Jouer au docteur Windows ! Ça faisait fort longtemps que je n'avais pas pratiqué ce "jeu" marrant et prenant ! Stressant même ;-)
J'ai eu en dépôt un PC portable vérolé avec le rassurant message "Votre ordinateur est bloqué" agrémenté du joli logo de la Gendarmerie française. En bref, en raison d'une infraction aux lois française, l'ordinateur est bloqué jusqu'au paiement de la somme de 100 €. Un rançonware en bonne et due forme ! Pour les bienheureux qui ne connaissent pas, cette saloperie affiche une énorme fenêtre empêchant définitivement tout travail. Pire, si on démarre sur un profil utilisateur neuf -donc sain-, le démarrage est possible mais dès que le virus détecte une connexion internet, l'immondice vous revient au triple galop à la gueule ! D'autre part, le virus désactive le démarrage en mode sans échec ! Mais aussi, à priori, efface tous les points de restauration antérieurs ! Une belle saloperie bien programmée, en résumé ! L'affaire a été longue.
1 - Première tentative de désinfection
Dans un premier temps, je tente de démarrer en mode sans échec, via F8. Rhaaaa ! Impossible ! Tant pis ! Démarrage sur le premier profil utilisateur : vérolé et impossible de continuer ! Redémarrage à la sauvage sur un autre profil utilisateur !
Ah tiens, cet utilisateur fonctionne ! Utilisons la trousse de secours :
Spybot et Ccleaner m'ont trouvé une chiée de saloperies à nettoyer. Le nettoyage manuel des répertoires temp a permis de le faire pour la totalité des utilisateurs, sans omettre le répertoire général C:\Temp. Dans le répertoire temp d'un utilisateur se trouvait effectivement un virus ; le fait a été confirmé au redémarrage suivant par un message d'erreur informant que le fichier "tartampion.exe" était introuvable. Forcement, puisqu'il est passé à la broyeuse ! D'où un nettoyage manuel de la Base de Registre, histoire de bien compliquer.
Nouveau redémarrage : parfait. Donc, je rends la machine.
2 - L'horreur est toujours là
Trois jours plus tard, on m'informe que le problème persiste. Comment se fait-ce ?! En fait, une fois la machine réceptionnée, je découvrirai que jusqu'à présent je n'ai encore réellement rien désinfecté, tout simplement parce que le virus est sournois et que je n'ai pas su prendre le temps de mieux vérifier en profondeur !
Premier démarrage, histoire de voir et comprendre, oups, effectivement, sur ce profil utilisateur, le rançonware est bel et bien actif ! Zut !
Second démarrage (à la sauvage) sur un autre utilisateur correct puisque, non utilisé en réalité. Ça me laisse l'opportunité de réaliser une sauvegarde des données personnelles sur disque USB (sait-on jamais) et de brancher internet, cette fois, pour mettre l'antivirus à jour. Par Jupiter (comme dirait Blake Mortimer) ! Ce salopard de virus attendait sournoisement une connexion web pour se manifester ! Impossible d'aller plus loin désormais ! 'foiré !!!
Une recherche sur l'expression clé "votre ordinateur est bloqué gendarmerie" me mène vers un tuturiel de désinfection.
Une fois la machine redémarrée sur le Live CD Kaspersky de sauvetage, je me heurte à un nouveau problème. La machine est trop vieille (448 Mo de RAM) pour réellement supporter le mode fenêtré. L'affichage est long, désespérément lent à se mettre à jour. Redémarrage sur le mode console pour procéder à un examen total qui trouvera des saletés à broyer.
Ensuite, après un redémarrage sur le profil utilisateur désormais rendu à nouveau exploitable, suivant fidèlement le tutoriel, je remet les clefs SafeBoot, via l'application SafeBootKeyRepair. Un nouveau redémarrage de contrôle prouve que désormais le démarrage en mode sans échec (touche F8) est à nouveau opérationnel.
Ensuite, un petit coup de AdwCleaner et Malwarebytes Anti-Malware (ce dernier me trouvant pas moins de 9 programmes malveillants à supprimer).
Le redémarrage suivant, imposé par la finalisation de l'analyse de Malwrebytes Anti-Malware, me donne un résultat correct. Un nouveau passage de Spybot (aucun mouchard détecté) puis de Ccleaner pour ne rien laisser.
Et pour terminer, Adobe Reader, Adobe Flash Player et Java Runtime sont mis à jour pour supprimer des vulnérabilités. Sans omettre Windows Updates et l'antivirus (qui m'a fait mettre quelques fichiers en quarantaine), puis la création d'un nouveau point de restauration !
Un ultime redémarrage de contrôle suivi d'une reconnexion à internet et je peux rendre la machine.
3 - En guise de conclusion
Je n'avais pas réellement subi l'horreur des virus quand j'utilisais Windows mais cette (courte) expérience me conforte dans mon choix de GNU/Linux. J'avoue : je sais parfaitement qu'aucun système n'est parfait et les systèmes GNU/Linux ont des failles comme Windows. Mais le système de cloisonnement met déjà une sérieuse barrière aux virus sous GNU/Linux, sans omettre le petit plus du côté "open-source" qui fait que quelqu'un développera rapidement un correctif en cas de découverte d'une faille. Évidemment, il doit cependant bien être possible de développer un virus pour GNU/Linux mais l'effort reste peut être encore relativement peu attirant dans la mesure où ce système d'exploitation est largement moins utilisé que Windows.
Il n'en demeure pas moins que les utilisateurs de Windows doivent rester vigilent :
Quelques liens utiles :
J'ai eu en dépôt un PC portable vérolé avec le rassurant message "Votre ordinateur est bloqué" agrémenté du joli logo de la Gendarmerie française. En bref, en raison d'une infraction aux lois française, l'ordinateur est bloqué jusqu'au paiement de la somme de 100 €. Un rançonware en bonne et due forme ! Pour les bienheureux qui ne connaissent pas, cette saloperie affiche une énorme fenêtre empêchant définitivement tout travail. Pire, si on démarre sur un profil utilisateur neuf -donc sain-, le démarrage est possible mais dès que le virus détecte une connexion internet, l'immondice vous revient au triple galop à la gueule ! D'autre part, le virus désactive le démarrage en mode sans échec ! Mais aussi, à priori, efface tous les points de restauration antérieurs ! Une belle saloperie bien programmée, en résumé ! L'affaire a été longue.
1 - Première tentative de désinfection
Dans un premier temps, je tente de démarrer en mode sans échec, via F8. Rhaaaa ! Impossible ! Tant pis ! Démarrage sur le premier profil utilisateur : vérolé et impossible de continuer ! Redémarrage à la sauvage sur un autre profil utilisateur !
Ah tiens, cet utilisateur fonctionne ! Utilisons la trousse de secours :
Spybot et Ccleaner m'ont trouvé une chiée de saloperies à nettoyer. Le nettoyage manuel des répertoires temp a permis de le faire pour la totalité des utilisateurs, sans omettre le répertoire général C:\Temp. Dans le répertoire temp d'un utilisateur se trouvait effectivement un virus ; le fait a été confirmé au redémarrage suivant par un message d'erreur informant que le fichier "tartampion.exe" était introuvable. Forcement, puisqu'il est passé à la broyeuse ! D'où un nettoyage manuel de la Base de Registre, histoire de bien compliquer.
Nouveau redémarrage : parfait. Donc, je rends la machine.
2 - L'horreur est toujours là
Trois jours plus tard, on m'informe que le problème persiste. Comment se fait-ce ?! En fait, une fois la machine réceptionnée, je découvrirai que jusqu'à présent je n'ai encore réellement rien désinfecté, tout simplement parce que le virus est sournois et que je n'ai pas su prendre le temps de mieux vérifier en profondeur !
Premier démarrage, histoire de voir et comprendre, oups, effectivement, sur ce profil utilisateur, le rançonware est bel et bien actif ! Zut !
Second démarrage (à la sauvage) sur un autre utilisateur correct puisque, non utilisé en réalité. Ça me laisse l'opportunité de réaliser une sauvegarde des données personnelles sur disque USB (sait-on jamais) et de brancher internet, cette fois, pour mettre l'antivirus à jour. Par Jupiter (comme dirait Blake Mortimer) ! Ce salopard de virus attendait sournoisement une connexion web pour se manifester ! Impossible d'aller plus loin désormais ! 'foiré !!!
Une recherche sur l'expression clé "votre ordinateur est bloqué gendarmerie" me mène vers un tuturiel de désinfection.
Une fois la machine redémarrée sur le Live CD Kaspersky de sauvetage, je me heurte à un nouveau problème. La machine est trop vieille (448 Mo de RAM) pour réellement supporter le mode fenêtré. L'affichage est long, désespérément lent à se mettre à jour. Redémarrage sur le mode console pour procéder à un examen total qui trouvera des saletés à broyer.
Ensuite, après un redémarrage sur le profil utilisateur désormais rendu à nouveau exploitable, suivant fidèlement le tutoriel, je remet les clefs SafeBoot, via l'application SafeBootKeyRepair. Un nouveau redémarrage de contrôle prouve que désormais le démarrage en mode sans échec (touche F8) est à nouveau opérationnel.
Ensuite, un petit coup de AdwCleaner et Malwarebytes Anti-Malware (ce dernier me trouvant pas moins de 9 programmes malveillants à supprimer).
Le redémarrage suivant, imposé par la finalisation de l'analyse de Malwrebytes Anti-Malware, me donne un résultat correct. Un nouveau passage de Spybot (aucun mouchard détecté) puis de Ccleaner pour ne rien laisser.
Et pour terminer, Adobe Reader, Adobe Flash Player et Java Runtime sont mis à jour pour supprimer des vulnérabilités. Sans omettre Windows Updates et l'antivirus (qui m'a fait mettre quelques fichiers en quarantaine), puis la création d'un nouveau point de restauration !
Un ultime redémarrage de contrôle suivi d'une reconnexion à internet et je peux rendre la machine.
3 - En guise de conclusion
Je n'avais pas réellement subi l'horreur des virus quand j'utilisais Windows mais cette (courte) expérience me conforte dans mon choix de GNU/Linux. J'avoue : je sais parfaitement qu'aucun système n'est parfait et les systèmes GNU/Linux ont des failles comme Windows. Mais le système de cloisonnement met déjà une sérieuse barrière aux virus sous GNU/Linux, sans omettre le petit plus du côté "open-source" qui fait que quelqu'un développera rapidement un correctif en cas de découverte d'une faille. Évidemment, il doit cependant bien être possible de développer un virus pour GNU/Linux mais l'effort reste peut être encore relativement peu attirant dans la mesure où ce système d'exploitation est largement moins utilisé que Windows.
Il n'en demeure pas moins que les utilisateurs de Windows doivent rester vigilent :
- en mettant régulièrement à jour Windows,
- en utilisant un antivirus, à jour, même si certains se croient plus fort sans antivirus,
- en mettant à jour les programmes susceptibles d'offrir des failles tels que Flash Player, Adobe Reader, Java Runtime Machine, les navigateurs internet et tout autre application susceptible,
- en utilisant un parefeu,
- en faisant un nettoyage régulier (Ccleaner est gratuit et fort efficace),
- en filtrant les sites Web, via WOT
Quelques liens utiles :
Commentaires
Enregistrer un commentaire