Les rançongiciels sont toujours très actifs

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Au mois de décembre, nous faisions état du lancement de plusieurs campagnes de diffusions de virus se faisant passer pour des services de police dans toute l’Europe et au-delà, en France l’image de la gendarmerie étant particulièrement utilisée à cette fin. Une réunion de coordination s’est tenue au siège d’Europol à la Haye le 25 avril 2012.

Le développement de ces campagnes est évidemment très suivi par les services de police et des investigations sont en cours. Les chercheurs en sécurité et les sociétés spécialisées en sécurité publient de nombreuses analyses sur le comportement des virus impliqués, des infrastructures qui servent à les diffuser et des groupes qui semblent être derrière ces pratiques. La figure ci-dessous donne un résumé des variantes qui sont aujourd’hui observées – elles sont documentées aussi sur le wiki Botnets.fr dans la rubrique Police lock:

Variantes des rançongiciels policiers

Fonctionnement

Le principe rencontré est souvent très similaire:

  • La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
    • Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
    • Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
  • Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
  • Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
  • Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.
  • Le paiement de la rançon ne débloque évidemment pas l’ordinateur.
  • Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
  • Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Versions plus récentes

Les nouvelles versions continuent de se développer, notamment par leurs visuels, mais aussi par les infrastructures utilisées et donc vraisemblablement les équipes qui sont derrière:

Une nouvelle version du virus exploitant l’image de la gendarmerie française

Dans une autre variante, c’est l’image de la SACEM et de la police nationale française qui sont exploitées

Une autre version (repérée par Malekal.com) utilisant divers logos dont ceux de l’ANSSI et de l’OCLCTIC.

Que faire ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):

  • Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
  • Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
  • Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
  • Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
  • Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Quelques liens vers des outils gratuits de décontamination (non exhaustive, pardon d’avance si j’en oublie) :

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

111 Responses to Les rançongiciels sont toujours très actifs

  1. Jean-Yves DURBIZE dit :

    Bonjour,
    Je n’ai pas très bien compris la finalité du système.
    Ce malware est il crée simplement pour bloquer les micros comme un virus et embêter (a défaut d’autre terme) le propriétaire du micro-ordinateur ou s’agit-il réellement d’un mécanisme pour récupérer de l’argent ?
    Bonne journée !
    JYD
    PS: Gestionnaire de parc informatique (300 pc) j’ai été concerné 3 fois par ce malware.

    • Bonjour,

      Les victimes voient un message qui les incite à payer une amende. Une part non négligeable d’entre elles finit par payer, dans l’espoir de débloquer leurs ordinateurs.

      Cordialement,

  2. waly dit :

    mon ordi est bloqué je ne sais pas si une arnaque (payé pour débloqué l’ordi) ou si vrai. Ya une adresse IP a gauche et le logo de la gendarmerie national c’est IP:XXXXXXX dite moi c’est quoi j’habite en nouvelle calédonie merci de me répondre

  3. Palumbo lucas dit :

    mais alors que faire si nous sommes infectés ?

  4. CAILLAUD corinne dit :

    bonjour,
    Pour debloquer l’ordi infecté, on me propose sur « Kaspersky virus removal tool » de telecharger un logiciel « desinfectant » . Pourquoi pas ? mais je ne peux pas le télécharger sur l’ordi infecté
    puisque je n’ai plus acces au bureau … ni à rien d’ailleurs !
    je peux télécharger sur un autre PC mais comment faire après pour désinfecter l’ordi malade ?
    je ne sais pas si je suis bien claire …
    merci
    corinne

  5. SPEYSER Bruno dit :

    Bonjour,
    En as de problème, doute ou autre, il suffit d’aller voir le site suivant :
    http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
    Bon courage à toutes et à tous.

  6. David GENOIS dit :

    Apparemment, ce type d’intrusion ne saurait fonctionner avec un OS Linux, car dés l’installation d’un quelconque programme, le système demande l’autorisation de l’administrateur du PC.

    Si ce dernier refuse cette autorisation, le programme malicieux ne pourra s’installer et bloquer l’ordinateur.

    Cela est-il toujours d’actualité ?

    • Bonjour,

      Les systèmes Linux sont vulnérables aux plateformes d’exploits (pour les mêmes raison que les autres systèmes), vraisemblablement avec moins de vulnérabilités référencées. En revanche, les charges utiles ciblent rarement ces systèmes et en particulier pas les rançongiciels évoqués ici. Toutefois des ordinateurs sous MacOSX ont déjà été ciblés par des logiciels malveillants diffusés de la même façon (voir aussi le botnet Flashback https://www.botnets.fr/index.php/Flashback). Les mêmes conseils de prudence sont donc valables pour tous ces systèmes, même s’ils ne sont pas encore très ciblés.

      Cordialement,

  7. Ping : Comment on attrape un virus informatique ? « Criminalités numériques

  8. Virginie (internaute prudente) dit :

    Bonjour,

    Ce soir, je surfais entre sites de bricolage, économies d’énergie, crédit d’impots…
    J’ai alors été victime d’un raçongiciel de « lutte contre la cybercriminalité » qui m’accusait d’avoir consulté des sites interdits.
    Ce n’etait absolument pas le cas (impots, leroy merlin, ademe..).
    J’ai fait « ctrl+alt+suppr » et j’ai réussi à fermer la fenètre indésirable.
    J’ai craint un piratage ou autre donc j’ai cherché des infos.

    Grace à vous et à votre site je suis rassurée
    Je vais faire le nécessaire pour protéger mon ordi

    Merci pour toutes vos informations et vos conseils.
    Bonne continuation

  9. AAID79 dit :

    bonjour,
    attention il existe des versions qui vous cryptent toutes vos données,et si vous n’avez pas sauvegardé aie aie aie!! il faut au moins une copie originale d’un fichier (photo,mp3 etc) afin de décrypter avec des logs comme kaspersky rannohdecryptor .
    il ne faut surtout pas utiliser malwarebyte,il va vous supprimer les fichiers locked et bye bye les données!
    utilisez roguekiller et adwcleaner en mode sans echecs si vous le pouvez.
    si vous n’avez pas acces au mode sans echecs c’est plus compliqué et vous risquez de perdre vos données en utilisant un livecd.
    il ne vous reste plus qu’à aller voir un bon dépanneur et ils ne sont pas si nombreux que ça!la pluspart préférant faire une réinstallation.
    mettez à jour tout vos logs,surtout java et adobe ré gu lié re ment.

  10. Ping : Halte aux rançongiciels « Criminalités numériques

  11. R. Morin dit :

    Bonjour,
    Ce ransonmachun est à la fois une escroquerie et un virus, d’autant plus dangereux pour les non spécialistes informatiques (mon cas) que le pc est bloqué même après mise en arrêt (et panique assurée : pc et/ou carte mère HS, virus non détecté par l’antivirus, diskdur??? … et ainsi de suite).
    Ce genre d’attaque mériterait une information par les médias afin de prévenir le plus grand nombre d’utilisateurs non pros, qui ne sauront pas comment réagir.
    J’ai eu 2 attaques : hadopi et FBI !
    Que vous en semble?

    • Bonjour,

      En droit, pour être précis, c’est de l’extorsion, mais on est bien d’accord que cela relève de l’univers des escroqueries.
      Sinon pour ce qui est de la communication, c’est un sujet difficile à faire passer dans les médias, mais on y est parvenu avec quelques interventions et reprises dans la presse écrite et audiovisuelle. Enfin, nous avons soutenu le lancement du site d’information et de sensibilisation: http://stopransomware.fr/, ainsi qu’une page Facebook en espérant toucher un public grandissant: https://www.facebook.com/stopransomware

      Cordialement,

      E.F.

  12. Coosemans dit :

    Bonsoir,
    Ce virus c’est installé aujourd’hui sur notre ordinateur portable alors que nous étions en Suisse.
    Un démarrage en mode sans échec et une restauration du système à permis de le supprimer de l’ordinateur (Win. 7).
    Le plus marrant si on peut dire c’est que la page s’adapte au pays dans lequel vous êtes connecté. En Suisse cela semblait être une page officiel avec le drapeau de la confédération Helvétique,de la pub pour les CFF (SNCF Suisse etc.), en France la page ressemblait à une page officiel de la gendarmerie.
    Le plus flippant c’est de voir la photo de votre portrait qui s’affiche sur la page.
    Merci pour cet article qui m’a permis de nettoyer mon portable.
    Cordialement.
    TomCo

  13. Remi dit :

    Pour ma part j’ai été infecté trois fois par ce virus et je m’en toujours sortis par la même « pirouette ». Effectivement cette page en pleine écran bloque une grande majorité de nos actions mais pas toutes. J’ai simplement effectué la commandes ctrl+alt+supr et fermé la session, ce qui a pour effet le fermer l’application qui gère ce virus. Mais avant que la session ne se ferme j’ai annulé, et par conséquent toute action été possible. Un simple scan antivir+malwarebytes+roguekiller et ça a suffit.
    Je sais que cette méthode est un peu « barbare » mais ça marche très bien.
    Voila j’espère en aider certains et avoir été assez claire.

  14. wilfrid dit :

    bonjours
    j’aurais besoin d’aide rapidement je me suis fait pirater mon pc par la anssi le faux virus qui court en se moment qui me réclame 100 euro pour le déblocage de mon pc
    il me bloque complètement je n’est pas accès a window’s le message apparait en gros et je ne peux rien faire pour recupérer ma barre de tache

    que dois je faire

  15. fayçal dit :

    Bonjour,

    Merci pour tous ces informations, j ai été victime du virus en question sur mon ordinateur portable.

    Ma question : ma boite email est configurer sur cet ordinateur et mon iPhone avec le même mot de passe, es ce que je risque une contamination sur mon téléphone ou alors comment protéger ce dernier de ce types d’attaques car je constates une demande bizarre sur mon iPhone me demandons de régler à nouveau mon mot de passe.

    Pour infos j’ai changé mon mot passe de ma boite email sur un autre ordinateur par sécurité après l’attaque.

    je partages l’avis de MORIN il faut informer plus sur ce phénomène.
    cordialement

    • Bonjour,

      Si vous accédez à la même messagerie entre votre ordinateur et votre iPhone, le mot de passe est le même, celui de la messagerie.
      Donc il est normal, après le changement de ce mot de passe, qu’il faille aussi le changer dans la configuration de l’iPhone sans quoi celui-ci ne peut se connecter pour consulter les messages.

      Cordialement.

    • fayçal dit :

      Bonsoir,

      Merci pour votre réponse et pour la création de ce blog utile pour lutter et informer contre ce types d’escroqueries.

      cordialement

  16. ben dit :

    bonjour, je suis victime du virus en question et le probleme que mon lecteur dvdrom est mort et je ne peu y rentré les logiciels que vous préconisé! est ce que d’autre solutions existent?

  17. paillet aurélie dit :

    Bonjour,
    Je vient d’être infecté mon ordinateur est bloqué et on me demande de l’argent, je vais me diriger vers un informaticien pour nettoyer mon ordinateur comme vous l’indiquez, seulement je souhaitai éteindre mon ordinateur pour ne pas aggraver la situation mais il redémarre tout seul quelque minute
    plus tard avez vous déjà eu ce cas? Que doit je faire le débrancher?

  18. Yoann dit :

    Bonjour M. Freyssinet,

    D’abord merci pour ce blog et vos conseils.
    Ma compagne vient de m’appeler: l’ordinateur de ses parents est contaminé par ce virus. Je lui ai conseillé de porter plainte pour escroquerie auprès du commissariat (puis de consulter un spécialiste pour le nettoyage du PC). Ce type de plainte est-il généralement enregistré? Je lui ai dit que cela intéresserait sûrement l’ANSSI…(?)

    Merci par avance pour votre réponse et bonne continuation dans vos missions.

    • Bonjour,
      Si votre compagne n’a pas payé (je l’espère), il n’est pas nécessaire de déposer plainte, le phénomène est bien connu des services d’enquête, il y a de nombreuses enquêtes déjà en cours.

  19. rompteau dit :

    bonjour,mon ordinateur est bloquer,amende de 100 euros est marquer police nationale mais la je peux rien faire bloquer meme en mode sans echec,reconnais plus le nom de l utilisateur que faire merci

  20. Christophe dit :

    Bonjour M.Freyssinet,

    Merci beaucoup pour toutes ces explications. Mon ordinateur a été infecté il y a moins d’une heure avec ce virus qui demande de payer. Grâce à vos explications tout est revenu à la normale. J’ai windows 7 et j’ai fait un redémarrage avec restauration du système antérieure au problème. Dois-je quand même faire un nettoyage avec l’antivirus roguekiller par exemple pour être sûr de le détruire?
    Merci d’avance pour votre réponse…et bon courage!

    • Bonjour,

      Tout à fait, il faut faire un scan avec l’antivirus et s’assurer de bien mettre à jour l’ensemble des applications et le système d’exploitation.
      En effet, il est possible que le virus rançongiciel ne soit pas venu tout seul ou qu’il en reste des morceaux.

  21. Laixois dit :

    Ma fille a été victime de cette salop….malgré Norton antivirus. Pour les utilisateurs de Norton, je suggère qu’ils suivent la procédure particulière suivante:
    https://support.norton.com/sp/fr/fr/home/current/solutions/v71075396_EndUserProfile_fr_fr

  22. pat dit :

    Bonjour,
    Mon compagnon a reçu le message arnaqueur, il y a cru, il a payé… 100 Euros… l’ ordi s’est débloqué 1 heure après… mais j’ai peur qu’on soit infesté et que les conséquences deviennent plus graves.
    Que faire ? Déposer plainte d’abord, mais encore ?
    Merci d’avance pour votre réponse.

  23. TANSAOUT dit :

    Bonjour;

    Une amie m’a dit que son PC était bloqué par une page qui lui enjoignait de régler 100 euros sous 48 heures. Au delà, sans règlement de sa part; elle encourait 250 000 euros d’amende ou 5 ans de prison ! Je lui est transmis le mode de désinfection de malekal. La page qui apparait à l’écran c’avec le portrait de M. le Président de la République : M. François Hollande !
    Avec tous nos remerciements pour votre travail
    Salutations.

  24. Zeolle dit :

    Merci beaucoup d’avoir creer un blogue contre ce genre de problème j’ai vraiment flipper sa avais l’air d’etre sérieux😦 !
    J’ai fait la méthodes de Ctrl + atl+ Supp mode barbare fonctionne🙂 ! Il faus juste de l’entrainement😀

  25. poisson dit :

    Comment fait-on pour se debarasser de ce virus avec un mac Air? J enavigue sur Safari
    mais Firefox est bloqué par ce truc fausse gedarmerie, impossible d’éteindre, batterie inaccessible, Ctrl +Alt+supp ne donne rien sur mac, etc. Les anti-virus proposés dans ce forum
    ne semblent marcher que sous windows , que je n’ai pas. L’antivirus Avast n’a rien détecté d’anormal. Quelqu’un a-t-il un conseil utile avant que j’aille ennuyer un vrai informaticien?
    Merci d’avance.
    O. P.

  26. PEPIN dit :

    j’ai été « contaminé » 2 fois ce mois-ci (Décembre 2013) , je possède Windows 7 ainsi que toutes les mises à jour automatiques (je l’espère), mais ce qui est le plus surprenant c’est que je possède Karspersky et qu’il a laissé passé cela !!!. Je suis un particulier avec un poste de travail à la maison. J’ai tout simplement réinstallé complètement Windows avec mon CD license, mais c’est quand meme long à réinstaller

    • Bonjour,
      Est-ce que vous avez identifié la façon dont votre ordinateur a été infecté ? A quel moment est-ce arrivé ? En visitant un site Web particulier ?
      Est-ce que vous avez des modules additionnels à votre logiciel de navigation Web ?

  27. delmond dit :

    Bonjours je viens d’en chopper un, comment faire pour s’en débarrasser. Tout essayez. il y a un contarbour. qu’arrive t’il apres ?

  28. Antoni dit :

    j’ai reçu ce genre de message mais heureusement j’ai éteint mon ordinateur a ça vu .Comment savoir si notre ordi est infecté

  29. Mendrika dit :

    Mon PC ést bloqué par une page qui lui enjoignait de régler 100 euros sous 48 heures. Au delà, sans règlement de ma part; j’encourait 250 000 euros d’amende ou 5 ans de prison ! La page qui apparait à l’écran comprte le portrait de M. le Président de la République : Mr. François Hollande !

  30. Finalcrisis dit :

    Autant je suis déjà tombé sur le faux de la gendarmerie demandant une amende, autant y’a a qui se foule pas autant. Là je suis tombé via liens sur une page noir et juste un cadre « Vous êtes sur un site interdit, veuillez payer une ammende ou un dossier criminel sera constitué ». Un message annulée/continué bloque le fonctionnement de l’ordinateur. J’ai redémaré à la sauvage et lancé l’anti-virus. Ca fait toujours froid dans le dos ce genre de message même si le coté ammende permet de ce dire que c’est une arnaque. Là je vois pas l’utilité vu qu’il n’envoyait à aucun lien pour payer la dite amende d’ailleur. Enfin vous voila prévenu de celui-ci aussi.

  31. perisse dit :

    le mieux pour ne pas etre bloquer,pas de mot de passe,donc pas d ouverture de session avec;.et reparametrer usine,apres cest bon,je l ai fait au moin quatres foit,ce foutu virus et problematique a retirer

  32. Simon dit :

    Bonjour, je me suis retrouver sur une page indiquant,un compte a rebour.
    je n’ai pas vu la somme à payer mais je me souviens que la page web indiquant ce message ne pouvais pas se fermer.
    la page ne ressemblait en rien a celles-ci dessus, il y avait la photo de notre président.
    Je suis en Françe, merci de me répondre le plus vite possible.

  33. Simon dit :

    Bonjour, je me suis retrouver sur une page indiquant,un compte a rebour.
    je n’ai pas vu la somme à payer mais je me souviens que la page web indiquant ce message ne pouvais pas se fermer.
    la page ne ressemblait en rien a celles-ci dessus, il y avait la photo de notre président. Mr François Hollande.
    Je suis en Françe, merci de me répondre le plus vite possible.

  34. Simon dit :

    Merci J’en conclu donc que c’est un virus et non une vrai info du gouvernement.

  35. Simon dit :

    Je vois exactement la meme page sur ce lien que vous venez de m’envoyer, donc c’est « un Fake »? D’après vous?

  36. Simon dit :

    Je vous remercie beaucoup pour ces informations monsieur.
    Cordialement.

  37. Bill dit :

    Bonjour,

    J’ai viens d’avoir eu affaire à ce type d’agressions. J’ai pu éteindre mon ordinateur sans payer et rien de suspect ne s’est affiché quand je l’ai rallumé. Un scan avast! peut-il suffire pour nettoyer son ordinateur face à ce genre de virus ou vaut-il mieux utiliser l’un des logiciels que vous avez listés?

    Bien cordialement

    • Bonjour. Si votre ordinateur a affiché le message, cela signifie qu’un virus s’est installé. Donc toutes les précautions de nettoyage doivent être entreprises. En outre, il convient de pleinement mettre à jour votre ordinateur, cause probable de l’infection.

  38. Bill dit :

    C’est bien ce que je craignais. Merci beaucoup pour ce complément d’information.

  39. frederique dit :

    bonsoir, aujourd’hui j ‘ai eu ce problème on m’as demander de payer , et comme une gourde bée j’ai payer, c ‘est après que je me suis rendu conte de la supercherie, j’ai acheter un code paysacard de 100 euro es bien Evidemment je l’ai rentrée a l ’emplacement demander ! faut ‘il que je porte plainte ou pas ? je sais bien Evidemment que je ne révérais pas mes cent euro…

  40. frederique dit :

    ouf je suis bien comptent d’avoir faire des copie d ‘écran alors , je vais aller a la gendarmerie dans ma matinée et j ai envoyer un email a paysacard en espèrant qu’ils vont me réponde , merci pour votre réponce !
    cordialement,

  41. Kevin dit :

    j’ai eu le problème de ce virus , ce qui m’a paru bizarre c’est le fait de payer … Mais d’abord j’ai eu peur car il me disais dans 96h le dossier part vers la cours etc . Mais après en regardant fallait que je paie dans les 48h ( ce que je n’ai pas fait) donc jai tout nettoyer etc et maintenant plus rien … Cordialement

  42. pierre dit :

    bonjour je sui frappé par le virus ANSSI meme avec roguekiller je n’arrive pas a le suprimer que faire? svp

  43. Anonyme dit :

    Peut-on être contaminé sur un Mac ? J’ai eu l’apparition de la fenêtre internet me demandant de payer, je l’ai fermé et je n’ai pas l’impression qu’il y ait un soucis mais peut être que je ne le vois pas et que le virus est quand même sur mon ordi ?

  44. Amélie dit :

    Bonjours,
    Votre site ma beaucoup aider, mais je voudrais être vraiment sur de bien comprendre.
    C’est impossible que « Interpole » ou autre organisation nous demande de payer une amande via internet ?

  45. mickael dit :

    bonjour, ce matin un mail et j’ai cliqué sur un lien qui ne m’a pas dirigé vers l’adresse voulue, c’était en fait un lien qui m’a emmené vers une page de téléchargement de film -18, une page anssi c ‘est ouverte, je ne pouvait pas fermé cette page , paniqué j’ai débranché directement mon pc,mais en rallumant ,c ‘ était encore les mm pages bloquées. Aucune somme d’argent n’était demandée,g réussi a fermé la page difficilement. Après analyse de mon anti virus, il ne m’a rien trouvé, je voulais savoir si c’était donc une page officielle, vu que le lien était faux ,je pense que c’est possible,suis quand mm tombé sur ce site ou si c’était une fausse page anssi, et ce que je risquais ds les 2 cas, pas super doué en informatique, je suis pas rassuré.

    • Bonjour,
      C’est une version qui se sert du navigateur pour faire peur à la victime.
      Si vous avez des copies d’écran merci de les envoyer à crimenumerique (at) gmail.com

    • mickael dit :

      Désolé , je n’ai pas pensé à prendre une capture d’écran,j’étais assez paniqué.Je suis allé faire un tour sur malekal et le site montrait la même page en photo avec les sigles de différent service de police au dessus, la photo du président ainsi qu’un compte à rebours, d’après le site il n’y a aucune infection avec ce système, ça serait pour soutirer de l’argent uniquement.

      En tout cas, je vous remercie pour votre réponse ainsi que pour la liste des différents sites fournis pour nous aider

  46. Meije Andriol dit :

    Bonjour, mon PC a été contaminé par ce virus le problème c’est que j’utilise Linux Mint comment faire ?
    merci d’avance

    • Bonjour,

      Il s’agit d’une exploitation d’une faiblesse dans les navigateurs permettant d’en bloquer l’accès. Il n’y a pas de virus exécutable en cause, juste l’utilisation de certaines fonctions dans le navigateur et cela reste résident dans le cache du navigateur sous forme de scripts. Vous avez des explications en anglais dans le fil de discussions ici: http://forums.linuxmint.com/viewtopic.php?f=90&t=143453 . La solution la plus simple, si votre navigateur est firefox serait de déplacer votre répertoire .mozilla vers .mozilla-sauvegarde par exemple et relancer alors uniquement le navigateur (mais vous perdez vos configurations personnelles et devrez les récupérer).

      Cordialement,

  47. tenia dit :

    Bonjour, Merci beaucoup pour toutes ces précisions.

    Je viens d’être infectée sur mac air et j’aimerais savoir s’il y a une procédure particulière ou un antivirus à télécharger car j’ai vu sur un forum que sous les macs, le virus ne se retrouvait pas sur l’ordinateur. En effet, l’escroquerie ne serait qu’une page web et rien d’autre. Est ce vrai d’après vous?
    Enfin, mon antivirus avast (gratuit) n’a rien détecté. Dois-je donc télécharger un antivirus?

    Merci d’avance.

  48. tenia dit :

    Re-bonjour (suite du message précédent et réponse),

    Merci infiniment pour toutes ces précisions ! Après avoir fait un second scan, avast a détecté une infection dans le dossier library-cache. Je l’ai déplacée en quarantaine, selon les fonctionnalités que propose avast, est- ce que cela suffit d’après vous ?

    Merci d’avance !

  49. Emilie dit :

    Bonjour,
    cette nuit j’ai été la cible de cette attaque. Il n’y avait que mon navigateur qui était bloqué car je pouvais encore aller sur le bureau et autre. J’ai de-suite enlever la batterie pour faire repartir mon pc.
    Je suis sous windows 8 et j’utilise windows defender (sous windows 8 il est également un anti-virus). Cependant, depuis cette attaque j’ai lancer plusieurs fois l’analyse de mon pc avec windows defender. Et il ne trouve rien sur mon pc.
    Serais-t-il possible qu’aucun virus ne ce soit installer sur mon pc?

  50. djidji dit :

    moi c’était la même page il y avait le logos de la police et il y avait aussi la photo du président de la république.sa ma bloqué la page et je n’arrivais pas à l’enlevé,j’ai éteint mon ordinateur.

    • Oui il est possible que ce soit uniquement le navigateur, un truc qui s’appelle Browlock en javascript qui est actuellement très actif. Toutefois ça peut être un vecteur ou en même temps qu’une infection par un virus plus discret, donc il faut rester attentif.

    • Voir les discussions récentes au dessus.

  51. JJ dit :

    Bonjour à tous, bonjour Mr Freyssinet
    Je viens à mon tour d’être victime de cette infection informatique, avec logo Police Nationale, Gendarmerie, ANSSI….
    Je n’ai bien sur pas payé grace aux conseils que vous donnez, mais je suis sur MAC OSX et mon orpinateur fonctionne (apparemment) normalement, il n’y a aucun blocage.
    Est-ce-que je dois aussi faire une désinfection en règle ? en sachant que les Mac n’ont pas d’antivirus.
    Merci pour votre prochaine réponse.

    • Bonsoir. Bien sûr, il existe des antivirus pour Mac (et des risques de virus). Un petit passage d’antivirus pourra éventuellement vous rassurer.
      En fait, la variante qui circule actuellement se contente de bloquer le navigateur. Il convient de vider/nettoyer le cache si le navigateur est encore bloqué au prochain démarrage.

  52. JJ dit :

    merci encore pour vos conseils. Je vais installer ClamXav et nettoyer tout cela.

  53. MG dit :

    Bonsoir à tous , bonjour Monsieur Freyssinet ,
    Je viens d’être victime du même phénomène sur mon Imac , demande de paiement de 100 euros…etc
    pouvez_vous m’indiquer plus précisement la marche à suivre pour débloquer mon navigateur…vider /nettoyer le cache …on fait comment….?
    Merci pour votre aide…

    • Quel est votre navigateur ?

    • Cliquez dans votre dock avec « shift » appuyez et maintenez, puis choisissez « Vider le cache » et / ou « Réinitialiser Safari »

    • GRANGE dit :

      Merci c’est fait et j’ai repris la main.je vais suivre votre conseil et installer clamxav quand même.
      Ne peut -on rien faire pour décourager ces escrocs…? Votre blog est une solution que j’ai pu activer car j’ai une deuxième machine, sinon c’était impossible …Et quoi faire face à ces malandrins des temps modernes qui falsifie si aisément l’identité des services officiels.
      Un signalement systématique aux services chargés de la fraude électronique…cela permet’il d’avancer…n’ont’ils pas toujours un coup d’avance…,
      En attendant un grand merci et je ne manquerai pas de me faire l’écho de votre blog autour de moi.

    • Le plus important pour ce type de menaces est la prévention.
      Ensuite, le fait que les gens partagent leur expérience dans des forums (comme celui de Malekal ou d’éditeurs antivirus) et s’entraident c’est une source d’informations pour nous (on y lit des infos intéressantes sur les nouveautés).

  54. stein dit :

    bonjour

    je suis bloqué par un site ce prétendant ANSSI comment puis je débloquer alors que je n ai accès à rien sur mon ordinateur et lorsque je fais CTRL ALT SUP rien ne se passe j etais sur internet exploreur

    merci d avance
    cordialement

  55. DELPLANQUE dit :

    Je viens de débloquer mon ordi suite à un rançongitiel: ANSSI, en faisant CTRL+ALT+SUPPR, gestionnaire de tâche et suppression de la tâche (le fichier bloquant l’ordi)
    Merci à : Virginie (internaute prudente)

  56. o secour!! dit :

    Bonjour a tous
    Je suis en pannique total je n’arrive pas à supprimer cette arnaque de mon ordiportable hp

  57. Konan dit :

    Bonjour

    Je suis actuellement sur macbook, je voulais savoir si la venue de cette page qui à bloquer mon logiciel Safari (j’ai du forcer le relancement du logiciel pour arrêter cette page) ne serait pas du au logiciel MacKeeper (installé depuis plus d’un an, c’est la première fois que cela m’arrive)

    Merci de votre réponse

    Cordialement

    • Bonjour, Ce sont les versions de type « browlock » déjà évoquées dans les commentaires sur ce blog. C’est l’exploitation de scripts dans le navigateur Safari. Il faut nettoyer le cache.

  58. à l'aide ! dit :

    Bonjour,
    J’ai été bloqué par ce rançongiciel se présentant de l’ANSSI, Europol ou Interpol, de la Gendarmerie, etc. Ce malware bloquait totalement mon browser Google Chrome. L’adresse web de cette page malware était aussi très suspecte, et le contenu de la page n’était vraisemblablement pas d’origine française ! De plus cette page malware exigeait de manière frauduleuse une somme d’argent payable directement en utilisant cette page et ce dans les 24 heures.
    Cette page malware est très choquante et intimidatrice dans un premier temps étant donné les photos et sigles utilisés d’origine française et internationale.
    La page web de l’ANSSI « http://www.ssi.gouv.fr/fr/menu/actualites/attention-arnaque-en-ligne-portant-le-logo-de-l-anssi.html » présente un exposé rassurant et la réponse à donner à cette cybercriminalité. Cet incident m’a permis d’actualiser mes systèmes de protection face à la cybercriminalité en consultant les pages indiquées sur le site de l’ANSSI.
    Cordialement,

  59. solution dit :

    Il est facile de débloquer le browser en sélectionnant directement Ctrl + Alt + Suppr puis en terminant la tàche de la page malware. Ensuite le browser, dans ce cas Google Chrome, refonctionne correctement.
    Cordialement,

  60. YD dit :

    Bonjour,
    En naviguant sur un ipad 2, j’ai eu un blocage internet avec un message de l’ANSSI me demandant de payer une soi-disant amende.
    Je suis allé dans les réglages de l’Ipad, rubrique safari, puis j’ai effacé l’historique, et les cookies.
    Je peux maintenant retourner sur le net sans blocage.
    Savez-vous si mon appareil est effectivement nettoyé, et si je peux sans problème utiliser une application bancaire déjà installée?
    Merci de votre réponse.
    Cordialement

    • Bonjour,

      Les bloqueurs de navigateurs comme vous l’avez rencontré ne sont pas des virus qui s’installent de façon approfondie sur le système, ils se contentent de se maintenir dans le cache et la configuration du navigateur et sont faciles à supprimer comme vous l’avez constaté. On ne connaît pas d’infection avancée sur ce type de tablettes autrement que par l’installation d’une application qui se fait passer pour ce qu’elle n’est pas et sur le market d’Apple/iTunes ça semble rare. Vous n’êtes jamais à l’abri d’une mauvaise manipulation aussi ça peut être une bonne idée d’installer un antivirus sur votre tablette ne serait-ce que pour faire le ménage des quelques traces inutiles. Je ne connais pas leur performance sur les matériels Apple mais il en existe plusieurs.

      Cordialement,

  61. safwane dit :

    Bonjour,
    Est ce qu’un cryptolocker se propageant sur un poste local jusqu’aux lecteurs réseaux de l utilisateur peut constituer une menace pour le serveur de fichiers et se propager sur les autres lecteurs des autres utilisateurs ?nous venons d avoir ce cas et seul le poste et les lecteurs des idées de ce groupe sont impacte?faut il juste formater le poste et backup du lecteur ou tous les postes usées du lan (+800pc,) et backup serveur CV complet ?
    Merci d avance

    • Bonsoir. Si le serveur de fichiers est sous Windows il y a une menace directe pour les fichiers se trouvant sur le serveur. Effectivement il peut se propager depuis le serveur si une personne exécute le fichier qui se trouve dans le partage.
      La démarche sur les machines qui ne sont a priori pas contaminées (pas de signalement) serait peut-être de lancer un antivirus mis à jour sur l’ensemble des postes de travail à la recherche de virus.

  62. adeline dit :

    Bonjour,

    Mon homme a eu le même problème sur son portable. Comment on peut faire pour éradiquer le virus ?

    Merci d’avance

  63. cédric.P dit :

    Bonjour,
    Mon telephone est lui aussi bloquer, j’ai d’abord lu, je me suis marrer en voyant les fautes d’orthographe, et aprés j’ai essayer de me barrer mais ça ne marche pas.J’ai ensuite essayer d’éteindre ça marche pas, enlever la batterie, remettre: marche pas. Du coup je ne sais pas quoi faire.
    Pouvez-vous m’aider ?

    Cordialement.

  64. Guillaume Besse dit :

    Help mon cas est assez bien que j’avais deviné a l’avance que c’et ait un virus je ne sais pas comment l’enlever car … c’est sur mon telephone et je ne trouve aucun cas car tout se que je trouve sont sur pc mon cas est plutot rare non ?

  65. Ping : Lutte contre les botnets | Criminalités numériques

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :