Recherche
Posez votre question »

Ransomware Virus Gendarmerie : Votre ordinateur est bloqué

Avril 2015


ATTENTION Cette variante n'est plus propagée


La dernière variante est le "virus Hadopi", se reporter à la FAQ suivante : Virus Hadopi

Autre sujet relatif aux Virus Police : http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-police-interpol

ATTENTION


Voici une page pour supprimer l'infection : Votre ordinateur est bloqué en raison du délit de la loi France



Ce ransomware est une variante de celles qui sévissent depuis fin 2010 : Virus Gendarmerie
Ces infections se propagent en autre via des publicités malicieuses (Malvertising) sur les sites de streaming/téléchargements etc.
Ces publicités malicieuses conduisent à des exploits sur des sites Internet pour infecter les visiteurs.
Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
D'où l'importance de maintenir à jour ses logiciels.

Une vidéo d'un exploit en action ou une infection s'installe à la simple visite d'un site WEB :

Désinfection


Le malware supprime les clefs Safeboot de l'ordinateur.
Il est alors impossible de redémarrer en mode sans échec.

Cette procédure est issue de la page : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

Mode sans échec / Restauration du système


Si vous êtes sur Windows Seven/8, lancez une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Pour Windows XP :
Lancez une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263


PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE
NE PAS FAIRE UNE RESTAURATION D'USINE


NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.

CD Live Malekal


Téléchargez et graver le CD Live Malekal (ou à mettre sur clef USB).
Démarrez sur le CD Live Malekal sur le PC infecté.
Lancez RogueKiller, faire un scan puis cliquez sur Suppression à droite.
Redémarrez l'ordinateur, vous devriez être débarrassé du ransomware.

CD Live Malekal : Live-cd

Live CD Kaspersky



en vidéo :


Microsoft Standalone System Sweeper Tool


Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.
Cela peux être pratique dans le cas où Windows est bloqué notamment par des ransomwares / Trojan.Winlock.

Microsoft Standalone System Sweeper Tool est téléchargeable depuis ce lien : http://connect.microsoft.com/systemsweeper

Tutoriel Microsoft Standalone System Sweeper Tool : http://forum.malekal.com/microsoft-standalone-system-sweeper-tool-t36850.html
  • Télécharger le programme et le lancer.
  • Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.
  • Lorsque la clef USB ou le CD est prêt : Redémarrer l'ordinateur et modifier la séquence de démarrage : http://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot
  • Laisser le Scan s'opérer.
  • A l'issu du scan, si vous avez des éléments détectés, cliquez sur le bouton "Clean PC".
  • Redémarrer l'ordinateur normalement afin de vérifier si l'infection est éradiquée.

Remettre les clefs SafeBoot


Si vous êtes parvenus à éradiquer l'infection, il faut remettre les clefs SafeBoot afin de pouvoir rendre le mode sans échec accessible.
Télécharger et executer : http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

Post-Désinfection


Afin de supprimer d'autres programmes malicieux et notamment les adwares ou autres programmes inutiles qui ralentissent l'ordinateur comme les barre d'outils, il est conseillé :

D'utiliser AdwCleaner :
  • Télécharger AdwCleaner ( d'Xplode ) sur votre bureau.
  • Lancer le programme et cliquer sur [Suppression] puis patienter le temps du scan.


Ainsi que de faire un scan Malwarebyte Anti-Malware :

Malwarebyte Anti-Malware est relativement efficace et peut être gardé pour des scans ponctuels (compatabile en version gratuite avec tous les antivirus).

stopransomware.fr


D'autres procédures de désinfections sont aussi disponibles sur le site : http://stopransomware.fr/

Conclusion


Si vous ne parvenez pas à vous désinfecter avec l'astuce, créez un sujet dans la partie Virus du forum.

Si vous êtes parvenus à vous désinfecter, vous devez impérativement mettre à jour vos logiciels installés car votre ordinateur est vulnérable.

Un exploit sur site WEB permet l'infection de votre ordinateur de manière automatique à la visite d'un site WEB qui a été piraté, il tire partie du fait que vous avez des logiciels (Java, Adobe Reader etc) non à jour et qui possèdent des vulnérabilités permettant l'exécution de code (malicieux dans notre cas) à votre insu.
Le fait d'avoir des logiciels non à jour, qui potentiellement ont des vulnérabilités, permet donc d'infecter votre PC.
Exemple avec : Exploit Java

Maintenir vos logiciels à jour c'est important pour la sécurité de votre PC.
Il suffit d'utiliser ces programmes pour vous y aider : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite (à faire absolument).

Plus globalement pour sécuriser son ordinateur : http://www.commentcamarche.net/faq/8934-securisation-de-son-pc
Pour une lecture illimitée hors ligne, vous avez la possibilité de télécharger gratuitement cet article au format PDF :
Ransomware-virus-gendarmerie-votre-ordinateur-est-bloque.pdf

Réalisé sous la direction de , fondateur de CommentCaMarche.net.

A voir également

Dans la même catégorie

Publié par Malekal_morte-.
Ce document intitulé «  Ransomware Virus Gendarmerie : Votre ordinateur est bloqué  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.