouvrant ton compte utilisateur infecté normalement (sans mode sans échec) ? Maintenant ton utilisateur infecté est nettoyé et protégé. J’attends tes retours en rapport avec mon commentaires précédent ?

        Si tes documents ont bien été chiffrés par un « ransomware » si tu tentes de les ouvrir on va certainement te demander un mot de passe pour déchiffrer tes documents, est-ce le cas ?

        Si oui, il doit certainement s’afficher des informations, lesquelles ???

        Dès que tu m’auras répondu à toutes ces questions, alors nous pourrons envisager de continuer plus loin dans notre analyse. Je devrais si possible récupérer un fichier chiffré avec une copie de ce même document NON CHIFFRE. C’EST IMPORTANT, LIS BIEN CE QUE JE TE DEMANDE. TU DOIS CERTAINEMENT AVOIR SUR UNE CLE USB OU DISQUE DUR EXTERNE DES COPIES DE DOCUMENTS NON CHIFFRES ?

        Pourquoi ? Pour espérer pouvoir déchiffrer tes documents, il faudra utiliser une copie de document non chiffré avec son « jumeau chiffré » par l’infection (ransomware »). Tu me suis ? 🙂

        Si la clé de cryptage est la même alors on aura une chance de déchiffrer la totalité des documents chiffrés parle « ransomwre », enfin j’espère ! 🙂

  34. Tu as bien lancé un ANALYSE PERSONNALISÉE MALWAREBYTES?

    Fais exactement comme expliqué dans la procédure que je t’ai posté plus haut au sujet de MALWAREBYTES. OK ?? 🙂

  35. Jeremy martin a écrit:

    OK je laisse le scan se faire

    Par contre le bureau du compte pirater à changer j’ai plein de dossier qui ont disparu en faite maintenant il est comme celui du compte super admin mais avec internet explorer en plus c’est étrange lol comme tu dit mon ordi est mal en point. 😨😨😨 je croit pas que j’ai le cd mais je peut en trouver un. Je compte pas utiliser mon ordi pour autre chose que son sauvetage j’ai la tablette en attendant 😊😊

    • Bonjour Jeremy,

      Quels résultats à donner l’analyse MALWAREBYTES ? As-tu noter les virus détectés par Malwarebytes avant de les supprimer ?

      Au sujet du bureau Windows et des documents « disparus », cela est certainement dû au fait que tu as ouvert ton compte « infecté » en mode sans échec, c’est normal 🙂

      Au fait, pour installer AVIRA PRO il faut que tu ouvres ton compte SUPER ADMINISTRATEUR normalement sans le mode sans échec! 🙂 As-tu réinstallé AVIRA PRO ?

      Maintenant il va falloir vérifier le « PROPRIÉTAIRE » de tes documents infectés par le « ransomware » et leur date de modification. Pas tous mais juste 5 ou 6. C’est assez simple. Tu cliques droit sur un document infecté, tu sélectionnes « Propriétés », puis tu cliques sur l’onglet « Sécurité », puis en bas de la fenêtre qui s’ouvre clique sur l’onglet « Avancé ».

      Normalement tu vas pouvoir vérifier le nom du « Propriétaire » du document ou dossier en question en haut de la fenêtre.

      Prends des notes sur papier. Si le nom du propriétaire est autre chose que « système » ou « toi » ou « Utilisateurs » ou « Utilisateurs » ou « Administrateurs authentifiés », note les sur un papier puis retourne-moi les ici ! 🙂

      Essaie de revenir avec toutes les réponses sur ton prochain commentaires, ceci pour éviter que l’on se perde dans les séquences des opérations, merci 🙂

  36. Oui, il fallait s’en douter. Peux tu vérifier si tu as un point de restauration automatique de créer ? Normalement le système a du t’en créer.

    Laisson MALWAREBYTES terminé. Je t edonne rdv à demain si j’ai un peu de temps je viendrais faire un tour 🙂

    • Rebonjour Jeremy,

      Je pars du principe que tu as effectué l’ensemble des tâches que je t’ai posté plus haut aujourd’hui ?

      Si c’est le cas alors tu as certainement du recouvrer tes documents sur ton bureau en ouvrant ton compte utilisateur infecté normalement (sans mode sans échec) ? Maintenant ton utilisateur infecté est nettoyé et protégé. J’attends tes retours en rapport avec mon commentaires précédent ?

      Si tes documents ont bien été chiffrés par un « ransomware » si tu tentes de les ouvrir on va certainement te demander un mot de passe pour déchiffrer tes documents, est-ce le cas ?

      Si oui, il doit certainement s’afficher des informations, lesquelles ???

      Dès que tu m’auras répondu à toutes ces questions, alors nous pourrons envisager de continuer plus loin dans notre analyse. Je devrais si possible récupérer un fichier chiffré avec une copie de ce même document NON CHIFFRE. C’EST IMPORTANT, LIS BIEN CE QUE JE TE DEMANDE. TU DOIS CERTAINEMENT AVOIR SUR UNE CLE USB OU DISQUE DUR EXTERNE DES COPIES DE DOCUMENTS NON CHIFFRES ?

      Pourquoi ? Pour espérer pouvoir déchiffrer tes documents, il faudra utiliser une copie de document non chiffré avec son « jumeau chiffré » par l’infection (« ransomware »). Tu me suis ? 🙂

      Si la clé de cryptage est la même alors on aura une chance de déchiffrer la totalité des documents chiffrés par le « ransomware », enfin j’espère !

  37. Jeremy martin a écrit:

    Salut diki

    Désoler hier j’ai eu peut de temps à passer sur l’ordi du coup je suis toute tes procédures et une fois que j’ai tout fait je te fait le topo. En tout cas merci de ton coup de main mec 👍👍👌👌😃😃

    • Salut Jeremy,

      N’oublie pas ce point-là, si tu es contraint d’ouvrir Internet Explorer, fais le comme je te l’ai expliqué plus haut de façon sécurisée:

      Tapes simultanément les touches « Windows + R »

      Dans la fenêtre qui apparaît tape: iexplore.exe -extoff

      Internet Explorer s’ouvrira sans les modules complémentaires d’activés, c’est plus sécurisé 🙂

      On vérifiera une fois que tu auras tout terminé si certains modules complémentaires liés au « ransomware » sont toujours présents. Normalement ils devraient avoir été supprimé par les analyses antivirales…

  38. Jeremy martin a écrit:

    Salut diki.

    Alors malwarebytes et avira on fait leur analyse et on peut dire que mon ordi était dans un salle état.

    Malwarebytes à trouver 768 fichiers dont la plupart était des programmes PUP et voici les programmes malveillant qu’il à détecter
    1- trojan.fakeMS ( une ligne fichier et trois ligne clé du registre )
    2- adware.Boxore (une ligne fichier)
    3- trojan.shadowdeleter ( 4 ligne fichier )
    4- trojan.clicker.fms ( une ligne dossier et 7 ligne fichier dont une répéter 6 fois )

    J’ai donc supprimer les fichiers après l’analyse.
    Parmis les fichiers PUP j’ai noter d’ou il provenait par exemple imminent, holà search, nosibay, coupon bar, buble dock, Wind app, bit guard et yontoo.

    En ce qui concerne avira il a pas trouver énorme mais une ligne m’à interpeller (peut être à tord lol )
    TR\crypt.ZPACK.227311

    Ensuite j’ai vérifier le propriétaire des fichier et ça dit
    – jerem (jerem-PC\jerem)
    Je suppose donc que c normal ?
    J’ai vérifier sur un peut moins d’une dizaine de fichier et j’ai comparer en regardant le propriétaire d’une vidéo car bizarrement mes vidéo ne sont pas toute crypter et c marquer pareil.

    Ensuite quand je cherche à ouvrir un fichier il ne me demande aucun mot de passe.
    Si tu veut tout les fichiers (photo, docu word………..) affiche tous la même icône de programme d’ouverture ( icône de fichier vidéo sur une photo par exemple ) donc quand je veut ouvrir il me dit que j’ai’pas le bon programme. J’ai donc fait « ouvrir avec  » et sélectionner un programme correspondant. Il me marque alors un message d’erreur avec le code suivant
    « 0x800706ba »

    J’espère ne pas avoir oublier de procédure 😊

    Ah et même en mode sans échec mes dossier ont toujours disparu du bureau infecter. Et quand je me suis réveiller ce matin l’ordi était éteint. Voilà où j’en suis j’attend la suite des opérations merci encore ^^

  39. Jeremy martin a écrit:

    Ah et oui j’ai les copies de certains des fichiers crypter 😉

    • J’oubliais Jeremy,

      Peux-tu me dire quelle(s) est (sont) l’extension(s) des fichiers cryptés ?

      Pour faire apparaître leur extension va dans « Panneau de Configuration » => « Options de l’explorateur de fichiers » (ou Options Dossiers)

      Clique sur l’onglet « Affichage » ET décoche « Masquer les extensions des fichiers… » ET « Masquer les fichiers protégés du système… »

      Ensuite tu pourras à partir de l’explorateur de fichiers WIndows standard voir l’extension des fichiers cryptés. OK ? 🙂

    • Jeremy,

      Après avoir fait tout ce que je t’ai posté plus haut, il va falloir réinitialiser ton navigateur internet explorer.

      Appuie simultanément touches « WINDOWS + R » et tapes:

      iexplore.exe -extoff

      Clique sur le bouton Outils, puis sur Options Internet.

      Clique sur l’onglet Avancé, puis sur Réinitialiser.

      Active la case « Supprimer les paramètres personnels », puis valide l’opération.

      Dans la boîte de dialogue Réinitialiser les paramètres d’Internet Explorer, clique sur Réinitialiser.

      Une fois la réinitialisation effectuée, clique sur Fermer, puis sur OK.

      Ferme Internet Explorer, tu peux le relancer et l’utiliser normalement..

  40. Avant de te répondre, as-tu réaliser un point de restauration système manuel ?

    Si non, fais en un tout de suite 🙂

    Pour passer le temps, relance une analyse personnalisée MALWAREBYTES, ça ne mange pas de pain…

  41. Rebonsoir Jeremy,

    Effectivement, tu as bien été infecté par un « ransomware » générique via une source vidéo ou un codec vidéo ou via site web.

    Première chose à faire tout de suite, LANCE UNE RECHERCHE DE MISE A JOUR WINDOWS UPDATE PUIS INSTALLE LES MISES A JOUR MANQUANTES. Au terme de l’installation des mises à jour, s’il y en a, redémarre ta machine.

    Ensuite cette histoire de mauvais programme par défaut me semble bizarre. Es-tu passé par « Panneau de Configuration » => « Programmes par défaut »=> « Associer un type de fichier ou un protocole à un programme » ?

    Si non, fais-le et change chaque type de fichier à ouvrir avec son programme associé.

    A tout de suite…

    • Jeremy,

      Après avoir fait tout ce que je t’ai posté plus haut, il va falloir réinitialiser ton navigateur internet explorer.

      Appuie simultanément touches « WINDOWS + R » et tapes:

      iexplore.exe -extoff

      Clique sur le bouton Outils, puis sur Options Internet.

      Clique sur l’onglet Avancé, puis sur Réinitialiser.

      Active la case « Supprimer les paramètres personnels », puis valide l’opération.

      Dans la boîte de dialogue Réinitialiser les paramètres d’Internet Explorer, clique sur Réinitialiser.

      Une fois la réinitialisation effectuée, clique sur Fermer, puis sur OK.

      Ferme Internet Explorer, tu peux le relancer et l’utiliser normalement..

      • Bonjur Jeremy,

        Je suppose que tu as terminé l’ensemble des opérations de nettoyage et de sécurisation de ta machine…

        Je te propose de terminer en beauté cette phase là en téléchargeant STOPZILLA ici:

        http://www.stopzilla.com/

        Installe STOPZILLA et lance une analyse. Certainement que AVIRA détectera quelque chose puisque c’est un fichier exécutable ‘.exe ». Rassure toi STOPZILLA est réputé et très connu. Evidemment, tu mettras en quarantaine tout ce qui aura été détecté par STOPZILLA.

        Ensuite il faudrait juste que tu ailles dans le gestionnaire de tâches WIndows pour vérifier si un processus nommé « TR\crypt.ZPACK.227311 » existe ??

        Normalement tu ne devrais pas l’avoir. Si oui, clique droit dessus et « Arrêter le processus » d’URGENCE! 🙂

        Maintenant que tout est OK, j’attends tes feedbacks… As-tu réussi à ouvrir avec le bon programme associé tes fichiers ? Si non, quelle est l’extension de tes fichiers infectés ?

  42. depuis que internet est devenu un accès tout publiques, les virus et autres malwares spywares, les troyens etc.. ont fait leurs apparitions pour tenter de bloquer, pirater nos PC, surtout depuis windows. Les règles de base n’ont pas changé, il faut sauvegarder ces fichiers sensibles, photos perso etc.. Il faut aussi ne pas télécharger n’importe quoi n’importe ou, ne pas non plus ouvrir telle ou telle e mail sans être sur de l’expéditeurs, se m »fier des pièces jointes douteuse même si ont connait la personne qui l’a envoyé, éviter d’ouvrir les mails avec juste une pièce jointe sans que le dite mail ai un texte. Il vos mieux demander à l’expéditeur ce que contient le fichier avant de l’ouvrir. Se sont des petites choses toutes bêtes mais qui peuvent éviter bien des désagrément. Un autre moyen consiste à sauter le pas et passer de windows à un linux ou android. Bien qu’ils y ai quasiment pas de virus sous linux puisque la majorités des PC vendu dans le monde sont sous windows, la majorités des virus sont écris pour windows

    • Bonjour,

      Lorsque l’on évoque l’inventaire des différentes menaces et des multiples dangers de l’internet auxquels nous sommes potentiellement confrontés, il faut être conscient que l’internet est un très vaste Océan numérique.

      Depuis l’apparition des navires, des pirates ont choisi d’affronter des territoires inconnus pour s’approprier les biens d’autrui… Aujourd’hui, rien n’a changé hormis les moyens et les techniques de transport.

      Heureusement, l’Homme a su créer de nouveaux outils permettant aux utilisateurs de l’internet de naviguer grâce à des « machines virtuelles ». De nos jours, la virtualisation de « machines » offre aux internautes plus de liberté et de sécurité pour surfer sur l’internet.

      La « machine » de demain deviendra une extension numérique de chaque individu évoluant dans une mécanique sociétale numérisée, plus communément appelée: « Big Data ».

      La menace perdurera toujours, car l’Homme restera une menace pour lui-même et le monde qui l’entoure. Ça me fait penser à une série TV « Person of Interest », vous connaissez ? 🙂

      Revenons à des choses plus terre à terre ! 🙂

      Prochainement, je publierai un article intitulé « Initiation à la virtualisation »
      L’idée générale de cet article sera de vous conduire à mettre en place et utiliser simplement une « machine virtuelle » sur votre machine physique (ordinateur). A partir de là, la menace croissante et constante de piratage, d’intrusion ou d’infection virale sera quasiment éliminée, puisque seule la « machine virtuelle » sera visible sur l’internet… Toutes vos données ainsi que votre ordinateur physique seront confinés, sécurisés et désolidarisés de votre « machine virtuelle ».

      PS: j’espère que mes propos n’ont choqué personne !?! 🙂

  43. Pingback: Introduction à l'analyse de malwares – Le Blog du Hacker

  44. salut Diki,

    je vois que tu as posté sur un autre site à propos de https://ransomfree de cybereason.com/ Utile ou pas ?

    Vu la galère lue ci-dessus pour Jérémy, et même si ce soft ne peut être parfait, il vaut mieux prévenir un minimum, non ?

    bon week end 😉

    Woody

  45. Bonjour Woody,

    Sur le principe je suis d’accord avec toi Woody, mais croire que l’on peut faire totalement confiance à un logiciel de protection est un leurre. Le facteur clé déclencheur des attaques de type « rançongiciel » est l’être humain en personne et ses mauvaises habitudes…

    J’ai pu à maintes reprises constater que certains ransomwares notamment « Odin » sont capables de traverser n’importe quelle « ligne de défense » malgré toutes les mesures de protection hardware et software mises en place.

    De mémoire, j’avais déjà mentionné l’exemple d’un grand organisme de crédit français réputé où j’étais intervenu. Quelle fut ma surprise lorsque je me suis connecté sur un des postes utilisateur (salarié) pour finalement constater que la totalité du contenu de son lecteur réseau partagé avec d’autres utilisateurs (salariés) avait été attaqué par « Odin » ! 🙂

    Évidemment, j’ai de suite coupé ma connexion à distance pour ensuite me reconnecter avec une « machine mouton ».

    Tu vas certainement me dire: « Avec toutes les mesures de protection et de sécurisation déployées au sein de ce grand organisme de crédit français, comment un ransomware comme « Odin » a-t-il pu se propager et crypter la totalité des documents confidentiels de ce groupe d’utilisateurs !?! »

    La réponse est évidente, à l’origine quelqu’un n’a pas respecté les directives de sécurité de la boite ! 🙂

    Le plus surprenant durant mon investigation est d’avoir constaté que « Odin » avait réussi à se propager à travers toute la couche des versions antérieures de tous les documents du lecteur réseau utilisateurs attaqué !

    Veux tu savoir comment ? C’est encore à cause d’un idiot d’auditeur privé (prestataire externe) qui a eu l’idée géniale de redescendre sur le profil utilisateur (salarié) les versions précédentes des documents attaqués et cryptés par Odin 🙂 On appelle ça un « effet de cascade », Odin a donc automatiquement crypté les documents restaurés à partir du lecteur réseau utilisateurs ! LoL! 🙂

    Tu as certainement compris ici qu’il aurait fallu sécuriser au préalable le profil utilisateur en question avant de débuter de telles manipulations avec Odin en pleine action 🙂

    Tout ceci pour dire qu’aucune mesure de protection ou de sécurisation n’est en mesure d’anticiper et d’agir contre les erreurs accidentelles ou les mauvaises habitudes de l’utilisateur et de façon plus générale contre la « nature humaine »…

    A+!
    Diki

  46. merci Diki, comme d’hab’ !

    est-ce que Jeremy aurait été protégé avec Ransomfree?

  47. Rebonjour Woody,

    Visiblement, je doute que Ransomfree aurait pu le protéger au départ de l’attaque. Le principe de fonctionnement d’un tel programme ransongiciel est basé généralement sur le fonctionnement d’une e-bombe de décompression. Ce n’est pas un virus ! Et c’est la toute la subtilité 🙂 La contre mesure (antivirus et autres protections) va tenter d’analyser ce processus « e-bombe de décompression » ce qui va automatiquement impacter et monopoliser toutes les ressources de la machine (système, antivirus etc.). Pendant ce temps, le ransomware n’aura plus qu’à attendre le moment opportun pour s’introduire via une « porte ouverte » que la contre mesure n’a pas eu le temps de détecter ! 🙂

    Notons quand même que la machine de Jeremy n’avait aucun point de restauration système (désactivé). Par ailleurs vu son résultat rendu par Malwarebytes il ne fait aucun doute que sa machine était hautement fragilisée depuis belle lurette. Dans la mesure où un ransomware accède par une « porte ouverte » à une machine (via une clé USB ou un portail Web…) c’est déjà trop tard étant donné que le ransomware s’est déjà propagé sur le réseau de l’utilisateur.

    La meilleure mesure à prendre contre une attaque de type ransongiciel est de réinstaller complètement sa machine à partir d’un backup externe complet et sécurisé le plus récent, et bien évidemment de chiffrer ses disques durs.

    PS: tu remarqueras que Ransomfree ne parle par du ransomware « Odin »…, étrange non ? Pas tant que ça vu qu’il n’existe à ma connaissance que des parades logiciels permettant de supprimer les fichiers infectés par des ransomwares, et elles ne garantissent pas le résultat final ! 🙂

    A+!
    Diki

    • crypter avec DiskCryptor par exemple ?

      • Oui, DiskCryptor fait parti de l’éventail des logiciels de chiffrement de disque dur les plus connus. Il faut quand même garder à l’esprit qu’au moindre problème matériel ou système durant le chiffrement des données de son disque dur, on risque de tout perdre de façon irréversible !

        C’est pour cette raison que j’utilise pour l’instant la solution libre VeraCrypt. Elle me permet de chiffrer uniquement les données sensibles de mes disques durs par l’intermédiaire d’un « disque dur virtuel », sans pénaliser mon travail en cours.

        Avantage non négligeable, lorsque la machine démarre, aucun volume crypté n’est accessible, il faut obligatoirement lancer VeraCrypt en Administrateur pour monter son disque dur crypté et l’associer à un nouveau volume temporaire (« disque dur virtuel »). Ce dernier sera le point d’entrée des données à chiffrer ou inversement. Au terme du transfert des fichiers à chiffrer ou déchiffrer, il suffira de démonter le « disque dur virtuel » pour rendre inaccessible le disque dur physique chiffré. Ce dernier sera donc vu par la machine comme un volume « non formaté ». Cool! 🙂

Laisser un commentaire

Lire plus :
Investigation numérique : Retrouver des traces d’un pirate

L'investigation numérique tirée de l'anglais "computer forensics" consiste à retrouver des traces laissées sur un support numérique. Typiquement il s'agit...

Fermer