Le virus « Gendarmerie » – Bilan de la semaine

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Mise à jour du 15 janvier 2012: Attention, ce virus se propage toujours, par exemple avec des variantes réclamant 100 euros et utilisant ce genre de pages d’avertissement, comme le signale le forum Malekal (voir ici):

Drôle de semaine pour pas mal d’usagers de l’Internet et pour la communauté NTECH de la gendarmerie. En effet, dès samedi 10 décembre nous avons commencé à recevoir des sollicitations au sujet de tentatives d’escroquerie utilisant l’image de la gendarmerie. La spécificité de cette campagne par rapport aux escroqueries par courrier électronique dont nous sommes familiers, c’est qu’elles exploitaient un virus informatique.

Le processus vécu par les victimes est le suivant: en visitant un site à fort trafic (notamment des sites diffusant des vidéos en streaming), une publicité affichée sur le site déclenche l’exécution d’un programme qui exploite une vulnérabilité présente sur leur ordinateur (notamment dans des versions de Java sous Windows XP et Windows Vista). Celle-ci installe ensuite le cheval de Troie (souvent après des messages d’avertissement mal interprétés par les victimes) qui vient bloquer l’ordinateur et affiche un message réclamant le paiement d’une amende.

Les escroqueries sur Internet adoptent de nombreux ressorts pour parvenir à leurs fins. Celle-ci en cumule plusieurs qu’il est intéressant de décomposer:

  • l’utilisation de l’image d’une institution ou d’une entreprise;
  • la faute que l’on peut réparer;
  • l’obstruction.

Utilisation de l’image d’une institution

Les campagnes de phishing, les escroqueries à la lotterie et beaucoup d’autres formes de scams utilisent l’image d’une institution. Récemment ont été évoquées les campagnes de phishing liées aux impôts, mais ce sont aussi les plus grandes marques – et en particulier les établissements bancaires et les sociétés de l’Internet – qui voient leur image utilisée. Très souvent c’est uniquement le logo et la marque, mais parfois cela va plus loin et c’est toute la mise en page classique d’un document ou d’un site Web qui sont utilisés pour tromper la victime.

Dans le cas présent, c’est le logo de la gendarmerie qui est exploité, associé à celui de la République française. Ils sont naturellement associés au respect de la loi:

Le symbole de la République utilisé est une de ses représentations historiques: le faisceau de licteur, mais dans la version que l’on retrouve sur Wikipédia. Il est aujourd’hui utilisé par la Présidence de la République et on le retrouve par exemple sur nos passeports.

C’est donc très clairement le public français qui est visé. D’ailleurs, la version du virus qui est diffusée en France est effectivement liée à l’implantation géographique de la victime. En effet, comme ont pu le noter certains analystes (voir article sur Malekal), le mode de diffusion de ce virus utilise la possibilité pour des bannières publicitaires de s’adapter au pays d’où provient la connexion (c’est une fonctionnalité offerte par les sociétés qui offrent ce type de services). Derrière ce sont de véritables kits qui sont exploités (comme Blackhole) et donc vont permettre de déclencher des vulnérabilités en fonction de la configuration de la machine visée.

Dans les cas précédents qui ont été rapportés récemment, ce sont d’autres services de police qui ont été utilisés, en particulier la police allemande, mais aussi suisse, espagnole, hollandaise ou argentine.

La faute que l’on peut réparer

Le message d’alerte affiche ensuite une liste de fautes que l’on aurait commises: pédopornographie et atteintes aux droits d’auteurs. Ce mécanisme fait appel à l’inconscient collectif fortement marqué par ces sujets. Ainsi, une personne qui va sur des sites pornographiques en se cachant de son entourage pourra penser qu’il a pu visiter des sites illégaux sans y faire attention. Une autre qui télécharge des séries ou des films, sans toujours vérifier si leur origine est légale se sentira concernée. La victime est alors placée dans l’incertitude (qu’est-ce qu’on me reproche exactement ?), dans le qu’en dira-t-on (qu’est-ce que vont en penser ma femme, mes collègues ?) et dans la crainte d’une action policière (je n’ai jamais rencontré les gendarmes… est-ce qu’ils vont être durs avec moi ?).

Mais tout de suite, est offerte la possibilité de s’en sortir, par le paiement d’une amende. Le montant a l’air suffisamment sérieux (100 ou 200€ dans les cas rapportés), même si la méthode de paiement paraît un peu moins officielle (tickets et cartes prépayés).

Dans les autres formes de rançons réclamées par des escrocs, souvent le ressort de la sexualité est utilisé (et les interdits qui y sont associés), et l’accusation très forte et exagérée pour faire peur (« la femme avec qui tu discutais était ma petite sœur mineure… »). Il s’agit ici d’isoler les victimes, de les placer dans un angle dont elles ne pensent pas pouvoir se sortir, où elles auront même peur d’appeler à l’aide. L’escroc est devenu le seul ami de la victime, celui qui peut l’aider.

L’obstruction

C’est la même logique et d’autres ressorts qui sont utilisés dans les virus de rançonnement et exploités ici de façon complémentaire. L’ordinateur ne fonctionne plus et on en a besoin (ou bien on a peur d’expliquer à son propriétaire qui nous l’a prêté qu’on a fait une bêtise). Un obstacle de plus donc entre la victime et la solution de son problème. Dans certaines formes simplifiées de ces virus, c’est un simple blocage de l’ordinateur (fenêtre d’avertissement empêchant l’utilisation et parfois chiffrement des données rendant l’ordinateur inutilisable) ou du téléphone qui est réalisé:

Voir l'article d'origine ici

Bilan de la semaine

Dès le week-end dernier, la communauté des enquêteurs NTECH s’est mobilisée pour échanger de l’information sur ces affaires, d’abord pour avertir les collègues de ces cas, puis donner les bons conseils aux enquêteurs et aux victimes. Des fiches d’information ont par exemple été diffusées par les NTECH dans chaque département. Des échanges ont aussi lieu avec la police nationale, localement et nationalement (avec l’OCLCTIC et la plateforme de signalement Pharos, avec la BEFTI à Paris), qui reçoivent aussi de nombreuses sollicitations.

Pour faciliter la coordination, la permanence de la division de lutte contre la cybercriminalité, a ainsi reçu et traité plusieurs dizaines d’appels par jour sur ce dossier, recoupé et relayé les informations.

Le service de presse (SIRPA) de la gendarmerie a diffusé l’information auprès de l’AFP dès mardi (dépêche AFP reprise ici sur Tahiti infos) pour informer les médias et les pousser à reprendre les informations utiles diffusées sur un certain nombre de forums d’entraide.

L’information est reprise:

Plusieurs centaines de personnes ont dû voir leur machine contaminée au cours de la semaine en France par cette variante du logiciel malveillant. Tout le territoire français était concerné, d’où l’intérêt d’un dispositif dense d’enquêteurs formés ou sensibilisés à ces questions. Moins d’une dizaine de personnes ont effectivement payé la somme, des plaintes ont alors été prises et des enquêtes ouvertes.

Les conseils

D’abord de bon sens: la gendarmerie, la police ou les services publics en général, n’iront pas bloquer votre ordinateur et vous menacer de devoir payer une amende, encore moins pour des faits totalement vagues et par un moyen de paiement plutôt réservé à des applications ludiques. Donc, dans ces cas-là se renseigner sur Internet (comme l’ont fait de nombreuses victimes sur des forums d’échanges) ou appeler l’administration concernée et ne jamais payer de sommes d’argent dans un tel contexte.

Sur le plan technique ensuite: tenir à jour son système d’exploitation, les différents logiciels et ajouts (plugins) installés (Java, Flash, Adobe reader pour ne citer que quelques-uns), ainsi que les solutions de sécurité (tels les antivirus). Pour les personnes dont l’ordinateur a été contaminé, plusieurs guides d’aide à la désinfection existent (Melani- agence Suisse de sécurité informatique – signalé par @xylit0lMalekal).

Sur le plan judiciaire enfin. Evidemment, l’installation malveillante d’un virus sur un ordinateur constitue une atteinte à un système de traitement automatisé de données, puni notamment en France par les articles 323-1 et suivants du code pénal. Toutefois, il n’est pas forcément judicieux de porter plainte pour toutes les occurrences de tels faits, même si vous en avez parfaitement le droit. Nous sommes parfaitement au courant que chaque jour des centaines de personnes sont concernées en France et les enquêteurs de la communauté NTECH sont d’ailleurs mobilisés pour répondre à vos questions et vous assister, en particulier sur ce cas comme je vous l’expliquais plus haut.

Dans ce cas, le conseil que l’on peut donner, est de ne déposer formellement plainte que si vous avez malheureusement payé la rançon réclamée. Cela nous permettra d’envisager, avec l’accord des juridictions locales concernées (votre Procureur de la République), de remonter sur les moyens de paiement utilisés.

Autres images

Version OCLCTIC

À propos Éric Freyssinet
Officier de gendarmerie. Chef de la division de lutte contre la cybercriminalité, unité de gendarmerie chargée des investigations sur Internet au niveau national. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). Head of the cybercrime division for that agency. Views published on these blogs are personal.

170 Responses to Le virus « Gendarmerie » – Bilan de la semaine

  1. Ping : Virus POLICE GENDARMERIE le retour | tOntOnfred BloG

  2. Jean-Claude dit :

    Voici un article précis et très bien construit ! Merci pour ces précisions, je pense qu’elles seront utiles à pas mal d’internautes.

    • giovanangeli dit :

      Bonjour mon fils vient de recevoir ce message soi-disant de la gendarmerie, heureusement ns n avons pas payé les 200 euros car mon autre fils est gendarme donc on n a eu les infos, mais voilà plus du tout d internet c’est vraiment de l arnaque j espère qu ils se feront attrapés.

    • johnny dit :

      il faut redemarer l’ordinateur en mode sans echec ,demarrer ,tout les programes ,accesoires ,outil systeme ,restauration du systeme . restaurer le systeme a 1 jour ou 2 en arriere . et plus de virus.

    • Il y a pas mal de virus qui résistent à ce type d’actions, mais c’est une bonne piste.

    • alckime dit :

      J’ai reçus se « message » il y a deux jour et je viens de reglée le probleme tres simplement

      Solution pour passer au traver: – ctrl+alt+sup. ferme la session puis annuler quand l’ordi tente de forcer l’arret de certain de vos logiciel

      – ou avec le mode sans échec
      Résolution du probleme :

      J’ai telecharger « Malwarebytes Anti-Malware » a partir du lien que je mettrais a le fin de se commentair.j »ai accepté et a premiere vus je n’ai plus de probleme

      Voila si quelqu’un avais deja explique sa plus bas sa ne fait pas de mal de rappeler que nous pouvon nous en sortir avec un petite recherche.
      j’ai instaler le logiciel et lancer un scan rapide qui ma trouver deux malware (logiciel malveillant)
      qu’il ma proposer de suprimer a condition de relancer mon ordinateur

    • Octo.94 dit :

      Comment se débarasser de ce cheval de troie ?

    • sesame dit :

      installé roguekill en mode sans echec scan et suprimé et redemarré le pc et tranquille apres

    • MICHEL PASCALE ANNE-MARIE dit :

      ce jour 22 avril 2012, je viens de subir l’attaque de ce virus. Il est ignoble de jouer sur la peur des gens. Ma première réaction fut de sermoner assez rudement mon fils de 15 ans quant
      à une mauvaise utilisation d’internet. Et en relisant le message j’y ai décelé des irrégularités. Il me semblait bizarre quel’on me réclame de payer sur le champ pour le déblocage de mon ordinateur. C’est venant sur ce site que j’ai dans un premier temps faire enregistrer ma plainte et découvrir que je n’étais pas la seule victime.
      Le problème c’est que je ne peux absolument pas redémarrer mon ordinateur sans que ce panneau s’affiche. Je ne peux même pas accéder au menu démarrer.
      je ne sais plus quoi faire pour récupérer l’accès à mon ordinateur, ni même comment faire pour éliminer ce cheval de troie. Je redoute que mon PC soit définitivement hors service.
      Et je n’ai pas les moyens d’acheter un autre PC.
      Merci de répondre à ce post.
      Cordialement
      P.Michel

    • Bonjour,

      Il convient, en fonction du cas auquel vous êtes confronté, de suivre les conseils qui vous sont donnés ici: http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ . Après ces opérations de nettoyage qui devraient résoudre votre problème, si vous n’avez pas de solution anti-virus, vous pouvez soit en acheter soit installer un antivirus gratuit. Enfin, faites régulièrement les mises à jour de votre système d’exploitation et notamment sous Windows utilisez bien Windows Defender qui vous protège de pas mal d’activités malveillantes.

      Cordialement et bonne soirée !

    • Anais dit :

      Comment faut faire pour enlever ce virus je suis sous vista ?

    • deschamps dit :

      bonjour,

      J’ai eu cette aventure ce matin. Je regardais le site hxxp://www jcomjeune com/dossier/que-faire-sans-le-bac-0. Quand une image m’annonçant que mon logiciel adobe est pas à jour. une fois sur celui-ci , j’ai bien décroché ne pas vouloir l’anti-virus, et tout c’est bloqué!
      J’ai réussi à débloquer la situation en faisant la manœuvre : mode sans échec sans réseau puis programme, accessoire , outil système, restauration du système.

      J’aimerais si il faut tout de mime avoir un logiciel pour ôter toutes traces sur le pc

    • Bonsoir,

      Je conseille un certain nombre d’outils dans un autre article sur le même sujet:

      http://blog.crimenumerique.fr/2012/05/17/les-rancongiciels-sont-toujours-tres-actifs/

      Cordialement

    • LOMBAERT dit :

      Nous avons été victime nous aussi de ce virus. Nous avons été chercher un ticker uKASH et surprise en rentrant à la maison, l’ordinateur a redémarré normalement. Nous avons maintenant ce ticket ukash de 100€ il n’est utilisable nulle part. Si quelqu’un sait ce qu’on peut en faire. Merci de nous le dire.

    • Bonjour,

      Il faut contacter le service client de Ukash (http://www.ukash.fr/) qui seul peut répondre à cette situation.

    • Lilou dit :

      Bonjour,
      J’aurais voulu savoir suite à un virus qui a vérouillé mon ordinateur(problème résolu par un collègue), j’ai acheté un ticket paysafecard de 100€ dans un bureau de tabac.
      Je me suis rendu compte du virus grâce au ticket paysafecard.Je me suis donc pas servi du ticket de 100€.
      Cependant, j’aimerais savoir si je peux faire confiance à Paysafecard pour le remboursement de mes 100€?
      Sachant qu’il demande une copie du ticket de 100€, un RIB(normal) mais également l’adresse postale, la copie de la carte d’identité recto verso et faire tout ça par mail sur leur site?Dois je le faire ou pas?
      Si quelqu’un a plus de renseignement merci d’avance pour la réponse!
      Cordialement

    • Bonsoir,

      Oui je vous confirme que paysafecard effectue des remboursements à ses clients qui signalent une fraude.

    • gilles dit :

      bonjour tous le monde j’ai reçue ce message hier et je suis tomber dans le panneau il mon demander de payer 100 euro et je suis aller chercher un bon ukash au bureau tabac et j’ai payer comme un âne qu’est ce que je doit faire merci de me répondre!

    • Bonjour. Pour Ukash, les conseils de cette société sont ici: https://www.ukash.com/fr-fr/security_alerts/

  3. calimerotte45 dit :

    ça craint je n’étais même pas au courant!!!
    merci pour cet article
    je partage

  4. Ping : Actus Sécurité Grand public 2011 S50 | La Mare du Gof

  5. pleurer2rire dit :

    il est vrai que beaucoup de personne se font passer passer pour d’autres sur le net
    et cela est plutôt dangereux car ils peuvent obtenir avec le temps
    des informations privées
    pour ma part, je tentes de faire très attention à ce que je poste,
    et rarement avec mon prénom et nom

  6. Ping : demo | Lesvosnews.net

  7. JOHANN dit :

    MOI VIENT DE RESEVOIR LE VIRUS GRRR EST IL MAIS UN CHEVAL DE TROIS AUSSI

  8. Stéphane dit :

    J’ai lu cet article dès sa sortie, et j’ai été confronté au problème cette après-midi même!
    Pour régler le pb, j’ai donc vérifié les clés de registre pour le démarrage du Shell sous WinXP.
    Apparemment le fichier vérolé porte le nom de « explorer.exe », donc les clés de registres étaient « claires » rien n’était à soupçonner de ce côté là.
    Je me suis connecté au poste vérolé en « admin local » via le mode sans échec en mode console et j’ai supprimé le fichier « explorer.exe » (je l’ai sauvegardé avant…) et j’ai copié un explorer.exe propre pris sous un autre XP opérationnel.
    L’ordinateur contaminé est reparti comme en 40…A présent les équipes du client vont pouvoir effectuer les mises à jours et opérations correctives qui s’imposent…
    Sans cette news postée sur ce blog, je n’aurai pas pu réagir aussi vite pour mon client!
    Merci

  9. Célia dit :

    Salut Stéphane.
    Ca m’est arrivé! J’ai essayé d’arranger ça mais je suis très nulle en informatique. Peux-tu plus précisément comment tu as procédé?
    Merci.

    • Stéphane dit :

      Bonjour Célia,
      En fait, j’ai redémarré l’ordinateur infecté en mode sans échec (presser F8 pendant le démarrage de l’ordi), choisir le mode console.
      Ensuite il te faudra l’identifiant Admin local avec password.
      Une fois en mode console, branche une clé usb sur ton ordi, laquelle devra contenir le fichier « explorer.exe » pris sur un autre poste WinXP qui fonctionne.
      Pointe le prompt sur ta clé usb et execute explorer.exe.
      A partir de là tu auras récupéré l’explorateur windows.
      Une fois dans l’explorateur, dirige toi dans le répertoire c:\Windows (ou Winnt) qui contient le fichier « explorer.exe » vérolé.
      Supprime le et fait un copié/collé de celui présent sur ta clé.
      Redémarre l’ordi et fait une analyse antivirale. ton antivirus devrait détecter un cheval de troie dans le répertoire JRE qui correspond à ton dossier d’install JAVA.
      Je te conseille ensuite de sauvegarder tes données et faire une réinstallation du système.

      Cordialement,

      Stéphane

    • yves dit :

      Bonjour, la meilleure solution sait de télécharger MALWAREBYTES GRATUIT car le virus chez moi a contaminé mon ordinateur une 2ème fois. Dès que la page GENDARMERIE ou autre apparait tu arrètes ton ordinateur puis tu le redémarre et tout de suite tu cliques sur la fenétre MALWAREBYTES puis continuer et rechercher, puis la page GENDARMERIE recouvre tout l’écran de ton ordinateur mais quand le MALWAREBYTES a fini sa recherche (5mn un peu près) l’écran réapparait et tu cliques sur résultat puis supprimer, après tu redémmare ton ordinateur. Cela est valable pour tous les virus.

  10. Célia dit :

    Ok. Merci beaucoup Stéphane. Je vais essayer.

    • Célia dit :

      Je ne suis pas encore tout à fait au point. Qu’appelle-tu par « indentifiant admin local »?
      Lorsque je me met en mode console je n’arrive à rien faire!!!! Il est écrit :
      Administrateur : cmd.exe (dans le bandeau de la femêtre)

      Microsoft Windows [version 6.0.6001]
      Copyright 2006 Microsoft Corporation. Tous droit rùservùs.
      C:\Windows\systeme32>

      Que dois-je faire?

      Merci beaucoup.

  11. gwenhadu dit :

    Je suis dans le morbihan et je viens à l’instant de subir cette tentative de fishing, ça fait bizarre ce message qui nous fait nous sentir coupable avant même d’approfondir la chose, cependant, comme à chaque tentative dont j’ai été victime, les grossières fautes d’orthographe m’ont toujours mis la puce à l’oreille,…Soyez vigilants et
    Vive les dictées!!!

  12. Ce virus est en train de se répandre de plus en plus, le soucis c’est que même des gros sites sont touchés.

  13. Ping : Tentative d’escroquerie gendarmerie, petit coup d’œil.

  14. Sophie dit :

    Merci pour cet article bien fait notamment sur l’inconscient collectif et le fait que ce virus vise non seulement à nous escroquer mais à nous culpabiliser. Je viens d’être victime aussi. Je voulais voir la saison 8 de desperate housewives sachant que les sites de streaming bloquent au bout de 72 minutes de visionnage. Donc, je ne me sentais pas dans l’illégalité, n’ayant jamais téléchargé.
    J’ai bien sûr paniqué. J’ai appelé mon FAI qui m’a conseillé d’appeler la police. Celle-ci m’a rassurée en me disant que c’était un virus qui sévissait et que ce n’étaient pas leurs méthodes de procéder ainsi. J’ai réussi avec peine à m’en débarrasser enfin j’espère, en procédant en dernier recours à une restauration du système. Je suis sous vista et j’ai réussi à la faire en allant sur le mode sans échec qui lui a été épargné. Ce qui me laisse perplexe c’est que j’ai un antivirus à jour et que toutes les mises à jour (acrobat…) avaient été faites.

  15. sylvie dit :

    bonjour j suis victime de c virus mais je ne peux absolument rien faire , mon ordi est bloqué comment faire?

  16. lI dit :

    Excellent article qui permet de ne pas s’inquiéter plus que ça puisque cela permet d’identifier le problème comme étant un virus … et merci aux internautes qui participent pour avoir mis le doigt sur le problème : explorer.exe.

    Pour ma part, au lancement de Vista, en rédémarrant en mode sans échec, il est proposé de faire une restauration système. Ce qui a été fait, à la veille de mon problème, ce qui a restauré mon fichier explorer.exe.

    Merci à tous

  17. KristoOf dit :

    Bonjour,

    Ma soeur a etait victime de ce virus, et malheureusement elle a suivie à la lettre la page d’avertissement car elle ne voulait pas perdre tout les donnés sur son ordinateur, pensant qu’elle a fait quelque chose de mal. Comment peut elle se faire rembourser les 200€ ? Elle travaille dur pour les avoirs et la voir pleurer pour avoir donné de l’argent durement gagné à des hackeurs, profiteurs et j’en passe, me met hors de moi. Dois t-elle porter plainte et sera t-elle remboursé? Merci par avance de vos réponse.

    • Bonsoir,

      D’abord elle doit contacter la société qui commercialise les tickets et deposer une réclamation. Comme il s’agit d’une transaction frauduleuse ces sociétés aident volontiers les consommateurs lésés. Je ne peux pas vous donner de garantie absolue, mais c’est ce qu’on constate. Ensuite, elle peut déposer plainte évidemment, pour apporter des éléments aux enquêteurs sur son cas particulier (références des tickets notamment).

    • kristoOf dit :

      Je vous remercie beaucoup de cette réponse rapide, on contactera au plus vite la société qui commercialise les tickets et je reviendrai publier mon expérience afin d’apporter des éléments de réponse à ceux qui sont confronté comme nous à ces « pirates cybernétique ».

    • Précision: je parlais de Ukash ou Paysafecard, qui ont des infos de contact sur leurs sites Web, pas de votre buraliste qui n’est que le distributeur

  18. kristoOf dit :

    Suite à l’appel au service clientèle de PAYSAFECARD, (plateforme basé en Angleterre et pas en France) ne maitrisant pas la langue, j’ai trouvé les conditions générales d´utilisation de la paysafecard pour mes droits à un remboursement (ci-joins l’adresse du site) http://www.paysafecard.com/mobil/fr/mobile-website/mobile/footer/cdg/

    J’ai consulté le  »récapitulatif de crédit » des 2 cartes de valeur de 100€ chacune et par bonheur les sommes ne sont pas débités. A partir de là, est ce que ma sœur peut faire opposition sur son chèque? Comment retourner les cartes à PAYSAFECARD?

    Je vous prie de m’excuser par avance, en ce 31 décembre de vous solliciter une fois de plus.

    • Essayez leur formulaire de contact http://www.paysafecard.com/fr/general/contact/ ou leur assistance téléphonique « 0826 460 910 (tarif d’un appel local) du lundi au dimanche de 10 h à 22 h »

    • kristoOf dit :

      Je viens à l’instant de bloquer le débit des cartes. Les remboursements s’effectueront les jours ouvrés. En espérant que notre mésaventure apporte de l’aide à ceux se trouvant dans la même situation. Je vous remercie de votre aide et vous souhaite tout mes voeux pour la nouvelle année 2012.

  19. sami dit :

    Bonjour à tous,
    le 25 decembre j’ai aussi été victime de ce virus. Jsui allé de suite au commissariat, les jeunes qui étaient de service connaissaient l’existence du virus. De tte facon, la gendarmerie si elle doit prendre contacte avec une personne, n’envoie jamais de msg par le net…elle vient toquer à la porte lol

  20. Christophe dit :

    J’avoue que le message était bien fait pour une fois.
    Leur technique (celle des pirates) s’améliore, peu à peu.
    Mais en général en regardant bien le message il y a souvent une anomalie qui permet de savoir que c’est une tentative frauduleuse.

  21. pierre dit :

    bjr

    quels sont les sites qui propagent ce virus ?

    merci

    pierre

    • Bonjour,

      Comme je l’indiquais dans l’article, les premiers cas étaient liés à des bannières publicitaires affichées sur des sites Internet à grand trafic, dont pas mal de sites de streaming (légal ou pas), des forums très fréquentés, etc…
      Ensuite, comme l’a relevé le site Malekal, ont été aussi identifiés des diffusions grâce à des sites Web compromis.

      Cordialement, E.F.

  22. Erwan dit :

    Bonjour,
    j’ai moi aussi été victime de ce virus hier soir, sur un site de streaming, et je me suis fait avoir par une banniere « automatique ». C’est encore plus fourbe que les banniere, tu n’as même pas a cliquer dessus ^^ ! Lorsque tu tu ouvre la page, tu reçois 3 pop-up, dont le virus, et tu ne sais plus quoi faire.

    On m’accuse de pédopornographie, je panique, je ne me souvenais pas avoir entendu que le gouvernement avait pris de si grosse mesure pour poursuivre des personnes qui en plus ne font que regarder du streaming. Je ne suis pas aller sur des sites malsains, et je me dis que parmis les pop-up qui c’étaient ouverts, uns d’eux l’étaient.

    Je décide alors de redémarré l’ordinateur. Le virus reprend directement le controle. Je le reredémarre, et un scan se lance. Je ne sais même pas quel programme c’était. Je suis sous seven, et mon abonnement Norton a expiré fin 2011, et je ne l’ait pas encore remis. Finnalement, comme le scan me parraissait long, je l’ai arreter en cours de route et j’ai relancer l’ordinateur. Depuis, il fonctionne correctement, mais dois-je craindre une récidive ? Comment m’assurer que le virus ne se trouve plus sur mon ordinateur ?

    Sinon tres bon article ! Apres coup, je me dis que ceux qui ont créé ce virus sont « des génies ». D’un point de vue informatique, je ne sais pas, mais psychologiquement… ils sont tres forts ! Ils ont réussis à toucher les victimes pour les mettre en situation de panique, et arrivé a leur fins. On ne dira jamais assez qu’internet est dangereux… Et des personnes malles intentionnées, pour peu qu’elles si connaissent en informatique, peuvent facilement manipuler les gens. D’accord il faut mettre en place des moyens pour retrouver des personnes qui téléchargent illégalement, mais pendant ce temps là, d’autres personnes abusent de la crédulité des internautes sous le nom des autorités Françaises pour escroquer les gens…

    Autre question: comment se fait-il que l’on n’ait pas pu retrouver les coupables ? Pour installer de telles bannières sur des sites aussi populaires, il faut bien leur payer quelque chose non ? Pourquoi ne peut-on pas retrouver leur traces ?

    Erwan.

    • Bonjour,

      Non ce ne sont pas des génies, d’ailleurs le mode de diffusion du virus réutilise des kits tout faits (Black Hole exploit Webkit), donc ils n’ont vraisemblablement pas inventé grand chose.

      Les bannières publicitaires utilisées sont tout simplement des prestations qui peuvent être achetées par n’importe qui auprès de fournisseurs qui ne vérifient pas bien les conditions techniques de leurs services et laissent insérer n’importe quel code dans les bannières publicitaires et pas uniquement des images et des liens.

      Pour le reste, je suis convaincu que des enquêtes vont aboutir.

      Cordialement,

    • Erwan dit :

      Hier soir, même heure, même bug (je ne sais pas si c’est une coïncidence ou pas). Je n’était pas sur Internet, mais ma wi-fi était activée. Au redémarrage, j’ai simplement désactivé le bouton « wireless » de mon ordinateur (pour couper les connexions sans fils) et il démarre correctement. Ensuite, en remettant les connexions, le bug ne se relance pas… Bizarre xd !

      J’espere aussi que les enquête vont aboutir… On peut facilement tomber dans le panneau, et ils jouent sur des arguments qui, de plus, nous poussent à ne pas en parler autour de nous…

      Sinon Pierre, je ne me souviens plus du site de streaming. C’était une video extraite de l’hébergeur « megavideo », mais je ne sais plus le nom exacte du film… Une chose est sûr, je ne touche plus au streaming avant d’avoir mon nouvel antivirus ^^ !!

  23. pierre dit :

    bjr

    j’avais oublie de dire merci

    y a t il des antivirus efficaces pour ce genre de joyeusetés

    ps erwan c’était quel site de streaming; j’ose même plus aller sur des sites de streaming audio qui ont l’air honnetes !! je me contente des radios

  24. Une raison de plus de rester sous Linux, m’enfin, quand on n’est pas bien réveillé, j’avoue les fautes d’orthographe, le manque d’accents et de conjugaison, ainsi que le sujet familier « on » pour commencer les phrases pourraient mettre sur la voie.

    En tous cas, merci pour l’info! Twitté et re-twitté.
    Je ne connaissais pas ce site, je le suivrais de près maintenant.

  25. Jean-Claude dit :

    J’ai pu aider quelques ami(e)s sous Windows grâce à la version gratuite de Malwarebytes Anti-Malware (fonctionne non pas en tâche de fond mais à la demande) : http://fr.malwarebytes.org/products/malwarebytes_free
    Je vous donne l’info en cas de besoin …

  26. laaloudj dit :

    Bonjour,

    Je viens de subir cette attaque!

    Des que j’allume l’ordinateur , je constate qu’il est complètement bloqué ! J’ai beau le redémarrer en appuyant sur la touche F8 comme dit précédemment mais rien ne se passe. Pourriez-vous m’aider s’il vous plait ??

    Merci d’avance.

  27. Le Notre dit :

    Infecté par le virus  » Gendarmerie Nationale » la FNAC me conseille l’achat d’un logiciel anti-virus d’un montent de 85 euros. Est-ce efficace ??? Merci pour la réponse

  28. Lyj dit :

    Bonjour,

    je viens moi aussi de subir l’attaque de ce virus. Mais il semble prendre plusieurs formes. En effet, il est apparu sur l’écran de mon PC directement, sans que je sois allé sur aucun site de streaming. Il touche donc n’importe quel PC au hasard, maintenant.
    Vu les faits qui m’étaient reprochés et qui ne me concernaient absolument pas, vu aussi les grossières fautes de français, j’ai tout de suite vu que c’était un virus et j’ai trouvé qu’il était vraiment grossier et facile à repérer comme arnaque, mais j’imagine que des gens qui auraient des choses à se reprocher ou des gens un peu naïfs ont pu se faire avoir.
    En tous cas, difficile de croire à un site qui se fait passer pr la gendarmerie nationale et qui en même temps sur la même page affiche de la pub pr des cartes de paiement. Au fait, que st ces cartes de paiement ? En quoi consistent-elles ? Il faut payer leur pseudo amende par carte prépayée (ms j’ai oublié de noter leur nom, voucher ukash je crois qqch comme ça).

    Ce virus est bcp moins élaboré que les faux windows protection suite, par ex.

    Merci pour les info sur votre site en tous cas.

  29. bob dit :

    Tout ça c’est beau, mais l’argent va quelque part et si tout le monde ne paie pas, il y a quand même des victimes. Ne pas porter plainte, d’accord, mais quid des malfaiteurs ? Qui sont-il, sont-ils inquiétés ?

    • Bonjour,

      Vous pouvez toujours déposer plainte mais c’est surtout utile pour les cas où la victime a malheureusement payé, justement pour cette raison qu’on souhaite pouvoir envisager de retracer les transactions.

  30. Vincent dit :

    Ce virus m’a touché aussi dimanche soir alors que j’étais sur un site de streaming. Etant mineur, je ne le vous cache pas, j’ai tout de suite eu peur suite aux accusations formulé. Mais réfléchissant, je me suis dit suite aux moyen de paiement douteux et les verbe qui devait être à l’infinitif et qui ne le sont pas que c’était un faux. Jai fait une recherche(avec un autre ordi) et je suis tombé sur votre article qui m’a rassuré. Je suivais le guide proposé, malheureusement je n’arrive pas à formuler les sorte de guillemets bizarre au début et à la fin de la commande demandé à mettre dans le mode sans échec. Je serai reconaissant si vous m’aidiez à trouver comment formuler ces signes sur mon clavier. Cordialement. Désolé pour les fautes de français, je n’avais pas beaucoup de temps.

  31. Vincent dit :

    Et je ne peux pas installer d’antivirus car je n’ai pas de lecteur cd et pas d’accès à mon interface

  32. Vincent dit :

    J’ai utilisé les différents moyen de désinfecter. Voila ma situation le fichier « Shell » on me demande de le modifier en « explorer.exe ». Le problème c’est qu’il a déja ce nom. Je peux utiliser le mode sans échec, c’est toi et rien installer comme antivirus. Il semble que j’ai donc la troisième version du virus. Je suis donc allé voir ce cas spécifique, jai vu quelqu’un accéder à ses documents via une vidéo youtube en cliquant sur le logo de la gendarmerie(enregistrer l’image) malheureuseument j’ai essayé tout les cliqs rien ne se produit comme ca. Après je me suis perdu dans les explications. Je recommencerais demain à désinfecter mon ordi.

    • aurelien dit :

      salut, est ce que tu a trouvé une solution et si oui comment parce que moi sa me fait exactement la meme chose que toi donc si tu pouver m’aider stp

  33. dydy35600 dit :

    bonsoir, mon mari vient d’avoir ce message sur son ordi portable mais nous arrivons pas a trouver le bon moyen de réparer .Nous sommes sous vista .
    Merci a vous si vous avez des liens.

  34. Vincent dit :

    Merci de ton aide pour la clé usb, j’y avais déja penser malheureusement je pense que je n’aurais pas pu l’ouvrir avec le mode sans échec(maintenant que j’y pense on arrivait dans le poste de travail donc peut être). Mais j’ai finalement retrouver le f9(je pensais que cette fonctionnalité était présente dans le mode sans échec) qui s’apelle restauration usinage qui permet de tout redémarer mais en perdant toute ses données( je n’avais pas de données importante sur cette ordinateur). Fonctionnalité trés utile.

  35. zekstyle dit :

    Bonjour à tous, j’ai eu la surprise de ce virus, donc infos pour ma part j’ai Formaté et réinstallé mon os et tout vas pour le mieux, la surprise c’est les fautes pour ma part j’ai souris ^^
    Cordialement.

  36. jonathan dit :

    Pour ma part j’ai eu aussi se virus hier soir et j’ai redémarré mon pc en mode sens échec avec prise de réseau une fois mon pc allumée j’ai télécharger se logiciel (Malwarebytes Anti-Malware) qui ma enlevé se virus j’espère que sa pourra aidé quelqu’un voila.

  37. G Pellé dit :

    Monsieur, j’ai lu avec interet votre article, ainsi que les commentaires des internautes roulés dans la farine par ce virus, en ayant moi meme été victime recemment.Je n’ai evidemment fait aucune demarche pour payer quoi que ce soit, ce qui,selon vous, serait un prealable necessaire a tout depot de plainte.Mais, etant peu expert en informatique, je n’ai eu d’autre choix, pour debloquer mon ordinateur, que de recourir a l assistance d’un specialiste informatique, ce qui, pour le porte monnaie, revient strictement au meme…C’ est donc pourquoi, et quand bien meme cela puisse ne pas se traduire par des resultats ,a savoir un retour des pertes financieres et une compensation pour les desagrements encourus, je tiens absolument a porter plainte, pour ainsi dire, au moins, par principe.Je souhaite ici insister plus que lourdement aupres des internautes qui pourront me lire pour qu’ils ne se mettent pas a trouver qu’une attitude resignée vis a vis de ces pratiques scandaleuses puisse etre seulement envisageable. Je n’ai en ma possession aucun des elements informatiques par quoi je pourrais apporter preuve de l’abus, juste la feuille de paiement de l’informaticien consulté,ainsi, au besoin, d’une attestation ecrite de celui ci afin d’appuyer mes dires, et confirmant que c’est bien du virus dont il est question ici dont on a débarrassé mon ordinateur.Je compte sur un possible demasquage futur de ces escrocs pour obtenir reparation, et j’ai tout mon temps.Pourriez vous m’indiquer, ainsi qu’aux internautes pour qui la demarche semblera necessaire, à quelle adresse envoyer ma plainte? Bien à vous, GP

  38. Olivier dit :

    J’y ai aussi eu droit… hier au travail! J’ai d’abord eu peur (la « peur du gendarme »!), puis en voyant le « Police municipale » et les fautes d’orthographe, j’ai compris…
    En attendant le PC est bloqué depuis hier, l’informaticien ne viens que lundi, et ma société perd du chiffre… car un avion aurait du décoller ce weekend, mais sans le rapport de contrôle, il va rester sur le tarmac…Donc une plainte sera posée, même si on a pas payé « l’amende »… Et j’incite quiconque ayant reçu cette visite non désiré à faire pareil, car le préjudice est la, et les conséquences peuvent parfois être importantes.

  39. Thierry Cumps dit :

    Ma femme y a eu droit hier. Comme son compte était bloqué. Je me suis connecté avec mon compte administrateur, je lui ai supprimé son compte et je lui en ai recréé un. L’antivirus Microsoft Security Essential a supprimé 2 troyens mais comme je préfère prendre toutes mes précautions, j’ai redémarré le PC avec un CD-ROM de Kapersky Rescue 10 (téléchargement gratuit sur le site de l’éditeur). J’ai booter sur le CD-ROM, démarré en mode texte, puis passé en mode graphique, mis à la jour la base de données des virus puis coché toutes les cases pour un scan complet et une dizaine d’heures après 9 chevaux de Troie avaient été découvert et supprimé. Conclusion : ce n’est pas parce que vous pensez vous être débarrassé de ce virus que vous l’êtes vraiment. Démarrez sur un antivirus bootable et scannez intégralement votre PC (l’antivirus sur Windows a sûrement été désactivé par le virus).
    Une fois le PC enfin clean, l’antivirus de Microsoft refonctionne normalement jusqu’à la prochaine alerte.
    Précision : je suis administrateur réseaux pour une mairie.

  40. CHAUSSIN Louis dit :

    Ordinateur de mon fils bloqué depuis hier soir par l’OCLTIC . Ne sachant rien de ces problèmes et ayant connaisance de ses divagations  » peu avouables » sur internet …nous avons cru à une vraie « sanction » …Donc il a effectué le paiement par Ukash (100 €) mais rien…
    pas de déblocage . J’ai donc pris l’initiative, par hasard, de cliquer : Ctrl-Alt + Suppr …et tout a disparu . Une demande de Redémarrage et d’attente de finition de nettoyage ont suivi …et tout semble être redevenu normal …sauf les 100 €, qui se promènent.
    J’ai lu tout ce « forum » avec intérêt. Merci de vos conseils.

  41. Aurelien dit :

    Bonsoir, j’ai eu le meme souci, mon ordi est bloqué, j’ai essayeé comme,dit au dessus ou il faut changé le new.exe et le mien est deja en explorer.exe et j’ai des fichiers a récuperer dedans donc si quelqu’un peut m’aider svp c’est assez urgent car j’ai besoin de mon ordi et les fichiers sont pour le travail de ma mere ! Merci

  42. tarek dit :

    bonjour
    etant victime de cet arnaque et ayant payé betement 200 euro , je voudrai joindre Ukash par telephone, mais je n arrive pas a trouver le numero du service client.
    pourriez vous me l indiquer svp et me dire si les interlocuteurs parlent francais ou anglais.

    merci d avance

  43. Anthony dit :

    Un de mes ami étant touché par ce virus a emmené l’ordinateur à réparer et a demandé d’où provenait cette attaque. Et à première vu il viendrait de la mise a jour d’adobe ou de java.
    Si cette piste peut aider certain qui veulent éclaircir le sujet …

    • En fait, les personnes qui n’ont pas les dernières mises à jour d’Adobe Flash ou Java sont plus susceptibles devoir leur ordinateur contaminé.

  44. Eric dit :

    Bonjour et merci pour les conseils précédents et pour votre travail M. Freyssinet. J´ai été victime du virus hier soir et je n´étais pas au courant de la chose. J´ai bien sur tout de suite compris qu´il s´agissait d´un virus, j´ai redémarré en mode sans échec et fait un scan avec AVG et le virus n´apparaissait plus. J´ai tout de même téléchargé Malwarebytes qui m´a encore détecté trois menaces. AVG et Ad-aware parfaitement à jour n´ont rien empêché du tout. J´étais en train de rechercher des images de textures pour fond d´écran à partir de Google quand la chose s´est produite, donc pas des sites de streaming… Etrange non? Et que je sache, tout est à jour y compris Adobe Flash et Java, qui entre parenthèse, a été inventé par un gars qui a étudié dans le même lycée que moi (ça c´était pour la petite histoire)….

  45. napias christian dit :

    faut il se mefier de la regie publicitaire CLICKSOR car dans un precedent courrier un internaute avait ete infecte par le virus gendarmerie sur PIRATEBAY ? Ya t,il un moyen de supprimer ces bandeau publicitaires ?

  46. cachou13012 dit :

    bonjour merci pour ce merveilleux poste il n’y a pas plus de 25 min j’ai été traiter en bref de pédophile– par unde ces messages et mon ordi était bloqué j’ai commencer a strésser meme si j’avais de sérieux doutes alors j’ai fait une recherche internet et jsuis tomber sur ce site et grace au autres personnes qui parlait de mode sans echec (dont je n’y comprenais rien–) j’ai fait une autre recherche et j’ai pu me debrouiller et trouver un autre site pour savoir comment mettre le mode sans echec j’ai fait une ptite restauration et tout remarche impec merci a vous franchement=)

  47. Joyeux dit :

    Quelles études faut il fair pour Etre  » Enqueteur de technologie informatique  » ?
    Je suis en 4ème est je suis très interressé. Merci.

    • Bonjour,

      En général, il faut d’abord être policier ou gendarme (http://www.lagendarmerierecrute.fr/). Mais si ce que vous intéresse est d’abord l’aspect technique des choses, lancez-vous dans des formations scientifiques et techniques du domaine (iut, voire école d’ingénieur / master 2 en informatique, cela dépend de votre profil).

  48. Antoine dit :

    Bonjours hier soir j’ai reçu un message bloquant mon ordinateur me disant que la police et la gendarmerie ont scannés mon ordinateur et on trouver des photos à caractère « pornographique de type enfantin et violent », ce qui m’étonne vu que j’en ai pas ! Et à ceci était rajouté que si je ne payé pas dans les délais une descente serai faite cher moi . Je vous avouent que sa fait peur … mais en regardant bien aucune date n’était affiché. Ils me demandaient 100€ à payer par Ukash et par un autre moyen de paiement dont j’ai oublié le nom.
    Alors je me demandais ceci est-il une fraude ou un vrai avertissement ? Pour le moment étant donné que mon ordinateur est étroitement connecté avec mon disque dur externe, une petite déconnexion de celui-ci et mon ordinateur s’est redémarré. Ce qui m’avais choqué c’était que la page d’avertissement n’apparaissait plus.

    Voilà que doit-je faire ??

  49. Emma dit :

    bonjours, moi j’ai reçu ça

    Attention
    Votre ordinateur est bloqué en raison de la loi de la France.
    On révélait les violations suivantes:
    Le fait d’une prise de vues de film. L’inscription ou la transmission des documents de contenu pornographique avec la participation des mineurs, la pornographie mettant en scène des enfants, de la sodomie et des actions violentes en ce qui concerne les enfants. La punition est prévue par l’article (art.227-23) du Code Pénal de la France. Cela est puni par une réclusion pendant 2 à 5ans. L’exploitation du logiciel avec la violation des droits de l’auteur. La punition est prévu par l’article (art 323-3) du Code Pénal de la France. Cela est puni par une réclusion pendant de 1 à 3ans.
    ( Ils ont écrient 2fois la même chose!!!!! )
    Pour débloquer l’ordinateur, il vous faut payer l’amende conformément par la législation française dans la mesure de 100euros aux 3jours à venir. La punition est forme de l’amende est possible seulement à la première violation. A la violation réitérée suivra la responsabilité pénale. Si vous ne payer pas l’amende au délai exactement indiqué, votre ordinateur sera confisqué et votre affaire sera déféré au tribunal.
    Vous pouvez payer l’amende à notre partenaire avec l’aide des vouchers Ukash ou Paysafecard. Acquérez ces vouchers Ukash ou Paysafecard sur la somme de 100euros, puis remplissez une forme avec les codes et les sommes des vouchers. Appuyez sur un bouton <>
    Votre ordinateur sera débloqué à la fois après un contrôle de l’autrhensité Ukash/Paysafecard du voucher. D’habitude 1-4heures.
    Trouver un point de vente plus proche
    Commandez Ukash/Paysafecard : 100euros/
    Recevez un code Uskash (de 19chiffres) ou un code Paysafecard (de 16 chiffres)
    ……..

    Enfin voilà, je suis mineur et je n’est pas tout compris. J’aimerais qu’on me dise comment se débarrassé de ce virus! J’ai essayée de redémarrer mon ordinateur mais a chaque fois sa revient. J’ai fait alt+ctrl+suppr , fermer la session mais sa revient encore. J’ai enlevée la batterie de mon ordinateur et sa revient. J’ai aussi essayer de forcé l’arrêt pour éteindre mon ordinateur, puis annuler mais ça ne fonctionne pas non plus.
    Quelqu’un pourrait m’aider et vite svp!
    Merci d’avance.

  50. CHAUPITRE dit :

    bonjour, en visitant un site de lingerie et apres etre dirige sur de la lingerie dite coquine,un message gendarmerie ma bloque mon ordinateur en me demandent de payer une amande de cent euro . Mon ordinateur court il un risque?

    • Bonjour,

      Il convient, en fonction du cas auquel vous êtes confronté, de suivre les conseils qui vous sont donnés ici: http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ . Après ces opérations de nettoyage qui devraient résoudre votre problème, si vous n’avez pas de solution anti-virus, vous pouvez soit en acheter soit installer un antivirus gratuit. Enfin, faites régulièrement les mises à jour de votre système d’exploitation et notamment sous Windows utilisez bien Windows Defender qui vous protège de pas mal d’activités malveillantes.

      Cordialement,

  51. givry dit :

    bonjour ctrl+alt+suppr dans l’onglet proccesus il faut arrete le tout premier proccesus qui apparait le nom desoler je ne sais plus mais il faut aller tres vite au demarage de l’ordinateur puis il faut cliquer sur arrete et voila le message ne s’affichera pas mes ceci ne regle pas le probleme juste que vous serait tranquil tant que vous ne redemaré pas l’ordinateur voila

  52. Nataniel dit :

    Etant dans le domaine de l’informatique, la version 2012 est particuliairement penible.
    Cela dit il existe bon nombre d’outils qui vous permettrons de le virer en mode sans echec (malwarebyte, smitfraudfix, combofix et hijackthis une fois redemarrer en mode normal pour finir de degager les cles pourri)

  53. Nadine dit :

    bonjour, moi j’ai redémarré en mode sans échec (en tapant sur la touche F8 quand le BIOS apparaît), et j’ai fait une restauration. Maintenant celà marche normalement, mais je vais télécharger Malwarebytes. Et j’ai mis à jour JAVA.. merci..

  54. Laurent dit :

    Bonjour,

    J’ai « fait connaissance » avec ce virus cet après-midi même, et m’en serais bien passé. Je ne suis pas spécialiste informatique du tout, mais souhaite partager l’astuce qui a fonctionné dans mon cas. Ma session était bloquée par le virus (version « OCLCTIC » d’après ce que j’ai pu voir sur cette page) mais, par chance, pas la session de mon épouse (j’ai trouvé ça bizarre, mais encore une fois, je ne suis pas informaticien), ce qui m’a directement permis de faire une restauration… et de remettre en question la façon dont mon ordinateur est protégé !
    Merci pour les conseils prodigués sur ce site.

  55. Mohamed dit :

    Bonjour a tt le monde,

    Aujour’hui même à partir de 13h j’tais victime de ce virus, en effet tout l’ecran s’est bloqué et j’avais plus accés a rien…….. du coup j’ai cherché qlq infos en naviguant sur mon tél portable, j’ai recussi a lancer mon intivirus bitdefender que d’ailleur je l’ai decouvert en mode inactif comme par hazar…… en mode sans echec j’ai lancé l antivir avc une mise a jour rapide et hop il l a grillé et j ai repris la main sur l ‘ordi….

  56. bernard dit :

    Bonjour
    Il y a 15j à peine, j’ai désinfecté l’ordi d’un voisin. Cet ordi était à jour pour tous les logiciels.
    Les trucs donnés ne fonctionnaient pas (remplacé explorer.exe à différents endroits, ..)
    Ma méthode:
    1) démarrage en mode sans echec , qui lui fonctionnait.
    2) msconfig, et j’ai enlevé tout ce qui n’était pas indispensable
    3) redémarrage. l’antivirus a trouvé et enlevé les saloperies

  57. Ping : Les rançongiciels sont toujours très actifs « Criminalités numériques

  58. horn dit :

    Bonjour
    Hier j’ai reçus un message soi-disant de la gendarmerie que mon ordi était bloqué et qu’il fallait payer 100 euro et dans la panique comme une conne j’ai payer et bien sur je n’est vu qu’après que sur mon ticket de caisse qu’il ne fallait pas payer avec PAYSAFECARD pour déverrouiller mon ordinateur,je les ai appelé et il me bloque le payement mais il me demande un rib pour me rembourser, mais le problème c’est que je n’est plus confiance, alors que dois-je faire? es que qu’elle qu’un pourrait me donner un conseil svp merci.

  59. audrey dit :

    bonjour voila mon probleme j’ai eu une conversation vers un reseau social et apres quelqun c’est fai passer pour mon ami et il a di quil avait des souci si je pouvai aider et il a lancer un lien et j’ai cliquer san comprendre et jetai envoyer vers un site et j’ai recu l’amende de 100euros et maintenant tan ke je paye pas l’amende mon ordi s’allume pas quelqun pourrai m’aider svp

  60. jean luc dit :

    Bonsoir,
    Tout d’abord un grand merci à ces inconnus du web (dont fait partie Eric) qui sont toujours à répondre aux gens comme nous qui nous faisons avoir!
    Je viens d’avoir le « fameux message », il est toujours d’actualité!
    Je vais suivre vos conseils
    Merci encore
    Trés cordialement

  61. Judaique David dit :

    Bonjour,
    Je viens tout juste malheureusement de recevoir le virus je me suis rendu sur internet avec mon portable pour avoir plus d’informations et je suis tombé sur ce site !
    Merci à vous cela m’a rassuré ! Mais malheureusement je ne suis vraiment pas doué en informatique pouvez vous m’aider ?
    Merci d’avance.

  62. Constantin dit :

    Je me suis fait avoir aussi aujourd’hui sur un site de streaming, a moins que ce soit sur un forum a banniere, ouvert au meme moment.

    Pc du boulot sous XP pro, droits restreints (donc pas pu faire les maj java et adobe), c’etait pas gagne d’avance…

    J’ai tente le coup, j’ai :
    – demarre en mode sans echec avec prise en charge reseau (wifi)
    – telecharge RogueKiller qui s’execute sans etre administrateur : ouf !
    – dans RogueKiller j’ai fait un Scan + suppression : il a detecte 1 fichier
    – sauvegarde mes fichiers
    – redemarre normalement

    Ca marche ! Le fait qu’il soit encore sous XP m’a franchement aide pour le coup.

    Merci au forum et au developpeur de RogueKiller. Je n’ai pas pu lancer d’anti-malware (pas les droits admin), ma ca marche. Je vais devoir maintenant changer mes identifiants Amazon, Fnac, forums, mails, etc, etc…

  63. pat92. dit :

    bonjour,
    meme effet, a la nuance pres (vista), le virus ne s’active qu’à la connexion reseau, en suivant different conseil, et l’utilisation de Roguekiller j’ai procedé ainsi:
    -couper la lisaision internet
    -recuperer via un autre pc Roguekiller
    -appliquer les scans et lecture des rapports
    -verifier dans le rapport emis ou le fichier c’est installé, un fichier en exe… (windows32 et temp/local…pour mon cas)
    -suppression des fichiers temporaires
    -apres l’application de Roguekiller, la recherhce de ce fichier et vider la corbeille, cela fonctionne(sous reserve que ce virus ne ce reactive pas sous un certain delai)

  64. Ping : Vulnérabilité Java CVE-2012-4681 – Et si on devenait enfin responsables ! « Criminalités numériques

  65. Ping : JAVA CVE 2012-4861 Vulnerability – Let’s become more responsible ! « Digital crime

  66. bonjours je vien tout juste de recevoire un verus police et gendarme sur mon ordinateure de cher moi et je ces pas comment faire allore aidé moi svp merci de votre compréhension

  67. Mirldie dit :

    Moi j’ai eu la surprise de ma vie: j’etais en train de travailler sur un projet sur word, et je faisais des recherches sur le net et là paff le message monte, tout est bloqué et selon eux la seule solution c’est d’acheter un truc pour 100euros, j’ai paniqué un peu, apres j’ai utilisé un autre ordi pour faire des recherches dessus et là je suis tombée sur plein de forum, en disant qu’il s’agissait d’un virus d’arnaqueur et là apres 6h je viens de résoudre le problème.
    J’ai essayé avec les infos du site malekal ça n’a rien donné, j’ai téléchargé le trojan killer : il a identifié les virus mais pour les supprimer il faut acheter la licence. Donc j’ai suivi la solution de Deschamps en haut avec la restauration du système, ensuite de choisir une autre date avant la date aujourd’hui, et là bingo ça marche.

    tout est bien maintenant il faut etre prudent les amis.

    • Bonsoir,

      Attention à ne pas vous arrêter à la désactivation du rançongiciel et à bien passer un antivirus pour détecter d’autres menaces si vous n’en avez pas d’installer. Il se peut qu’en plus du rançongiciel vous ayez d’autres logiciels malveilants plus discrets installés.

      Cordialement,

  68. Patrice Mathieu dit :

    Bonjour et merci pour votre blog très informatif,

    Pour info je m’en suis débarrassé en redémarrant l’ordinateur en mode Safe, puis :
    1. Rechercher la nouvelle Tache de Démarrage, la désactivé (Commande Msconfig)
    2. Elle identique le répertoire et le programme incriminé.
    3. Supprimer le registre de démarrage associé (Commande Regedit)
    Registre dans Hkey_Local_Machine\Software\Microsoft\Shared Tool\MSConfig\startupreg
    4. Trouver et supprimer le programme identifié en 2. (Application Windows Explorer).
    5. Rechercher les autres fichiers ayant la même heure de modification (Windows Explorer).
    6. Les supprimer aussi, j’avais 2 autres programmes .exe et le répertoire de la page web.
    7. Supprimer tout les cookies, mettre à jour l’anti-virus et faire un scan complet de l’ordi.

    Une question qui me brûle les lèvres : Sachant que Ukash a l’obligation de révéler l’identité du receveur du paiement sur demande de justice, comment ce fait-il à votre avis qu’1 an après ce virus persiste encore ? En plus de perpétrer un vol ce virus usurpe l’identité de la gendarmerie nationale, ce qui j’imagine est encore plus grave, bref c’est pas très rassurant.

    • Bonjour,

      Ukash et Paysafecard coopérent avec les enquêtes judiciaires.
      Ce n’est évidemment pas directement celui qui récupère frauduleusement ces numéros qui en fait usage ensuite, mais des intermédiaires qui ne le connaissent même pas.

      Cordialement,

  69. LORINQUER dit :

    Bonjour,
    Mon beau-frère, est venue me voir hier soir en me demandant mon ordinateur car il avait une amende de 100 euros à payé qu’il a été chercher (ticket) chez un buraliste, car son ordinateur est bloqué ! Bien évidement, je lui prête pour regarder le site de paiement, ensuite je ne comprenais pas très bien, car il me disait que sur son écran était afficher une page de la gendarmerie !
    A notre grand regret nous avons rentrer le code du ticket pour payé la somme. Sur l’écran était afficher une phrase en anglais, je l’ai traduit, et ça nous disait que le code validée l’ordinateur sera débloquée dans quelque heure !
    Ce matin je tape depuis mon ordinateur « ordinateur bloquer page gendarmerie » est là je trouve votre site, qui nous indique que c’est un VIRUS.
    Quel démarche peut-on appliquer ??? Maintenant que le paiement est fait ???

  70. Ping : Halte aux rançongiciels « Criminalités numériques

  71. REMY dit :

    Bonsoir,
    J’ai été aussi infecté, j’aimerais porter plainte contre X, qu’elle est la procédure à suivre ?
    Merci de votre réponse

  72. Bob dit :

    Bonjour,
    Avant hier, j’ était sur internet et j’ ai reçu cette page « gendarmerie nationale ». Complètement paniqué, j’ ai vite fait lu le texte et j’ ai coupé mon ordinateur au bouton (reflexe). … Après avoir respiré un bon coup (sans enlever le stress), j’ ai rallumé mon ordinateur et la page « gendarmerie nationale » n’ apparaissait plus. Il n’ y avait que mon fond d’ écran.
    Chose marrante, c’ est la vitesse à laquelle on peut trouver des « solutions » en cas de panique ;).
    Mais, ayant déjà entendu parler de ce virus, j’ ai cherché à me calmer et j’ ai fait une restauration du système antérieure à 2 jours. Tout à bien fonctionné (ouf).
    Cela dis, avant de faire la restauration, j’ ai fait une recherche de virus en mode sans échec (j’ ai avast) et il n’ en détectait aucun.
    Bref, j’ ai fait ça, l’ ordinateur remarchait, et j’ ai refait des recherches de virus, sans résultat (ouf).
    Ma question est: Est ce suffisant de faire une restauration de système ? Est ce qu’ il faut faire autre chose pour « dégager » totalement ce virus ?

    C’ est vrai que c’ est sadique punaise, fut un temps où j’ allais fréquemment sur des sites adultes, cette période terminée, je n’ aurais pas accepté le regard de mon entourage sur les accusations de ce virus.
    J’ espère que vous réussirez à faire stopper tout ça. D’ ailleurs, pour le payement en ligne, n’ y a t’il pas moyen de retrouver le « destinataire » de ces versements ?
    Merci beaucoup pour cet article, c’ est un vrai souffle de paix.

    • Bonsoir,

      Depuis décembre on a mis en place avec une association un site d’information plus générique: http://stopransomware.fr/
      Oui, ça peut être suffisant, mais je recommanderai de vérifier toutes les mises à jour de tous les logiciels et plugins additionnels (Java, Flash, etc…)
      Ensuite de passer un coup de Malwarebytes en complément de votre antivirus habituel: http://www.malwarebytes.org/

      Oui, il y a des investigations sur toutes les pistes bien entendu.

      Cordialement,

      E.F.

  73. valentin dit :

    Bonjour,
    Il y a un mois de ça mon PC a étai bloque par un virus gendarme que j’ai pus neutraliser avec RogueKiller qui a bien marcher, depuis hier soir boom bloque par ANSSI et la pas possible de démarrer en mode sans échec merci de m’aider je ne c’est plus quoi faire (je suis novice en informatique merci)
    merci a tous

  74. yann dit :

    Bonjour a tous je viens de lire quelque articles qui sont tres intéréssant mais attention je viens d en subir un nouveau apparamaent..avec l ambleme du RAID et de Europol avec le meme systeme de paiment imédia de 100eur sur UKASH..
    sauf que je me suis douté de l arnaque !! maintenant mon ordinateur es complétement bloqué j ai essyer de faire sans anti-virus mais cela na pas fonctionner donc j ai essayé avc Avast et toujours rien non plus..que faire ? prendre un autre anti virus?

    Merci

  75. valou dit :

    bonjour,
    mon fils de 17 ans a subit cette attaque de virus ,il a donc été acheter un ticket de 100 euros et quand t’il a voulu allumer le pc rien a faire le pc ne demarre plus du tout .
    si quelqu’un a une solution nous sommes preneur.

    merci a tous

    • Bonjour,

      – Il faut rapidement prendre contact avec la société qui commercialise le ticket de 100 euros pour en demander le remboursement, en expliquant qu’il a été acheté sous la contrainte de ce rançongiciel.
      – Vous avez des conseils techniques sur le site http://stopransomware.fr/ et sur le même site des liens vers des forums d’entraide.

  76. valou dit :

    merci pour vos informations .

  77. valou dit :

    mais le pc ne démarre plus du tout ,aucunes fonctions ne s’allume pas de courant .
    je crois que le pc est fichu

    • Dans ce cas là le souci n’est pas du au virus lui-même. Il faut vérifier l’alimentation, la connexion des périphériques à l’intérieur (si c’est une tour), etc…

  78. dylan dit :

    sa me la fait aujourd’hui sa m’acusser d’avoir visioner de la pornographie et que si je ne payer pas 100 euros qui’il aurait des poursuite judiciaire j’ai vraiment eu peur j’ai éteint mon ordi je l’ai rallumer et sa me la plus mit

  79. Allison dit :

    Bonjour,
    Nous avons été infecté par le virus de la gendarmerie, nous avons essayé plusieurs techniques, sans aucun résultat.
    Suite à la lecture de plusieurs de vos messages, j’ai téléchargé le fameux logiciel RogueKiller.
    J’ai suivi correctement la procédure mais je ne trouve pas le logiciel.
    En effet, je trouve ma clef mais c’est le logiciel « Windows defender office » qui s’ouvre. Alors je l’ai lancé mais il affiche un message d’erreur.
    Je suis complétement bloqué, j’ai des documents très important sur cet ordinateur. Merci d’avance de votre aide.

  80. Allison dit :

    J’y suis déjà allée, j’ai suivi leurs procédures mais aucune n’a marchée. Savez vous comment démarrer le logiciel RogueKiller à partir de la clef sans que Windows defender démarre à la place?
    Dois-je reformater ma clef USB afin d’éliminer Windows defender ?
    Merci de votre réponse en espérant que vous ne me rédigeriez pas vers un autre site (;

  81. Valou dit :

    Bonjour,

    J’ai été infecté également par ce virus. Pour ma part j’ai simplement démarré en mode sans échec et j’ai vu un raccourcis avec le symbole de base de registre dans la partie « Démarrage ».
    C’est un raccourcis vers le rundll32 (ne pas toucher celui là) avec comme argument un fichier dans mon dossier user en .dat.
    J’ai déplacé ce raccourcis sur le bureau et redémarré normalement. (Il faut le virer du démarrage automatique. Notez que vous pouvez le supprimer aussi tout simplement.)

    Plus de virus de blocage.
    Après j’ai téléchargé et exécuté roguekiller qui va trouver 3 entrées dans la base de registre.
    Et hop terminé en 10 min.

    A mon avis lancer une restauration pour cela c’est si vous avez une autre variante avec rien dans le démarrage.

    Ah oui… J’ai Kasperky à jour, Malwarebyte à jour, ils n’avaient rien vu…
    Windows 7 64bits, absolument tout sous licence légale.

    Je devais réinstaller mon Win7 car il bug à la mise à jour, je vois ce qu’il peut arriver du coup de trop attendre.

    Je conseillerai ce que je vais faire quand j’aurais le temps de faire ma réinstallation : créer un compte ADMIN avec mot de passe puis créer un compte user et tout faire à partir de mon compte user. Si vous utilisez votre PC en mode Administrateur pour le surf courant etc, tout installation malveillante aura carte blanche. En mode user, un malveillant ne pourra pas faire une intrusion en douce car on vous demandera le droit admin pour ce faire. Suffit de refuser et c’est marre.

    En espérant que cela aidera d’autres victimes.
    Val.

  82. eva dit :

    bonjour à tous

    mercredi 31 aout 2013,

    mon ordinateur s’est brusquement bloqué, avec une page ou il était inscrit l’ agence nationale de sécurité des systèmes d’exploitations, police nationale ,gendarmerie le logo république française ,la photo du président François Hollande,
    a gauche en haut mon adresse IP avec mon identifiant et ma photo; ce qui ma le plus effrayé c’est le fait que ces pirates aient pu utiliser ma webcam à distance pour me prendre en photo,
    heureusement pour moi; à l’ecran l’image etait sombre car j’étais de profil et je n’avais pas allumé la lumière .
    Tout ça avec un message ou il etait indiqué que j’avais violé les lois de la république française en visionnant des vidéos pornographiques interdites et que j’avais téléchargés des films et musiques sur des sites non autorisés,
    prise de panique, (je ne comprenais pas car je n’avais jamais rien fait de tout ça)
    mon premier reflexe a été d’eteindre mon ordinateur, quand je l’ai rallumé, la page était toujours là , j’ai donc lu le message en entier ou il était question de payer une amende de 100 euros pour debloquer mon ordinateur
    sinon mes données personnelles seraient transmises aux autorités compétentes pour un jugement.
    j’avais donc 48 heures pour régler cette pseudo amende. avec en haut à droite de l’écran un chrono qui commençait à descendre.
    je suis donc allée sur internet avec mon téléphone portable j’ai tapé agence nationale etc …. amende et là j’ai su que c’était une escrosquerie en ligne , un virus
    jai donc été dans demarrer
    panneau de configuration
    système et sécurité
    redemarrer l’ordinateur à une date antérieure
    jai choisi une date ou mon ordinateur etait clean
    le redemarrage s’est effectué et la page n’était plus là
    après g mis à jour mon anti virus norton
    et jusqu’à présent tout va bien, je fait des scan régulièrement pour controler si tout est ok
    la chose qui me reste à faire c’est de porter plainte à la police
    bonne soirée

  83. Ben dit :

    Bonjour,

    un soir alors que je surfais sur un site de videostreaming, j’ai une page qui est apparue avec le logo de la république (entre autres) en en-tête (la marianne) m’indiquant que j’avais commis un délit (pédopornographie entre autres). Surpris et effrayé à la fois, j’ai parcouru rapidement la page mais je n’ai pas souvenir avoir vu un message de blocage ou un moyen de paiement, j’ai juste souvenir de l’affichage d’une adresse IP, du lieu du service de police ou gendarmerie qui a constaté l’infraction, et d’un lien hypertexte en bas de page. Pressentant un virus ou un HOAX, j’ai rapidement essayé de fermer la page mais rien n’y faisait, la petite fenêtre pop-up sur laquelle je cliquais réapparaissait de nouveau. J’ai finis par éteindre mon PC avec la touche ON/OFF.
    Lorsque j’ai allumé mon PC de nouveau, j’ai pu de nouveau surfer normalement. J’ai pris tout de suite le réflexe d’aller voir sur le net si un HOAX ou si un sujet traitait de ce type de notification, et je suis tombé sur les fameux ransonware.
    Par contre la page que j’ai eu n’est pas référencée dans la liste des pages liées à ces attaques, et mon PC n’a pas été bloqué (peut-être l’ai-je éteint juste à temps)…

    Comment pourrait-on s’assurer de l’authenticité de ce type de message que ce soit sur une page Web ou dans un email ? La reproduction des bannières liées aux différentes institutions de l’état pouvant très facilement nous induire en erreur ?

    Merci d’avance pour votre réponse.

    • Bonsoir,
      Il n’y a tout simplement pas de tel message qui puisse s’afficher sur votre ordinateur, les services de police et de gendarmerie n’interviennent pas de la sorte sur l’ordinateur des autres.
      Si ça devait être le cas il y aurait une campagne de communication pour l’expliquer, mais il n’y a aucun projet en ce sens, ni de base juridique pour le faire.
      Enfin, vu ce que vous décrivez, je vous conseille de suivre les recommandations de nettoyage et de mise à jour de votre ordinateur que vous trouverez sur http://stopransomware.fr/ car même si un virus n’est pas visible, cela ne veut pas dire qu’il n’y en a pas.

      Cordialement,

    • Ben dit :

      Bonsoir,

      je vous remercie pour tous ces éclaircissements,pour votre professionnalisme et pour votre réactivité.

      Je vais suivre vos conseils et me rendre sur le site que vous m’avez conseillé.

      Bonne soirée.

    • m. leret dit :

      j’eu pareille et j’ai eu très très peur

  84. Jean dit :

    Je viens de tomber sur cette page bizarre : mauvais français, logos sans liens, tout semble construit sur une image de fond. C’est assez artisanal pour ne pas tomber dans le panneau, surtout qu’il n’y a pas d’amende à 100 ou 200 euros. Équipé de Linux, ce blocage n’a en rien affecté mon système. C’est l’avantage sur Windows.

  85. Damien lacombe dit :

    Je viens juste de l’avoir sur mon écran ! Impossible de l’enlever ou de fermer Safari ! J’ai donc éteint mon Mac ! Que doi-je faire ???

  86. Diedrich dit :

    j’ai également reçu ce message me demandant de payer 3 fois 200 euros! je n’ai pas pris cela au sérieux du tout mais en effet mon navigateur était bloqué sur internet explorer!
    j’ai donc telecharger google chrome et tout est redevenu normal accès à google etc…! mais je m’inquiète maintenant de savoir si le virus est toujours actif sur mon ordinateur, pouvez vous m’éclairer?

    • Deux choses: il faut nettoyer votre cache Internet Explorer (Propriétés Internet de Windows) et lancer une détection de virus sur votre ordinateur avec un logiciel antivirus, éventuellement différent que celui que vous avez déjà installé.

    • andreaux patrick dit :

      bonjour, jai eu ce probleme, utiliser malwarebyte et adwcleaner pour nettoyer votre ordinateur.
      operation a faire regulierement pour ce debarrasser des spywares.
      meme avec un anti-virus, ces complements sont bien utiles.

  87. leret dit :

    bonjour , jetait aller sur internet et tout a cous tout c’est bloquer je ne prouver plus rien faire un message revenez sans cesse ou il y avait inscrit que mon ordinateur était crypter que tout ce je fesais était surveille par l’État car jetait soi-disant sur des site pornographique et que comme c’était la première fois que j’avais eu cette avertissement j’auré juste une amende de 100E je devez payer dans les 48h sinon jauré eu une arrestation de 3ans de prison + 1000E a payer je ne c’est pas quoi faire je suis perdue je ne c’est pas ci c’est un virus ou si c’est réel donner moi des conseille s’il vous plait

  88. jean dit :

    bonjours

    je suis comme tout les gens precedent avec cette page qui fait peur et que je vois qui dure depuis deja plusieur année
    j’etais sur un site pornographique et quand la page est apparut ca fait une drole de surprise on ce sens tres mal, et on ce pose beaucoup de question , j’ai pris note du site « bastapolice.com » et j’ai rechercher avec mon telephonne le site .
    comme je trouvait rien de coherent avec la page de mon ordi et que je n’arriver pas fermer cette page j’ai debrancher l’ordie
    j’ai mis pas mal de temps avant de trouver votre site , qui est tres complet et avec des reponses pour chaque personne , et une seul sur cellle que je rechercher c’est a dire le probleme sur un mac
    j’ai toujours pas allumé mon ordi depuis ce matin mais quand je le ferrais j’irrais sur le lien que vous avez donnez un petit peu plus haut et j’espere que tout rentrera dans l’ordre .

    j’ai une question svp
    il y at’il quelque chose a faire en particulier pour les compte bancaire qui sont enregistrer sur l’ordie ? faut il changer les mots de passe ?
    merci
    cordialement

    • Bonjour. Il est possible que d’autres virus soient effectivement présents sur votre ordinateur. Pour les rechercher utilisez un antivirus à jour et faites une recherche exhaustive /complète. Si celui-ci trouve des virus comme Zeus (Zbot) ou SpyEye n’hésitez pas effectivement à changer vos codes d’accès bancaires.

      Cordialement.

  89. Gomes dit :

    bonjour je sais que ce post est vieux mais je me permet de vous informer qu’il m’est arrivé la même chose ce matin vers 2h50 je me suis renseigné car sur l’ordinateur de mon père nous avions reçu un « mail d’hadopi » qui s’est avéré être une arnaque, je suis actuellement en train de faire un scan complet du pc avec l’antivirus j’espère pouvoir être rassuré

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 135 autres abonnés

%d blogueurs aiment cette page :