Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-10-2013 20:17:29

seb95deMLO
Invité

important attention arnaque!

Une personne de mon entourage paniqué m'a appelé aujourd hui en me disant que son pc est bloqué, qu'il a été aux flics pour s'inocenté car son navigateur lui demandait de payer une somme pour debloquer le pc car il regardait un site pédophile(ce qu'il n'a jamais fait).
je me suis dis c'est une blague , c'est pas possible, je l'ai mis sous linux exprés pour eviter les virus et autre merde, et il arrive a me choper ça! comment on peut bloqué un pc sous linux?
j'ai cherché et j'ai vu ceci:

Citation a écrit :

La Police nationale Française vous communique une amende par Internet. Un conseil, ne répondez pas. Plusieurs internautes Français ont vu apparaître sur leur écran, ces derniers jours, un message électronique aux couleurs de la Police nationale. Voici le contenu de la missive : « Police nationale française, alerte activités illégales, votre système d'exploitation a été bloqué suite à la violation de la législation française ! Votre adresse IP a été détectée sur les sites illégales aux contenus pornographiques liés à la distribution de la pornographie enfantine, de la zoophilie… ».
Autant dire que les lecteurs du courrier ont eu un petit vent de panique. Il faut dire aussi qu'ils étaient en train de visiter un site de téléchargement. Une fenêtre [pop-up] qui réclamait 100 € pour s’acquitter d'une amende sanctionnant cette visite illicite. L'action a été orchestrée par un logiciel téléchargé et qui bloque le PC. Pas de paiement, l'ordinateur est perdu. Des cas ont été signalés à Castres et Strasbourg.
Une attaque qui n'a rien de nouveau. ZATAZ.COM vous en parlez déjà l'année dernière, ainsi que cet été. ce type de piège profite de l’intérêt de certains internautes à copier tout et n'importe quoi. Parmi les pièges, le logiciel espion MBRlock.15. Il se fait passer pour EuroPole, la police européenne. Il vous accuse de pédophilie. Jusqu’à présent actifs en Russie, le microbe semble vouloir s’exporter en Europe. Les spécialistes de chez Doctor Web annonçaient, fin septembre, de l'apparition d'une nouvelle modification d'un programme d'hameçonnage, le Trojan.MBRlock.15, infectant le MBR. Jusqu’à maintenant, les troyens de la famille Trojan.MBRlock représentaient surtout une menace pour les utilisateurs russes, désormais, les pirates ciblent les utilisateurs du monde entier avec une version en anglais et en français.


Le trojan modifie le MBR (Master Boot Record), cependant le MBR original et les tables de partition restent sauvegardés. A chaque allumage de l’ordinateur, le Trojan.MBRlock bloque le démarrage de l’OS, lit son code principal depuis des secteurs voisins du disque dur et l’enregistre dans la mémoire vive puis il affiche un message exigeant de payer 20 euros pour débloquer l'ordinateur, la somme pouvant être versée via Ukash et Epay. Le Trojan accuse l’utilisateur de surfer sur des sites de pornographie, de pédophilie et des sites montrant de la violence à l’égard des enfants. Il se fait passer pour la « Police Internet Européenne ».
Le code malveillant indique que "Votre ordinateur a été bloqué par la Police Internet Européenne ! Raison du blocage – VOTRE ADRESSE IP DETECTEE SUR DES PAGES CONTENANT DE LA PORNOGRAPHIE, DE LA PORNOGRAPHIE INFANTILE, BESTIALITE ET VIOLENCE CONTRE LES ENFANTS." Les pirates réclament 20 euros de "pénalité". Une somme à payer via le service de paiement en ligne Ukash. Le code de "déblocage" est ensuite envoyé par SMS via la ligne +37259534131. Une version de MBRBlock qui ne change pas de sa sœur Russe. Seule la langue Anglaise modifie l'impact de l'attaque.
Les utilisateurs victimes du Trojan.MBRlock, peuvent utiliser les codes de déblocage :
unlock391 et unlock193.



http://www.zataz.com/news/21629/virus-- … ateur.html

#2 09-10-2013 20:27:23

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : important attention arnaque!

Si tes copains sont du genre à confier leur billets de banques à la première personne qui frappe à la porte en affirmant qu'uils sont de la Banque de France et qu'ils doivent contrôler tous les billets, eh bien il n'y a plus grand chose à faire pour eux.

Si tu veux leur rendre un service, n'oublie pas de régler correctement Iceweasel dans les paramètres et en y ajoutant 3 ou 4 extensions dont Adblock+ et Ghostery.

Ajoute aussi un filtre parental, parce qu'à ce niveau il vaut mieux prévenir....

P.S. http://www.hoaxbuster.com/

Dernière modification par Haricophile (09-10-2013 20:33:06)


« Un optimiste, explique Raymond Aubrac, n’est pas un être satisfait, content de la situation actuelle. C’est quelqu’un qui pense qu’il peut faire quelque chose qui servira. »

Hors ligne

#3 09-10-2013 20:31:39

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : important attention arnaque!

C'est un virus qui a qqch comme 2 ans. Cela m'étonnerait fort que son ordi soit « bloqué». Juste un naïf de plus impressionné par une page web et un logo officiel smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#4 09-10-2013 20:36:25

seb95deMLO
Invité

Re : important attention arnaque!

desole les gars mais non "mes copains sont du genre à confier leur billets de banques ...." ne sont pas de ce genre la, il naviguait tranquillement.
en plus ce que tu conseille et deja fait maintenant faut savoir comment je peu faire pour refaire le mbr propre.

C'est un virus qui a qqch comme 2 ans. Cela m'étonnerait fort que son ordi soit « bloqué». Juste un naïf de plus impressionné par une page web et un logo officiel


nono, le pc est vraiment bloqué et attend le code, j'espere que ça sera l'un des deux, mais sinon j'aimerais etre sur que le mbr sois propre de toute  trojan.

si je reinstall grub c'est bon?

#5 09-10-2013 20:46:45

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : important attention arnaque!

ben, je ne connais pas le virus et ne sait pas à quel moment ça bloque, mais ouais, réinstaller grub serait un bon début.
Par contre, je doute fort qu'il se soit choppé ça sous linux smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#6 09-10-2013 21:04:19

seb95deMLO
Invité

Re : important attention arnaque!

si si choppé ça sous linux, plus precisement ubuntu 12.04

#7 09-10-2013 21:10:22

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : important attention arnaque!

un virus qui modifie le mbr sous nux ? sans passer root ? non ? smile T'es sûr que ton pote ne s'était pas installé un win en douce ?

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#8 09-10-2013 21:28:06

seb95deMLO
Invité

Re : important attention arnaque!

non il ne sait meme pas faire ça! c'est mon oncle en faite et lui et les pc sont pas potes!

mais j'ai du mal a pigé si c'est le mbr ou le navigateur, car je ne l'ai eu qu'au bout du fil... j'en saurais davantage vendredi.

j'espere que c'est pas le mbr, car je pense qu'en supprimant .mozilla je supprime le probleme, ensuite j'interdit le javascrit et ça devrait le faire.

#9 09-10-2013 21:31:17

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : important attention arnaque!

Ouais, genre ça lui a changé sa page d'accueil et rajouté du js chiant, par exemple via une extension à la noix.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 09-10-2013 21:34:42

Lætitia
Modette
Lieu : Normandie du Nord
Distrib. : Stretch
Noyau : 4.6.0-1-amd64
(G)UI : Xfce4
Inscription : 14-04-2010
Site Web

Re : important attention arnaque!

salut,
c'est pas la fake police nationale ou gendarmerie nationale, des fois. Tu dis bloqué, c'est à dire? Il n'a plus accès à sa session? Il ne peut plus naviguer? Si c'est un souci de navigateur, qu'il en essaie un autre, epiphany-browser, midori…

Bon courage smile

<titia> pas assez cuit; µonde  -> explosion
<captnfab> ^^
<captnfab> s/µ/bl/ wink

Hors ligne

#11 09-10-2013 21:52:17

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : important attention arnaque!

Meuh !!

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#12 10-10-2013 10:43:14

seb95deMLO
Invité

Re : important attention arnaque!

c'est pas la fake police nationale ou gendarmerie nationale, des fois. Tu dis bloqué, c'est à dire? Il n'a plus accès à sa session? Il ne peut plus naviguer? Si c'est un souci de navigateur, qu'il en essaie un autre, epiphany-browser, midori…


je pense bien que c'est ça et que c'est pas le mbr mais seulement le navigateur qui est bloqué, il me dis qu'il ne peut pas eteindre le pc sans l'arret brutale c'est a dire le bouton power de l'unité. donc je sais pas si l'interface(unity) n'est pas bloqué, je pense que si ce n'etait pas le cas il serait en mesure d'eteindre normalement la becane.


Ouais, genre ça lui a changé sa page d'accueil et rajouté du js chiant, par exemple via une extension à la noix.



pour moi c'est plus ce que tu dis que le truc du mbr en tout cas je l'espere, dans les deux cas je pense que reinstaller grub devrait formater le mbr, et qu'effacé le dossier firefox resoudra le probleme si c'est seulement le navigateur.

j'ai raison pour le mbr?

#13 10-10-2013 10:49:28

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : important attention arnaque!

En démarrant en console root, peut-être que simplement d'utiliser clamav à donf suffirait ? roll

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#14 10-10-2013 11:38:13

seb95deMLO
Invité

Re : important attention arnaque!

ça sera fait en plus de rootkit, je vais passer en revue le pc car j'ai aucune envie de me retapper l'installation depuis le debut, et de plus j'avais deja galéré pour l'imprimante.

#15 10-10-2013 13:06:23

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : important attention arnaque!

m'étonnerait qu'il y ait un rootkit aussi… à vérifier mais je pense que c'est simplement une sorte de fake qui trouble firefox.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#16 10-10-2013 13:23:21

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : important attention arnaque!

Je ne vois pas comment en naviguant depuis firefox on pourrait modifier le MBR


Par contre planter firefox avec un javascript infecté au point de figer l'interface graphique c'est peut-être possible. En quel cas on récupère ça avec un  <Ctrl><Alt>F1 pour agir depuis un autre tty. Sinon passer par les "magic sysreq"


J'essayerais en premier de lancer firefox avec un profile propre en faisant  :

$ firefox -ProfileManager



Si ça marche, récupérer les bookmarks de l'autre profile, réinstaller les extensions, effacer l'ancien profile et puis voilà.


P.S. Idéalement, apprends leur à utiliser l'extension noscript, les failles de sécu des navigateur c'est toujours par les scripts et les plugins que ça passe. Et configure aussi "bloquer les sites signalés comme des sites d'attaques" ou ajoute l'extension wot


P.P.S. Bien entendu : Ne JAMAIS installer de toolbar et ne pas cliquer sur n'importe quoi !

P.P.P.S Sou Ubuntu on peut mettre un user admin avec Sudo, idéalement on crée un user pour l'admin, et un deuxième user non admin pour tous les jours

Dernière modification par Haricophile (10-10-2013 13:27:07)


« Un optimiste, explique Raymond Aubrac, n’est pas un être satisfait, content de la situation actuelle. C’est quelqu’un qui pense qu’il peut faire quelque chose qui servira. »

Hors ligne

#17 10-10-2013 20:23:54

seb95deMLO
Invité

Re : important attention arnaque!

Je ne vois pas comment en naviguant depuis firefox on pourrait modifier le MBR


moi non plus, car contrairement a windows et son ie tres ancré en profondeur du systeme(quoique un peu moins depuis vista), firefox n'a aucun rapport avec le systeme.P.S.

Idéalement, apprends leur à utiliser l'extension noscript, les failles de sécu des navigateur c'est toujours par les scripts et les plugins que ça passe. Et configure aussi "bloquer les sites signalés comme des sites d'attaques" ou ajoute l'extension wot


c'est ce que je me dis en plus d'interdire le javascript.

P.P.S. Bien entendu : Ne JAMAIS installer de toolbar et ne pas cliquer sur n'importe quoi !


ça c'est deja dit mais bon ils font normalement attention, ça faisait bien deux ans sans soucis, alors que sous windows ont tenait a peine un mois...


P.P.P.S Sou Ubuntu on peut mettre un user admin avec Sudo, idéalement on crée un user pour l'admin, et un deuxième user non admin pour tous les jours


ça c'est meme pas la peine il n'utilise pas sudo il connait pas la console, il met juste a jour et rajoute des programme via la logitheque et en m'appelant avant...

#18 11-10-2013 15:09:52

seb95deMLO
Invité

Re : important attention arnaque!

bon c'est resolu, j'ai pas trouvé ce qui faisait ça, car vu qu'il a redeammaré il ne le faisait plus pourtant la machine avait été redemarrer deux fois hiere, mais le "popup" arrivait et bloquait linterface.
aujourd hui je pense que le cache a du etre effacé et du coup je n'ai pas vu le "truc", au dire de mon oncle, c'etait comme firefox donc une page web affiché en grand sans possibilité de toucher au autre icone du bureau ni de fermer la session ou le pc.

j'ai fait effacement du dossier mozilla, un coup de clamav + rkhunter + chkrootkit et rien trouver. du coup ça doit etre bon, il a reussit quand meme a m'imprimer la page pour que je puisse le voir.

merci les gars.

#19 11-10-2013 15:39:49

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : important attention arnaque!

C'était donc bien un attrape couillon comme on dit par ici dans le sud.

« Un optimiste, explique Raymond Aubrac, n’est pas un être satisfait, content de la situation actuelle. C’est quelqu’un qui pense qu’il peut faire quelque chose qui servira. »

Hors ligne

Pied de page des forums