Oui, je sais, certains vont dire que je me répète, ( en même temps je ne rajeunis pas…) mais actualité oblige, il faut absolument que je vous parle du dernier Rançongiciel à la mode ( sic ! ) Petya, qui va faire des dégâts !
Je ne voulais pas particulièrement faire un énième article sur le sujet, mais vu que même France Info en a parlé le 31 Mars dernier, je me disais qu'il fallait absolument qu'Sospc ait ( aussi ) son mot à dire !
Si vous venez régulièrement me voir ( merci à vous au passage…) vous êtes malheureusement au courant que Cerber et Locky deux Ransomware redoutables sont en vadrouille actuellement.
Je rappelle rapidement la ' blague ' : vous cliquez sur une pièce jointe sans réfléchir ( désolé ça c'est la réalité…) et au redémarrage suivant vos données ont été cryptées et on vous demande une rançon ( dans le cas présent cela équivaut à 350€…) pour obtenir la clé unique de décryptage afin de retrouver l'accès à vos ( précieuses ) données !
Petya c'est pire.
Malheureusement, le petit dernier surclasse tous les autres car lui ' s'installe en plus ' sur le MBR ( Master Boot Record, zone d'amorce ) ou la GPT (Guid Partition Table) suivant votre B.I.O.S.
Pour rappel cette zone se situe au tout début du disque, elle est invisible dans votre explorateur Windows mais elle est cruciale, elle contient toutes les données indispensables pour gérer le démarrage du disque, de Windows et entre autres, son partitionnement ( pour en savoir plus cliquez ICI ).
Résultat : avant même de songer à tenter de nettoyer l'ordinateur, il faut d'abord réparer cette zone de démarrage cruciale de votre Disque dur.
Vous venez de comprendre, le malheureux internaute n'est pas sorti de l'auberge ( faudrait d'abord qu'il la trouve…).
Bon, là, pour une fois, je ne vous répéterai pas toutes les consignes et les précautions de bon sens à observer, ( je dois dire que j'en ai assez… ) je ne dirai qu'une seule chose : SAUVEGARDEZ régulièrement vos données, c'est la seule parade vraiment 100% efficace.
Sachez tout de même que la plupart des Antivirus de qualité ( c'est à dire payant… ) sont capables de vous protéger.
***
Symptôme qui doit vous alerter.
Vu que je suis plutôt pessimiste sur le comportement humain, les mêmes erreurs conduisant aux même conséquences, ( les historiens appellent cela les leçons de l'histoire…) je vais vous expliquer à quoi vous attendre et quelle attitude adopter si cela vous arrivait.
Vous cliquez sur la fameuse pièce jointe ou sur un lien ( dans le cas présent il mène vers un contenu Dropbox…) et au bout de quelques secondes votre ordinateur redémarre et ce banale écran s'affiche ( parfois accompagné d'un écran bleu juste avant ):
Je sais ce que vous dites : What's the problem ? ( oui je suis bilingue…enfin le Week-End seulement ).
Eh bien si vous laissez cette opération arriver à son terme, TOUTES vos données auront été cryptées, oui, c'est un faux scan du disque, si cela devait vous arriver, coupez le courant ( arrachez la prise, tirez sur le câble, appuyez sur le bouton marche / arrêt de votre rallonge électrique ou lancez une grenade ).
Bref faites vite si vous voulez sauver un maximum de données, sinon votre écran d'accueil ressemblera à cela :
[ J'ai volontairement rayé les deux liens permettant de payer la rançon, je ne vais pas en plus leur faire de la pub…]
- Une petite vidéo sur Youtube montre bien la problématique. Son auteur va vous monter ce qui se passe quand on lance le Malware, comme vous allez vous en rendre compte c'est très rapide.
Si vous ou une de vos connaissances se retrouvait piégé et si vraiment des données très importantes étaient stockées, utilisez le lien qui suit qui mènera vers un tuto détaillé ( en anglais ) qui vous permettra de nettoyer la zone de démarrage et de récupérer l'accès aux données.
Attention, je n'ai pas pu bien évidemment tester ces manipulations, elles vous permettront de récupérer un système sain mais de ne sauver que les données non encore cryptées, c'est pour cela que j'ai insisté en vous disant qu'il fallait débrancher immédiatement l'ordinateur attaqué.
http://mobilesecurityzone.com/petya-ransomware-virus-removal/
Ouvrez l’œil ! ( et le bon ).
Christophe.
Sources principales ( en anglais ) :
http://www.idigitaltimes.com/petya-ransomware-locks-your-computer-screen-then-encrypts-files-how-remove-file-521931
Rejoignez la Communauté d'SOSPC, et profitez d'avantages exclusifs à partir de 2 € par mois ! Plus d'infos en cliquant ICI.
Christophe. Administrateur.
Merci beaucoup pour votre tuto il est très utile continuer à nous informer et meme si vous devez nous le répéter on est jamais trop prudent bravo
Et ID Ransomware sert à identifier et à trouver le moyen le plus simple de récupérer ses fichiers chiffrés sans payer (sous réserve)…
https://id-ransomware.malwarehunterteam.com/
Bonjour,
j'en ai entendu parlé récemment mais je ne voulais pas donner de faux espoirs mais surtout je n'ai aucun moyen de tester son efficacité…
Christophe.
Et si le PC est bloqué, envoyer un fichier crypté, dur dur, d'autant plus que plus le PC est utilisé plus le ransomware agit. Humm, je doute
Tout à fait d'accord, c'est d’ailleurs pour cela que dans mon dernier article consacré à Jigsaw, je conseille d'extraire le disque pour accéder aux fichiers infectés. ;o) -> https://sospc.name/jigsaw-supprime-partie-de-vos-fichiers-toutes-heures/
Oui tout à fait, le DDUR en esclave et on vois ce que l'on peux faire. Mais bon, la récupération, c'est une chose mais la désinfection et autre, car si il reste une souche, c'est repartie.
Bonjour Christophe,
Merci.
Je complète le sujet avec cet article de Korben
Ransomware Petya – Comment récupérer vos fichiers sans payer la rançon ?
Ici► http://korben.info/ransomware-petya-recuperer-vos-fichiers-payer-rancon.html
Salut Christophe
S'enrichissent pas sur le mien en tout cas.
Mais on est bien d'accord sur le fond
En parlant d'antivirus,merci pour KIS,très bon,je suis surpris(agréablement)
Salut Sébastien,
certains pensent que je fais une fixation sur Kaspersky, mais pour l'instant c'est le meilleur de tout ceux que j'ai testés.
En plus dire qu'il est cher est idiot, en tarif de base il revient à 50€ par an soit 4€ par mois, est-ce si cher que cela pour dormir tranquille ?
De plus je donne une astuce dans le tuto pour le payer légalement moins cher ;o) Christophe.
salut
plus les systèmes évoluent,moins les utilisateurs suivent!
une formation devrait être obligatoire à l'achat d'un pc,voir smartphone!
et celui-ci vise les entreprises?
décompresser une archive et lancer l’exécutable qu'elle contient,excusez moi,mais faut être C@n?
on est pas sorti de l auberge ^^
Bonjour Sébastien,
c'est sûr que c'est plus simple de cliquer sur n'importe quel lien, de télécharger n'importe quoi, n'importe où, et de décréter que les Antivirus payants sont trop chers, les pirates l'ont compris et s'enrichissent sur notre dos !
Christophe.
Bonjour à tous,
Plus les systèmes évoluent plus les voyous sont actifs.
Une bonne protection est nécessaire et notre vigilance est mise encore plus que jamais à l'épreuve.
Excellent et même plus.….…
Excellente mise en garde et vous avez raison de répéter.
Continuez à prendre soin de nous…
Bonjour,
merci pour votre commentaire qui me rassure car j'ai souvent l'impression de trop répéter les mises en garde :o) Christophe.