Discussion :

[JML19]

Bonsoir

Une amie de ma fille professeure des écoles vient de se faire pirater, lors d'une formation à distance.

Elle a reçu des liens pour des modules de formation.

Arrivé sur un lien, elle a eu un message disant que tous ces fichiers étaient cryptés, qu'elle avait été piratée avec un numéro de téléphone en 06 à appeler.

Je ne sais pas ce qu'elle a cru ou si c'est le stress, mais elle a appelé ce numéro.

Elle a eu une personne qui lui a dit, qu'elle allait l'aider contre ce piratage.

Il lui a demandé de télécharger un logiciel de prise en main à distance, ce qu'elle a fait.

Puis elle lui a donné le code pour se connecter à distance.

Il lui a posé beaucoup de questions, auxquelles elle a répondu.

Puis au fil de la conversation, il lui a demandé 150€ pour débloquer le problème.

Elle n'a pas voulu payé et elle a dit qu'elle verrait avec un informaticien, il s'est mis en colère.

Elle a eu la présence d'esprit d'appeler ma fille, elle n'avait plus la main sur son ordinateur.

Ma fille lui a dit de suite de couper sa Box, elle a pu arrêter l'ordinateur en restant appuyé sur le bouton de mise en route.

Lors du redémarrage de l'ordinateur, elle avait ce message en permanence et impossible d'ouvrir une session.

Elle est venue à la maison avec son ordinateur, j'ai constaté l'impossibilité d'ouvrir la cession à cause de ce message.

J'avais changé son SSD par un SSD plus grand, elle a gardé son ancien SSD et j'avais un clone sur son disque D.

J'ai pensé détruire le disque D et reconstituer à partir de l'ancien SSD.

J'ai booté sur un CD de démarrage Linux avec CloneZilla à partir d'un lecteur de DVD sur port USB.

L'idée m'a pris de laisser charger le GRUB, puis de forcer l'arrêt de l'ordinateur juste après ce chargement.

Lorsque Windows a redémarré, il y a constaté que les fichiers de démarrage étaient HS et il les a restauré.

Au redémarrage suivant, il n'y avait plus ce message, j'ai pu ouvrir la cession.

Lors de la visite du SSD C: et du disque D:, aucun fichier n'était crypté.

Je suis parti à la recherche des fichiers téléchargés pendant l'intervention du hacker et pendant la prise en main.

J'ai supprimé ces fichiers, un logiciel de prise en main à distance en point exe et un fichier dans le dossier vidéo de Windows 11

Je pense que c'est ce fichier, peut-être une vidéo qui apparaissait au démarrage.

J'ai réactivé le pare-feu de Windows 11 et l'antivirus de chez Darty, dont elle paye tous les mois.

J'ai passé AdwCleaner, Ccleaner et l'antivirus.

Je lui ai demandé de laisser sa Box coupée jusqu'au lendemain, en espérant qu'elle aurait une autre IP WAN de son FAI.

Depuis lundi elle n'a plus de problème.

[tabouret]

Hello,

Si le comportement redevient suspect, n'hésites pas a passer le système sous un scan LOKI ou THOR avec le dernier set de signatures YARA. Ce sont des anti-malwares très puissants.

https://github.com/Neo23x0/Loki
https://www.nextron-systems.com/thor-lite/

[JML19]

Bonsoir tabouret

Merci pour ces informations, mais si les fichiers avaient été cryptés, je n'aurais pu rien faire.

Seulement détruire la partition du disque D: faire un formatage.

Enlever le SSD, mettre l'ancien, refaire un clone de l'ancien SSD sur le disque D:, puis réinstallé ce clone sur le nouveau SSD.

Elle aurait perdu tout ce qu'il y avait sur le disque D:, puisque l'on ne peut pas savoir si le virus était aussi sur le disque D:

[chrtophe]

Il s'agit de l'arnaque au faux support Microsoft.

Ils font croire que le poste est bloqué en affichant un msg au démarrage. Si tu payes pas ils bloquent l'accès à la machine en mettant un mot de passe sur le compte.

Couper la connexion Internet est un bon reflexe, ça coupe l'accès à distance. Il faut bien s'assurer que l'appli d'accès à distance ne se relance pas. Ils ont pas du avoir le temps de mettre un mot de passe.

Par précaution, changer les mots de passe des adrs mails, des sites consultés, prévenir les contacts de faire attention à d'éventuels faux messages de sa part, et attention aux comptes bancaires. Je ne veux pas t'affoler, c'est surtout de la précaution au cas ou ils pu récupérer des infps en étant connecté. Peu probable mais pas impossible.

Si elle a gardé le numéro qu'il fallait appeler ; porter plainte, qu'au moins leur numéro soit désactivé.

[JML19]

Bonsoir chrtophe

Comme elle a appelé ce numéro, il doit être sur son téléphone.

J'ai oublié de prendre une photo de l'écran lors du démarrage.