Ce nouveau ransomware bloque votre accès à Windows 10 - comment s’en débarrasser ?
« Votre ordinateur a été mis à la poubelle », clame le logiciel malveillant.
Une nouvelle variante de rançongiciels de type MBRLocker (comme Petya et GoldenEye) vient d’être répertorié par le service de détection ID-Ransomware, à qui l’on doit déjà la découverte de 840 programmes de rançon. Cette série de logiciels malveillants se présenterait comme une suite d’utilitaires Windows gratuits, destinés à augmenter les performances de votre ordinateur. En réalité, une fois installés, ils bloqueraient l’accès de leurs victimes à Windows 10.
Pour déverrouiller le système d’exploitation, ces dernières n’ont d’autre choix que de régler la rançon exigée, en échange d’une clé de déblocage à récupérer sur le dark web.
Vous craignez d’être piégé(e) ? Sachez que ce nouveau MBRLocker est identifiable via le nom du fichier exécutable, derrière lequel il se dissimule : COVID-19.exe.
- Le coronavirus infecte aussi votre boîte mail
- ... et votre smartphone
- Comment soigner le coronavirus grâce à ses appareils connectés ?
L’application indésirable exécute un fichier batch qui configure certaines commandes système pour forcer Windows 10 à redémarrer. Lorsque le PC infecté se réinitialise pour la première fois, son administrateur ou tout autre de ses utilisateurs se retrouvent devant une fenêtre d’avertissement. Celle-ci comprend une image agrandie du coronavirus, ainsi qu’un message moqueur annonçant que « Le coronavirus a infecté votre PC ! ». Si les utilisateurs tentent de redémarrer l’appareil, un second message apparait : « Votre ordinateur a été mis à la poubelle ».
Le coronavirus inspire les hackers
Une enquête menée par les sociétés de cybersécurité Avast et SonicWall a révélé que le malware exécute également un programme qui sauvegarde la zone d’amorce ou MBR (le Master Boot Record héberge le système d’exploitation sur votre disque dur), dans une partition isolée. Il la remplace par une copie personnalisée qui émet l’ensemble de ces menaces au redémarrage.
Heureusement pour les victimes, Avast a dévoilé une astuce très simple, permettant de contourner le faux MBR et de redémarrer Windows 10 normalement. Pour ce faire, il suffit d’éteindre puis de rallumer son ordinateur, en appuyant simultanément sur les touches CTRL, ALT et ECHAP.
Depuis l’instauration des nouvelles mesures sanitaires de confinement, les cybercriminels profitent de la panique qui entoure la pandémie et redoublent d’opportunisme. Ces dernières semaines ont vu les attaques par rançon se multiplier. Les établissements de santé, notamment l'Organisation Mondiale de la Santé, sont aujourd’hui les principales victimes de ces tentatives d'escroquerie.
Etes-vous un expert ? Abonnez-vous à notre newsletter
Inscrivez-vous à la newsletter TechRadar Pro pour recevoir toutes les actualités, les opinions, les analyses et les astuces dont votre entreprise a besoin pour réussir !
Il est conseillé aux utilisateurs, particuliers comme professionnels, de faire preuve d'une extrême prudence lors du téléchargement de fichiers exécutables. En s’assurant, en premier lieu, que les appareils informatiques employés sont protégés par des logiciels de sécurité efficaces. L’utilisation de VPN efficaces est enfin conseillée pour préserver la confidentialité des données enregistrées ou échangées en ligne.
Joel Khalili is the News and Features Editor at TechRadar Pro, covering cybersecurity, data privacy, cloud, AI, blockchain, internet infrastructure, 5G, data storage and computing. He's responsible for curating our news content, as well as commissioning and producing features on the technologies that are transforming the way the world does business.