Skip to main content

Ce nouveau ransomware bloque votre accès à Windows 10 - comment s’en débarrasser ?

Ransomware Coronavirus sur Windows 10
(Crédit photo: Shutterstock / La1n)

Une nouvelle variante de rançongiciels de type MBRLocker (comme Petya et GoldenEye) vient d’être répertorié par le service de détection ID-Ransomware, à qui l’on doit déjà la découverte de 840 programmes de rançon. Cette série de logiciels malveillants se présenterait comme une suite d’utilitaires Windows gratuits, destinés à augmenter les performances de votre ordinateur. En réalité, une fois installés, ils bloqueraient l’accès de leurs victimes à Windows 10.

Pour déverrouiller le système d’exploitation, ces dernières n’ont d’autre choix que de régler la rançon exigée, en échange d’une clé de déblocage à récupérer sur le dark web.

Vous craignez d’être piégé(e) ? Sachez que ce nouveau MBRLocker est identifiable via le nom du fichier exécutable, derrière lequel il se dissimule : COVID-19.exe.

L’application indésirable exécute un fichier batch qui configure certaines commandes système pour forcer Windows 10 à redémarrer. Lorsque le PC infecté se réinitialise pour la première fois, son administrateur ou tout autre de ses utilisateurs se retrouvent devant une fenêtre d’avertissement. Celle-ci comprend une image agrandie du coronavirus, ainsi qu’un message moqueur annonçant que « Le coronavirus a infecté votre PC ! ». Si les utilisateurs tentent de redémarrer l’appareil, un second message apparait : « Votre ordinateur a été mis à la poubelle ».

Le coronavirus inspire les hackers

Une enquête menée par les sociétés de cybersécurité Avast et SonicWall a révélé que le malware exécute également un programme qui sauvegarde la zone d’amorce ou MBR (le Master Boot Record héberge le système d’exploitation sur votre disque dur), dans une partition isolée. Il la remplace par une copie personnalisée qui émet l’ensemble de ces menaces au redémarrage.

Heureusement pour les victimes, Avast a dévoilé une astuce très simple, permettant de contourner le faux MBR et de redémarrer Windows 10 normalement. Pour ce faire, il suffit d’éteindre puis de rallumer son ordinateur, en appuyant simultanément sur les touches CTRL, ALT et ECHAP.

Depuis l’instauration des nouvelles mesures sanitaires de confinement, les cybercriminels profitent de la panique qui entoure la pandémie et redoublent d’opportunisme. Ces dernières semaines ont vu les attaques par rançon se multiplier. Les établissements de santé, notamment l'Organisation Mondiale de la Santé, sont aujourd’hui les principales victimes de ces tentatives d'escroquerie.

Il est conseillé aux utilisateurs, particuliers comme professionnels, de faire preuve d'une extrême prudence lors du téléchargement de fichiers exécutables. En s’assurant, en premier lieu, que les appareils informatiques employés sont protégés par des logiciels de sécurité efficaces. L’utilisation de VPN efficaces est enfin conseillée pour préserver la confidentialité des données enregistrées ou échangées en ligne.

Via Bleeping Computer