Oui, je sais, certains vont dire que je me répète, ( en même temps je ne rajeunis pas…) mais actualité oblige, il faut absolument que je vous parle du dernier Rançongiciel à la mode ( sic ! ) Petya, qui va faire des dégâts !
Je ne voulais pas particulièrement faire un énième article sur le sujet, mais vu que même France Info en a parlé le 31 Mars dernier, je me disais qu'il fallait absolument qu'Sospc ait ( aussi ) son mot à dire ! 
Si vous venez régulièrement me voir ( merci à vous au passage…) vous êtes malheureusement au courant que Cerber et Locky deux Ransomware redoutables sont en vadrouille actuellement.
Je rappelle rapidement la ' blague ' : vous cliquez sur une pièce jointe sans réfléchir ( désolé ça c'est la réalité…) et au redémarrage suivant vos données ont été cryptées et on vous demande une rançon ( dans le cas présent cela équivaut à 350€…) pour obtenir la clé unique de décryptage afin de retrouver l'accès à vos ( précieuses ) données !
Petya c'est pire.
Malheureusement, le petit dernier surclasse tous les autres car lui ' s'installe en plus ' sur le MBR ( Master Boot Record, zone d'amorce ) ou la GPT (Guid Partition Table) suivant votre B.I.O.S.
Pour rappel cette zone se situe au tout début du disque, elle est invisible dans votre explorateur Windows mais elle est cruciale, elle contient toutes les données indispensables pour gérer le démarrage du disque, de Windows et entre autres, son partitionnement ( pour en savoir plus cliquez ICI ).
Résultat : avant même de songer à tenter de nettoyer l'ordinateur, il faut d'abord réparer cette zone de démarrage cruciale de votre Disque dur.
Vous venez de comprendre, le malheureux internaute n'est pas sorti de l'auberge ( faudrait d'abord qu'il la trouve…).
Bon, là, pour une fois, je ne vous répéterai pas toutes les consignes et les précautions de bon sens à observer, ( je dois dire que j'en ai assez… ) je ne dirai qu'une seule chose : SAUVEGARDEZ régulièrement vos données, c'est la seule parade vraiment 100% efficace.
Sachez tout de même que la plupart des Antivirus de qualité ( c'est à dire payant… ) sont capables de vous protéger.
***
Symptôme qui doit vous alerter.
Vu que je suis plutôt pessimiste sur le comportement humain, les mêmes erreurs conduisant aux même conséquences, ( les historiens appellent cela les leçons de l'histoire…) je vais vous expliquer à quoi vous attendre et quelle attitude adopter si cela vous arrivait.
Vous cliquez sur la fameuse pièce jointe ou sur un lien ( dans le cas présent il mène vers un contenu Dropbox…) et au bout de quelques secondes votre ordinateur redémarre et ce banale écran s'affiche ( parfois accompagné d'un écran bleu juste avant ):
Je sais ce que vous dites : What's the problem ? ( oui je suis bilingue…enfin le Week-End seulement ).
Eh bien si vous laissez cette opération arriver à son terme, TOUTES vos données auront été cryptées, oui, c'est un faux scan du disque, si cela devait vous arriver, coupez le courant ( arrachez la prise, tirez sur le câble, appuyez sur le bouton marche / arrêt de votre rallonge électrique ou lancez une grenade ).
Bref faites vite si vous voulez sauver un maximum de données, sinon votre écran d'accueil ressemblera à cela :
[ J'ai volontairement rayé les deux liens permettant de payer la rançon, je ne vais pas en plus leur faire de la pub…]
- Une petite vidéo sur Youtube montre bien la problématique. Son auteur va vous monter ce qui se passe quand on lance le Malware, comme vous allez vous en rendre compte c'est très rapide.
Si vous ou une de vos connaissances se retrouvait piégé et si vraiment des données très importantes étaient stockées, utilisez le lien qui suit qui mènera vers un tuto détaillé ( en anglais ) qui vous permettra de nettoyer la zone de démarrage et de récupérer l'accès aux données.
Attention, je n'ai pas pu bien évidemment tester ces manipulations, elles vous permettront de récupérer un système sain mais de ne sauver que les données non encore cryptées, c'est pour cela que j'ai insisté en vous disant qu'il fallait débrancher immédiatement l'ordinateur attaqué.
http://mobilesecurityzone.com/petya-ransomware-virus-removal/
Ouvrez l’œil ! ( et le bon ).
Christophe.
Sources principales ( en anglais ) :
http://www.idigitaltimes.com/petya-ransomware-locks-your-computer-screen-then-encrypts-files-how-remove-file-521931