Accueil / Mes interventions / Virus SACEM / Police Nationale..

Virus SACEM / Police Nationale..

virus-sacem-police-nationalePhoto tirée du site Malekal.com: je ne retrouve plus celle que j’ai faite personnellement sur le pc du client.
Encore ce virus SACEM! ; dans un précèdent article (et dépannage chez un client..) j’avais déjà détruit une variante de ce virus, non sans difficulté.

Voici la vidéo YouTube montrant la suppression du virus SACEM/Police Nationale “en live”.

Là, le PC est un NetBook Ecafé de Hercule, C’est un Brignolais qui m’appel: Le bureau affiche une fenêtre en mode plein écran que l’on ne peut fermer ni réduire, il doit payer 100€ en “Ucash” pour avoir soi-disant téléchargé des morceaux de musique illégalement et être dégagé des poursuites judiciaires.

En fait non il n’a rien téléchargé; il m’avoue qu’il est allé sur des sites porno et en cliquant sur un lien photo, l’écran est devenu blanc avec la mention « Merci d’attendre le chargement de la page », puis le fameux message avec un bandeau SACEM et Police Nationale est apparu, avec un long texte disant pourquoi mon client a été « puni », et à droite, le moyen de paiement comportant des touches pour rentrer ses codes bancaires dans un champ de texte… Enfin la totale !

Mon compatriote a réalisé immédiatement, après avoir constaté des fautes de grammaire et d’orthographe, que ce message était frauduleux.
Du coup il m’a contacté par téléphone. Arrivé sur place, j’éteins le PC en « Hard shutdown » c.-à-d. en maintenant le bouton Power pendant 5 secondes, puis lance le CD Hiren’s boot CD en mode Mini XP. Une fois dans l’interface de Hiren’s boot, je lance AutoRun depuis “Programs>Startup” pour supprimer les entrées de démarrage du virus (je les connais par expérience!), puis je redémarre sur Windows en mode sans échec. Il me suffit ensuite de lancer dans ce mode l’excellent anti-virus Malwarebytes.

Celui-ci trouve des fichiers vérolés, et des réglages Windows restrictifs dans le registre : icônes du bureau rendus invisible, interdiction de faire un clic droit, interdiction de lancer le gestionnaire des tâches. Je demande à Malwarebytes de supprimer ou corriger ces fichiers et restrictions.
Après un autre redémarrage, le PC est enfin fonctionnel : Virus et restrictions ont disparus. Une seule petite modification à faire : effectuer un clic droit sur le bureau puis choisir « Affichage » et cocher « Afficher les éléments du bureau » (car les icônes du bureau n’étaient toujours par visibles).

Mon obligé a de la chance : il n’est pas victime de la version dudit virus qui crypte (oui, carrément !) les fichiers personnels tels que les photos et autres documents PDF. Satisfait ; mon client règle sa note de 60€ et je lui donne des conseils pour éviter à l’avenir ce genre de soucis :
Son PC est « protégé » par Microsoft Security Essential, qui n’a malheureusement rien vu et qui a laisser passer le virus mais il faut dire aussi que mon client a un comportement « à risques » car MSE est suffisant en temps normal.
Comme conseil je lui propose d’acheter Kaspersky antivirus pour 20 malheureux euros et SURTOUT de vérifier et lancer immédiatement les mises à jour -non seulement de Windows- mais aussi de Flash player, Adobe reader et autres logiciels qui ont une interaction forte avec Internet (Skype, Yahoo mail…). Pour restreindre encore la surface potentielle d’attaque je désinstalle Java; il n’en a pas besoin.

PS: J’ai pu récupérer le virus en question sur clé USB pour le “tester” sur une de mes unités centrales et créer un tutoriel vidéo d’éradication, visible dans mon espace YouTube