Victime de Ransomware, le témoignage

« Je suis grave dans la m… »

Oui, Eptisoft reçoit aussi des appels à l’aide, le plus souvent par Twitter, souvent pour obtenir des conseils sur les antivirus et des licences gratuites (désolé, nous n’en avons qu’au compte-goutte). Parfois, le problème est plus grave, comme celle-ci, parvenue directement par mail. Sophie (son prénom a été modifié) nous a contacté ce jeudi dernier, nous expliquant que son PC était bloqué par une alerte de la gendarmerie :

« L’écran de mon ordinateur était figé sur la même fenêtre. Il y avait juste un texte, un logo « Gendarmerie nationale » et une mise en garde sur la pédopornographie. Evidemment, je ne vais jamais sur des sites pédophiles, ni même sur des sites pornographiques d’ailleurs. J’étais en train de travailler sur un projet et je cherchais des images pour une présentation. Il s’agit de mon travail régulier que j’exerce en freelance, donc je n’ai pas de comportement à risque avec mon ordinateur de travail, qui m’appartient. »

En effet, pour avoir rencontré Sophie, nous avons pu vérifier qu’elle possède le profil type de la victime ignorant ce qui lui tombe dessus. Elle n’est pas une spécialiste en informatique, se sert de Google pour ses recherches de documents et utilise quelques logiciels professionnels pour son travail. Elle ne télécharge pas « illégalement », mais nous avons trouvé quelques fichiers illégitimes dont un keygen et des versions crackées de logiciels, soit disant ramenées par un ami à elle. Les logiciels n’ont pas été installés et se trouvent tous dans un même dossier. La date des fichiers est bien antérieure à l’infection et une rapide analyse par un antimalware a décelé quelques trojan dans les exécutables…

L'écran en question, avec ses deux zones de paiement...

« Ces fichiers n’avaient pas été utilisés, je ne sais pas comment installer ces logiciels et les débloquer. J’utilise des logiciels gratuits, notamment Open Office, pour travailler et des programmes que j’ai acheté. Là, j’ai vu mon ordinateur se bloquer au moment où j’ai cliqué sur une image afin de la télécharger. »

Vraisemblablement, un site infecté est à l’origine de cette invasion : Sophie a du cliquer sur une image vérolée ou une publicité, permettant l’injection de code malveillant. Son antivirus ? Avast !

« Je voulais un antivirus gratuit, comme tout le monde j’ai pris Avast !. Mon ordinateur est récent (NDGAV : il date du mois de mars) et quand mon ami est venu procéder à son installation, i la téléchargé la dernière version en date. Je l’avais sur mon ancien ordinateur et régulièrement il me trouvait des virus et les bloquait. »

Son antivirus était à priori à jour, mais le script d’infection a du contourner la protection. De toute manière, Avast ! antivirus n’est pas le logiciel le plus efficace du marché et si autant de français se sont fait avoir par le ransomware gendarmerie, c’est aussi à cause d’un manquement au niveau de la sécurité.

Nous avons procédé à la désinfection du portable, assez facilement-fort heureusement- en appliquant la procédure standard pour ce type de malware : démarrage en mode sans échec, désinfection avec Roguekiller puis installation et scan avec Malwarebytes.

« Je ne retrouvais aucun fichier, tout mon travail était perdu et j’étais en panique. J’étais grave dans la merde et je n’allais pas pouvoir présenter mes recherches. J’étais soulagée de retrouver mon ordinateur nettoyé mais je n’avais plus aucun fichier. »

Il s’agissait d’une variante récente du Ransomware. Tous les fichiers avaient été renommés en « locked.musique.mp3.lkos » et la seule désinfection ne permit pas de retrouver l’intégrité des fichiers. Plusieurs utilitaires permettent d’analyser et de décrypter ces fichiers, nous avons utilisé RannohDecryptor de Kaspersky. Avec succès, puisque près de 14 000 fichiers ont été récupérés.

«Tout s’est bien passé et j’ai récupéré mes fichiers. Par contre mon ordinateur rame un peu maintenant et je vais devoir demander à un ami de venir le nettoyer complétement et voir ce qu’il peut faire pour mieux le protéger. En tout cas je suis plus méfiante qu’avant et je réfléchis à l’idée de changer d’antivirus. Je ne pense pas que je vais changer mes habitudes d’utilisation du PC, mais je vais éviter d’installer n’importe quoi. »

Ça serait en effet un bon début, mais cette entrevue nous a permis de confirmer le profil type de la victime : Peu de connaissances en matière de sécurité, un comportement traditionnel (et donc irresponsable), quelques infractions à la légalité (à ses risques et périls) et l’assurance qu’un antivirus gratuit suffit à être protégé. Un profil type, qui correspond à celui que les escrocs visent lorsqu'ils diffusent leur malware.