Bonsoir
Une amie de ma fille professeure des écoles vient de se faire pirater, lors d'une formation à distance.
Elle a reçu des liens pour des modules de formation.
Arrivé sur un lien, elle a eu un message disant que tous ces fichiers étaient cryptés, qu'elle avait été piratée avec un numéro de téléphone en 06 à appeler.
Je ne sais pas ce qu'elle a cru ou si c'est le stress, mais elle a appelé ce numéro.
Elle a eu une personne qui lui a dit, qu'elle allait l'aider contre ce piratage.
Il lui a demandé de télécharger un logiciel de prise en main à distance, ce qu'elle a fait.
Puis elle lui a donné le code pour se connecter à distance.
Il lui a posé beaucoup de questions, auxquelles elle a répondu.
Puis au fil de la conversation, il lui a demandé 150€ pour débloquer le problème.
Elle n'a pas voulu payé et elle a dit qu'elle verrait avec un informaticien, il s'est mis en colère.
Elle a eu la présence d'esprit d'appeler ma fille, elle n'avait plus la main sur son ordinateur.
Ma fille lui a dit de suite de couper sa Box, elle a pu arrêter l'ordinateur en restant appuyé sur le bouton de mise en route.
Lors du redémarrage de l'ordinateur, elle avait ce message en permanence et impossible d'ouvrir une session.
Elle est venue à la maison avec son ordinateur, j'ai constaté l'impossibilité d'ouvrir la cession à cause de ce message.
J'avais changé son SSD par un SSD plus grand, elle a gardé son ancien SSD et j'avais un clone sur son disque D.
J'ai pensé détruire le disque D et reconstituer à partir de l'ancien SSD.
J'ai booté sur un CD de démarrage Linux avec CloneZilla à partir d'un lecteur de DVD sur port USB.
L'idée m'a pris de laisser charger le GRUB, puis de forcer l'arrêt de l'ordinateur juste après ce chargement.
Lorsque Windows a redémarré, il y a constaté que les fichiers de démarrage étaient HS et il les a restauré.
Au redémarrage suivant, il n'y avait plus ce message, j'ai pu ouvrir la cession.
Lors de la visite du SSD C: et du disque D:, aucun fichier n'était crypté.
Je suis parti à la recherche des fichiers téléchargés pendant l'intervention du hacker et pendant la prise en main.
J'ai supprimé ces fichiers, un logiciel de prise en main à distance en point exe et un fichier dans le dossier vidéo de Windows 11
Je pense que c'est ce fichier, peut-être une vidéo qui apparaissait au démarrage.
J'ai réactivé le pare-feu de Windows 11 et l'antivirus de chez Darty, dont elle paye tous les mois.
J'ai passé AdwCleaner, Ccleaner et l'antivirus.
Je lui ai demandé de laisser sa Box coupée jusqu'au lendemain, en espérant qu'elle aurait une autre IP WAN de son FAI.
Depuis lundi elle n'a plus de problème.
Partager