Accéder au contenu principal

Ah Windows et ses virus !

Jouer au docteur Windows ! Ça faisait fort longtemps que je n'avais pas pratiqué ce "jeu" marrant et prenant ! Stressant même ;-)

J'ai eu en dépôt un PC portable vérolé avec le rassurant message "Votre ordinateur est bloqué" agrémenté du joli logo de la Gendarmerie française. En bref, en raison d'une infraction aux lois française, l'ordinateur est bloqué jusqu'au paiement de la somme de 100 €. Un rançonware en bonne et due forme ! Pour les bienheureux qui ne connaissent pas, cette saloperie affiche une énorme fenêtre empêchant définitivement tout travail. Pire, si on démarre sur un profil utilisateur neuf -donc sain-, le démarrage est possible mais dès que le virus détecte une connexion internet, l'immondice vous revient au triple galop à la gueule ! D'autre part, le virus désactive le démarrage en mode sans échec ! Mais aussi, à priori, efface tous les points de restauration antérieurs ! Une belle saloperie bien programmée, en résumé ! L'affaire a été longue.

1 - Première tentative de désinfection
Dans un premier temps, je tente de démarrer en mode sans échec, via F8. Rhaaaa ! Impossible ! Tant pis ! Démarrage sur le premier profil utilisateur : vérolé et impossible de continuer ! Redémarrage à la sauvage sur un autre profil utilisateur !

Ah tiens, cet utilisateur fonctionne ! Utilisons la trousse de secours :
  • Spybot
  • Ccleaner
  • Vidage manuel du contenu de tous les dossiers \temp
  • Nouveau passage de l'antivirus
Spybot et Ccleaner m'ont trouvé une chiée de saloperies à nettoyer. Le nettoyage manuel des répertoires temp a permis de le faire pour la totalité des utilisateurs, sans omettre le répertoire général C:\Temp. Dans le répertoire temp d'un utilisateur se trouvait effectivement un virus ; le fait a été confirmé au redémarrage suivant par un message d'erreur informant que le fichier "tartampion.exe" était introuvable. Forcement, puisqu'il est passé à la broyeuse ! D'où un nettoyage manuel de la Base de Registre, histoire de bien compliquer.

Nouveau redémarrage : parfait. Donc, je rends la machine.

2 - L'horreur est toujours là
Trois jours plus tard, on m'informe que le problème persiste.  Comment se fait-ce ?! En fait, une fois la machine réceptionnée, je découvrirai que jusqu'à présent je n'ai encore réellement rien désinfecté, tout simplement parce que le virus est sournois et que je n'ai pas su prendre le temps de mieux vérifier en profondeur !

Premier démarrage, histoire de voir et comprendre, oups, effectivement, sur ce profil utilisateur, le rançonware est bel et bien actif ! Zut !

Second démarrage (à la sauvage) sur un autre utilisateur correct puisque, non utilisé en réalité. Ça me laisse l'opportunité de réaliser une sauvegarde des données personnelles sur disque USB (sait-on jamais) et de brancher internet, cette fois, pour mettre l'antivirus à jour. Par Jupiter (comme dirait Blake Mortimer) ! Ce salopard de virus attendait sournoisement une connexion web pour se manifester ! Impossible d'aller plus loin désormais ! 'foiré !!!

Une recherche sur l'expression clé "votre ordinateur est bloqué gendarmerie" me mène vers un tuturiel de désinfection.

Une fois la machine redémarrée sur le Live CD Kaspersky de sauvetage, je me heurte à un nouveau problème. La machine est trop vieille (448 Mo de RAM) pour réellement supporter le mode fenêtré. L'affichage est long, désespérément lent à se mettre à jour. Redémarrage sur le mode console pour procéder à un examen total qui trouvera des saletés à broyer.

Ensuite, après un redémarrage sur le profil utilisateur désormais rendu à nouveau exploitable, suivant fidèlement le tutoriel, je remet les clefs SafeBoot, via l'application SafeBootKeyRepair. Un nouveau redémarrage de contrôle prouve que désormais le démarrage en mode sans échec (touche F8) est à nouveau opérationnel.

Ensuite, un petit coup de AdwCleaner et Malwarebytes Anti-Malware (ce dernier me trouvant pas moins de 9 programmes malveillants à supprimer).

Le redémarrage suivant, imposé par la finalisation de l'analyse de Malwrebytes Anti-Malware, me donne un résultat correct. Un nouveau passage de Spybot (aucun mouchard détecté) puis de Ccleaner pour ne rien laisser.

Et pour terminer, Adobe Reader, Adobe Flash Player et Java Runtime sont mis à jour pour supprimer des vulnérabilités. Sans omettre Windows Updates et l'antivirus (qui m'a fait mettre quelques fichiers en quarantaine), puis la création d'un nouveau point de restauration !

Un ultime redémarrage de contrôle suivi d'une reconnexion à internet et je peux rendre la machine.

3 - En guise de conclusion
Je n'avais pas réellement subi l'horreur des virus quand j'utilisais Windows mais cette (courte) expérience me conforte dans mon choix de GNU/Linux. J'avoue : je sais parfaitement qu'aucun système n'est parfait et les systèmes GNU/Linux ont des failles comme Windows. Mais le système de cloisonnement met déjà une sérieuse barrière aux virus sous GNU/Linux, sans omettre le petit plus du côté "open-source" qui fait que quelqu'un développera rapidement un correctif en cas de découverte d'une faille. Évidemment, il doit cependant bien être possible de développer un virus pour GNU/Linux mais l'effort reste peut être encore relativement peu attirant dans la mesure où ce système d'exploitation est largement moins utilisé que Windows.

Il n'en demeure pas moins que les utilisateurs de Windows doivent rester vigilent :
  • en mettant régulièrement à jour Windows,
  • en utilisant un antivirus, à jour, même si certains se croient plus fort sans antivirus,
  • en mettant à jour les programmes susceptibles d'offrir des failles tels que Flash Player, Adobe Reader, Java Runtime Machine, les navigateurs internet et tout autre application susceptible,
  • en utilisant un parefeu,
  • en faisant un nettoyage régulier (Ccleaner est gratuit et fort efficace),
  • en filtrant les sites Web, via WOT
Il demeure également que la meilleure protection se situe entre la chaise et le clavier, quel que soit le système d'exploitation ;-) 

Quelques liens utiles :

Posts les plus consultés de ce blog

La méteo dans un terminal

Si vous voulez la météo, il existe des tas d'applications graphiques, des extensions dédiées pour divers systèmes d'exploitations et pour divers environnements de bureaux. sans oublier les multiples sites internet.
1 - La météo dans la console Il est également possible d'avoir la météo dans une console. Oui, j'oubliais ! L'astuce est plutôt pour les utilisateur GNU/Linux, BSD, Mac. Brefs, les systèmes d'exploitations qui offrent un terminal. ... On me dit dans l'oreillette que Windows 10 a désormais un "vrai" terminal sauce Linux. Je ne le connais pas, donc m'abstiens. Par contre, pour Windows, vous aurez en fin d'article la variante pour vous ;-)

Revenons à notre terminal. Pas besoin des droits root.

Pour la météo de Toulouse :
$ curl wttr.in/Toulouse
Pour la météo de Brest
$ curl wttr.in/Brest
Cas particulier pour les noms composés :
$ curl wttr.in/Le+Havre
Vous pouvez aussi saisir les coordonnées GPS. Si vous ne les avez pas, vous pouvez l…

Mageia 6 - Retour d'expèriences

Mageia 6 est enfin sorti et j'ai eu plusieurs système à migrer. D'ailleurs, je me demande si ce ne serait pas un complot du FIDEL (Fondation des Infâmes Développeurs Extra-terrestres (GNU) Linux)) puisque sont "tombées" dans le même laps de temps les distributions Debian, Fedora et Mageia ! Et en réalité, mieux vaux actuellement réinstaller totalement ces trois que de tenter une migration si on utilisait KDE (et KDM).

Je ne m'étendrai pas sur Debian (installation facile) et Fedora (dont l'installateur met 2 bonnes heures à analyser mes partitions pour planter ensuite trop facilement). Bref, du hors sujet .....
1 - Problématique En fait, concernant Mageia, les écueils concernent autant KDE/Plasma et KDM qui est abandonné au profit de SDDM (autre choix possible) que les paquetages 32 bits si le système est en 64 bits. J'avais eu la présence d'esprit préalable de lire la page des notes de Mageia 6 et de repérer la partie mise à niveau de Mageia 5 vers 6…

WPS Office - WPS Office contre LibreOffice

En mettant en place toute la logithèque nécessaire sur un PC portable neuf, j'ai découvert la suite WPS Office préinstallée. En fait, j'ai découvert que cette suite était aussi disponible pour PC, dont Windows ET GNU/Linux, puisqu'elle est déjà disponible gratuitement pour Android et iOS. Cette suite propose un tableur (Spreadsheets), un traitement de texte (Writer) et une application de présentation (Presentation). L'interface se rapproche beaucoup (voire totalement) de l'interface actuelle de Microsoft Office (exit les menus pour faire place à des onglets thématiques). Voir les liens en bas.

Cette suite est proposé par la société chinoise Beijing Kingsoft Office Software Co sous licence propriétaire.

Les formats proposés sont les formats Microsoft Office et l'export en PDF mais aucunement les formats LibreOffice OpenDocument (ODF).

J'ai poussé la curiosité à la tester brièvement dans deux machines virtuelles, une sous Windows 10 et l'autre sous Mageia 5…