J'ai fait plusieurs recherches sur des sites de matériel audio sur Google (rien de mieux pour se faire pister me direz-vous ;) ) pour avoir un mode d'emploi de mon Roland PMA-5 car j'avais quelques lacunes quant à son utilisation.
Quelques jours après je reçois un mail d'une adresse dont je n'ai pas retenu le nom, mais qui correspondait à ce que je cherchais, c'est-à-dire mon mode d'emploi.
- Non mécontent d'avoir une réponse (après 15 j d'attente), je télécharge donc le fichier PDF.
- Fichier que je m'empresse d'ouvrir afin de découvrir son contenu.
Je consulte donc mon PDF pendant une demi-heure pour voir si il est complet et si j'y trouve ce que je souhaite…
Néanmoins mon pc commence à ramer et à se comporter bizarrement…
- Je fais un petit tour dans les dossiers voir ce qui se passe, et.…..HORREUR !!! quand je regarde dans mon dossier photos voici ce que j'y trouve :
Toutes mes photos ont une extension ajoutée et plus moyen de les ouvrir, même chose pour les musiques, vidéos, mon travail de plusieurs mois que je n'avais pas pensé à sauvegarder au cas-où, croyant être assez méfiant…je panique, et je fais bien !
- Je me dis que ce n'est pas normal et décide de jeter un œil dans le gestionnaire des tâches…
- Je vois bien mon lecteur PDF avec ma page de mode d'emploi…Mais en descendant un peu je vois un processus avec un drôle de nom :
- Je clique droit => accéder aux détails, puis clique droit => ouvrir l'emplacement du fichier :
Je tombe dans le dossier des fichiers temporaires où je vois bien mon fichier PDF et ce fameux processus avec un nom bizarre qui a quasi été déposé là en même temps que mon PDF.
J'ai vite compris que je m'étais fait piéger avec ce PDF par mail et qu'en fait c'était un virus qui était même parti avant que mon mode d'emploi s'ouvre.
Mais comment un fichier PDF peut-il créer un virus me direz-vous ?
- Je décide donc d'analyser ce fichier PDF que j'ai téléchargé via ma boite mail, sur Virustotal :
12 détections ça fait un peu beaucoup, mais observez bien le nom du fichier en réalité…
- Je veux vérifier en affichant les extensions…
- Du coup on s'aperçoit qu'en fait c'était un exécutable qui contenait bien mon PDF mais aussi ce satané virus qui m'a foutu en l'air tous mes fichiers.….
Et apparemment c'est un truc tout nouveau car très peu d'antivirus le détectent et ils n'ont pas encore eu le temps de le mettre en liste noire dans leurs bases de données.
Pour ce qui est de décrypter les fichiers cryptés, l’algorithme de cryptage est tellement compliqué que dans 80 % des cas il est impossible de les récupérer intacts pour le moment, les plus gros antivirus se cassent le nez sur le décryptage.
Moralité
1 - Toujours vérifier sur Virustotal un fichier qu'on télécharge par mail que ce soit d'une adresse inconnue ou même celle d'un ami (ce dernier a pu se faire pirater son compte et les malfrats l'utilisent pour faire encore plus de victimes).
2 - Toujours analyser aussi via son propre antivirus.
3 - Bloquer les adresses mail de personnes qu'on ne connait pas et qui vous écrivent, et le cas échéant, les signaler en "tentative de hameçonnage".
4 - Éviter de cliquer sur un lien qui vous promet de gagner je ne sais quoi, une page html avec du code caché peut être tout aussi dangereuse que ce que je viens de subir avec ce fichier au nom farfelu.
g3n-h@ckm@n
Les autres articles de g3n-h@ckm@n :
Rejoignez SOSPC, et profitez de contenus et d'avantages exclusifs à partir d'1,70 € / mois avec l'abonnement annuel ! Plus d'infos en cliquant ICI. 😀
Christophe. Administrateur.
Pour moi, les deux bases simples et permanentes, c'est :
- configurer l'explorateur de fichier pour qu'il affiche toujours les extensions des fichiers ("affichage", "option", onglet "affichage", décocher "masquer les extensions des fichiers dont le type est connu", alors, le ".exe" aurait été vu…).
- ne jamais cliquer sur une pièce jointe, mais la télécharger sur le disque dur pour, ensuite, l'ouvrir depuis le disque. Si le 1/° a été fait, on voit tout de suite que le type de fichier à charger… (et, en plus, cela passe par l'antivirus).
GLZ
Si les définitions sont intégrées.…sinon l'Antivirus ne voit rien
Et pour les extension dont le type est connu, l'utilisateur lambda ne le sait pas forcément et comme quand on achète un pc avec le système préinstallé les extensions ne sont pas visibles on se fait facilement avoir.…..
Bonjour a tous
Effectivement, on devrait utiliser systématiquement Virustotal pour analyser la pièce jointe .….….…
J'avais fais un petit article à ce sujet
https://sospc.name/doute-piece-jointe-utilisez-virustotal-didier/
Toujours d'actualité
Cordialement
Salut je repassais pas là
si ta pièce jointe est sous mot de passe rien ne sera vu non plus lol
Bonjour g3n-h@ckm@n Merci pour cette article et désolè pour votre mésaventure Ma boite Mail Free a été hacké voilà quelque temps (J'ai du la fermer définitivement) J'ai reçu des tas de messages (Indiquant en gros mon mot de passe) et m'invitant à me décharger de plusieurs centaines de bitcoin Des messages en français, anglais, allemand .… et même en coréen et japonais (Merci Deepl pour l'aide à la traduction ) Mais dans mon cas, "on" voulait s'attaquer directement à mon portefeuille Mais pour vous, pas de message, pas de demande de rançon .….. Alors quel est la motivation des pirates… Lire la suite »
Parce qu'il y en a qui testent l 'impact pour voir si ca va leur rapporter avant d'en faire un moyen de se remplir les poches, .…je pense que le malware a du envoyer sur je ne sais quel serveur un rapport des dégats qu'il a causé sur une vingtaine ou même centaine de personnes.……car il doivent se dire, risque pris pour risque pris autant que ca rapporte bien…après, je ne suis pas dans leur tête (heureusement d'ailleurs, je ne suis pas du coté obscur lol )
Bonjour à tous et merci pour l'information !
J'espère que "g3n-h@ckm@n" n'est pas un malware sinon gare à nous !
Trêve de plaisanteries , j'utilise Virus Total à partir du logiciel Glasswire en version payante et je pense qu'il aurait vu la supercherie, mais je ne suis pas sur !
Je vais essayer ca sur VM je viens donner le retour
Bon ben y 'aura pas de tests car après installation de Glasswire et utilisation avec paramètres par défaut plus moyen d'accéder à internet il bloque tout donc.……pour moi c'est une grosse mer$e ce logiciel
J'utilise Glasswire depuis pas moins de 3 à 4 ans et je n'ai jamais rencontré de souci. Je ne comprends pas d'où peut provenir ton blocage.
De plus c'est un outil très efficace pour contrôler chaque événement ou modifications qui peuvent intervenir sur ton PC.
J'ai quand même décidé de feinter pour pas vous laisser sur votre faim
donc.….Glasswire a rien vu
Je ne sais pas , j'ai viré Glassewire et tout est redevenu normal.….il doit pas aimer ma VM ^^
Je pense que c'est normal. Total Virus doit être activé dans les paramètres de GlassWire et n'est disponible que sur la version payante.
ceci explique cela ^^
mais à ce que j 'ai compris il est censé agir aussi sur le comportemental des fichiers non ? à ce que j'ai lu sur sa description sur je sais plus quel site.…
Bonjour et oui toujours le même problème des arnaqueurs .
Ces jours-ci je reçois des messages de FREE bien conçus comme quoi j'ai gagné un I phone.
Et ceci sur deux adresses émail.
Grâce à Foxmail je les vois avant la récupération dont poubelle direct et mis en liste noire des expéditeurs.
La rentrée va être bien polluée comme chaque année.
Bon amusement avec les attaques.….…et merci Foxmail !!!!
Amitiés
Christian 59
Bonjour le mail on peut l ouvrir , ce qu il ne faut pas faire , c'est cliquer sur les liens ou executer les fichiers proposés en téléchargement sans les vérifier comme je l 'ai indiqué via Virustotal au minimum.
le plus flagrant dans les mails de ce style ce sont les fautes d'orthographe quoique ces derniers temps ils ont fait des efforts s'attaquant plus principalement à la France
Bonjour g3n…
Merci pour ton article qui nous rappelle bien que l’on n’est jamais complètement à l’abris d’une attaque virale.
D’ou évidemment l’importance d’une sauvegarde régulière de nos données.
Cordialement.
Bonjour
et encore fut un temps il y avait un ransomware qui modifiait carrément la table de partition du disque dur sous peine de déblocage grâce à un paiement en coupon ou bitcoin je ne sais plus , celui-ci était vraiment coriace, le seul moyen de débloquer c'était de démarrer sur un live cd et de remettre la partition en NTFS ( Système de fichiers de Windows ) sinon impossible de démarrer normalement, à chaque fois on tombait sur la fameuse page "votre ordinateur est bloqué etc, etc, etc.…. )
Bonjour à tous
Bien vu pour l'explication de l'installation de cette M.…!
la suite de l’histoire à tu pus récupérer tes fichiers ou tout au moins une partie, as tu trouvé une solution?
Bonjour
Le malware ne sévit qu'une fois, ensuite il devient inactif , et pour certains ils s'autosuppriment pour ne pas laisser de traces.
s'il ne s'auto-détruit/supprime pas, le fait de la supprimer par la suite ne rendra pas les fichiers à leur état d'origine.
Comme dit, les fichiers cryptés sont dans 80% des cas, irrécupérables.
Bonjour
Pour ceux qui se font piéger , on peut tenter de passer par des sites d'analyse du ransomware qui proposent ensuite quelques outils pour déchiffrer les dossiers bloqués
https://www.nomoreransom.org/fr/index.html
https://noransom.kaspersky.com/fr/
https://id-ransomware.malwarehunterteam.com/