Accéder au contenu principal

Ah Windows et ses virus !

Jouer au docteur Windows ! Ça faisait fort longtemps que je n'avais pas pratiqué ce "jeu" marrant et prenant ! Stressant même ;-)

J'ai eu en dépôt un PC portable vérolé avec le rassurant message "Votre ordinateur est bloqué" agrémenté du joli logo de la Gendarmerie française. En bref, en raison d'une infraction aux lois française, l'ordinateur est bloqué jusqu'au paiement de la somme de 100 €. Un rançonware en bonne et due forme ! Pour les bienheureux qui ne connaissent pas, cette saloperie affiche une énorme fenêtre empêchant définitivement tout travail. Pire, si on démarre sur un profil utilisateur neuf -donc sain-, le démarrage est possible mais dès que le virus détecte une connexion internet, l'immondice vous revient au triple galop à la gueule ! D'autre part, le virus désactive le démarrage en mode sans échec ! Mais aussi, à priori, efface tous les points de restauration antérieurs ! Une belle saloperie bien programmée, en résumé ! L'affaire a été longue.

1 - Première tentative de désinfection
Dans un premier temps, je tente de démarrer en mode sans échec, via F8. Rhaaaa ! Impossible ! Tant pis ! Démarrage sur le premier profil utilisateur : vérolé et impossible de continuer ! Redémarrage à la sauvage sur un autre profil utilisateur !

Ah tiens, cet utilisateur fonctionne ! Utilisons la trousse de secours :
  • Spybot
  • Ccleaner
  • Vidage manuel du contenu de tous les dossiers \temp
  • Nouveau passage de l'antivirus
Spybot et Ccleaner m'ont trouvé une chiée de saloperies à nettoyer. Le nettoyage manuel des répertoires temp a permis de le faire pour la totalité des utilisateurs, sans omettre le répertoire général C:\Temp. Dans le répertoire temp d'un utilisateur se trouvait effectivement un virus ; le fait a été confirmé au redémarrage suivant par un message d'erreur informant que le fichier "tartampion.exe" était introuvable. Forcement, puisqu'il est passé à la broyeuse ! D'où un nettoyage manuel de la Base de Registre, histoire de bien compliquer.

Nouveau redémarrage : parfait. Donc, je rends la machine.

2 - L'horreur est toujours là
Trois jours plus tard, on m'informe que le problème persiste.  Comment se fait-ce ?! En fait, une fois la machine réceptionnée, je découvrirai que jusqu'à présent je n'ai encore réellement rien désinfecté, tout simplement parce que le virus est sournois et que je n'ai pas su prendre le temps de mieux vérifier en profondeur !

Premier démarrage, histoire de voir et comprendre, oups, effectivement, sur ce profil utilisateur, le rançonware est bel et bien actif ! Zut !

Second démarrage (à la sauvage) sur un autre utilisateur correct puisque, non utilisé en réalité. Ça me laisse l'opportunité de réaliser une sauvegarde des données personnelles sur disque USB (sait-on jamais) et de brancher internet, cette fois, pour mettre l'antivirus à jour. Par Jupiter (comme dirait Blake Mortimer) ! Ce salopard de virus attendait sournoisement une connexion web pour se manifester ! Impossible d'aller plus loin désormais ! 'foiré !!!

Une recherche sur l'expression clé "votre ordinateur est bloqué gendarmerie" me mène vers un tuturiel de désinfection.

Une fois la machine redémarrée sur le Live CD Kaspersky de sauvetage, je me heurte à un nouveau problème. La machine est trop vieille (448 Mo de RAM) pour réellement supporter le mode fenêtré. L'affichage est long, désespérément lent à se mettre à jour. Redémarrage sur le mode console pour procéder à un examen total qui trouvera des saletés à broyer.

Ensuite, après un redémarrage sur le profil utilisateur désormais rendu à nouveau exploitable, suivant fidèlement le tutoriel, je remet les clefs SafeBoot, via l'application SafeBootKeyRepair. Un nouveau redémarrage de contrôle prouve que désormais le démarrage en mode sans échec (touche F8) est à nouveau opérationnel.

Ensuite, un petit coup de AdwCleaner et Malwarebytes Anti-Malware (ce dernier me trouvant pas moins de 9 programmes malveillants à supprimer).

Le redémarrage suivant, imposé par la finalisation de l'analyse de Malwrebytes Anti-Malware, me donne un résultat correct. Un nouveau passage de Spybot (aucun mouchard détecté) puis de Ccleaner pour ne rien laisser.

Et pour terminer, Adobe Reader, Adobe Flash Player et Java Runtime sont mis à jour pour supprimer des vulnérabilités. Sans omettre Windows Updates et l'antivirus (qui m'a fait mettre quelques fichiers en quarantaine), puis la création d'un nouveau point de restauration !

Un ultime redémarrage de contrôle suivi d'une reconnexion à internet et je peux rendre la machine.

3 - En guise de conclusion
Je n'avais pas réellement subi l'horreur des virus quand j'utilisais Windows mais cette (courte) expérience me conforte dans mon choix de GNU/Linux. J'avoue : je sais parfaitement qu'aucun système n'est parfait et les systèmes GNU/Linux ont des failles comme Windows. Mais le système de cloisonnement met déjà une sérieuse barrière aux virus sous GNU/Linux, sans omettre le petit plus du côté "open-source" qui fait que quelqu'un développera rapidement un correctif en cas de découverte d'une faille. Évidemment, il doit cependant bien être possible de développer un virus pour GNU/Linux mais l'effort reste peut être encore relativement peu attirant dans la mesure où ce système d'exploitation est largement moins utilisé que Windows.

Il n'en demeure pas moins que les utilisateurs de Windows doivent rester vigilent :
  • en mettant régulièrement à jour Windows,
  • en utilisant un antivirus, à jour, même si certains se croient plus fort sans antivirus,
  • en mettant à jour les programmes susceptibles d'offrir des failles tels que Flash Player, Adobe Reader, Java Runtime Machine, les navigateurs internet et tout autre application susceptible,
  • en utilisant un parefeu,
  • en faisant un nettoyage régulier (Ccleaner est gratuit et fort efficace),
  • en filtrant les sites Web, via WOT
Il demeure également que la meilleure protection se situe entre la chaise et le clavier, quel que soit le système d'exploitation ;-) 

Quelques liens utiles :

Posts les plus consultés de ce blog

VirtualBox et USB

Je me suis longtemps battu pour que mes machines virtuelles Windows sous VirtualBox bénéficient d'un support correctement exploitable de l'USB. Bien que je faisais tout ce qu'il fallait faire, impossible de brancher le moindre périphérique USB sur une machine VirtualBox ayant Windows (toutes versions confondues). Je m'étais même tourné vers VMware Player pour avoir une machine virtuelle Windows pleinement exploitable pour mes (rares) besoins Windows de travail !

Bizarrement, ces difficultés n'existent pas avec une quelconque distribution GNU/Linux virtualisée (sauf cas technique bien spécifique à la distribution).

Notez que tous mes essais partent depuis une distribution GNU/Linux (Debian 8 Jessie, Mageia 5, Fedora 25, Manjaro). Pour l'anecdote, naviguant plus ou moins entre ces distributions, j'utilisais la version officielle de VirtualBox sous Mageia tandis que c'était la version fournie par le gestionnaire de paquet pour les autres. Il est donc possi…

WPS Office - WPS Office contre LibreOffice

En mettant en place toute la logithèque nécessaire sur un PC portable neuf, j'ai découvert la suite WPS Office préinstallée. En fait, j'ai découvert que cette suite était aussi disponible pour PC, dont Windows ET GNU/Linux, puisqu'elle est déjà disponible gratuitement pour Android et iOS. Cette suite propose un tableur (Spreadsheets), un traitement de texte (Writer) et une application de présentation (Presentation). L'interface se rapproche beaucoup (voire totalement) de l'interface actuelle de Microsoft Office (exit les menus pour faire place à des onglets thématiques). Voir les liens en bas.

Cette suite est proposé par la société chinoise Beijing Kingsoft Office Software Co sous licence propriétaire.

Les formats proposés sont les formats Microsoft Office et l'export en PDF mais aucunement les formats LibreOffice OpenDocument (ODF).

J'ai poussé la curiosité à la tester brièvement dans deux machines virtuelles, une sous Windows 10 et l'autre sous Mageia 5…

La méteo dans un terminal

Si vous voulez la météo, il existe des tas d'applications graphiques, des extensions dédiées pour divers systèmes d'exploitations et pour divers environnements de bureaux. sans oublier les multiples sites internet.
1 - La météo dans la console Il est également possible d'avoir la météo dans une console. Oui, j'oubliais ! L'astuce est plutôt pour les utilisateur GNU/Linux, BSD, Mac. Brefs, les systèmes d'exploitations qui offrent un terminal. ... On me dit dans l'oreillette que Windows 10 a désormais un "vrai" terminal sauce Linux. Je ne le connais pas, donc m'abstiens. Par contre, pour Windows, vous aurez en fin d'article la variante pour vous ;-)

Revenons à notre terminal. Pas besoin des droits root.

Pour la météo de Toulouse :
$ curl wttr.in/Toulouse
Pour la météo de Brest
$ curl wttr.in/Brest
Cas particulier pour les noms composés :
$ curl wttr.in/Le+Havre
Vous pouvez aussi saisir les coordonnées GPS. Si vous ne les avez pas, vous pouvez l…