{"id":1000,"date":"2016-11-07T14:20:10","date_gmt":"2016-11-07T13:20:10","guid":{"rendered":"https:\/\/dev.sicherheitsforum.ch\/?p=1000"},"modified":"2023-03-14T08:57:10","modified_gmt":"2023-03-14T07:57:10","slug":"achtung-support-betrueger","status":null,"type":"post","link":"https:\/\/news.save.ch\/fr\/achtung-support-betrueger\/","title":{"rendered":"Attention aux escrocs du support"},"content":{"rendered":"

\"achtung-support-betrueger-it-security\"<\/p>\n

On conna\u00eet la chanson : un appelant venu d'Inde tente de vous convaincre que votre ordinateur est en panne et que vous devez absolument installer un logiciel. Cette arnaque n'est certes pas nouvelle, mais cette forme d'escroquerie est tr\u00e8s r\u00e9pandue. Ing\u00e9nierie sociale<\/a> est d'une actualit\u00e9 br\u00fblante.<\/p>\n

Une forme d'escroquerie au support technique que Microsoft ne met pas explicitement en \u00e9vidence dans son analyse est l'attaque par le ransomware Screenlocker. Les utilisateurs d'ordinateurs ne re\u00e7oivent pas d'appel ni d'e-mail, mais leur acc\u00e8s \u00e0 l'ordinateur est bloqu\u00e9 par un cheval de Troie de chantage. Les victimes doivent alors appeler un pr\u00e9tendu num\u00e9ro de t\u00e9l\u00e9phone Microsoft pour renouveler leur licence pr\u00e9tendument expir\u00e9e pour leur PC. Les experts de G Data <\/a>se sont pench\u00e9s de plus pr\u00e8s sur ce type d'escroquerie :<\/p>\n

L'arnaque du ransomware Screenlocker<\/strong><\/p>\n

Le fichier malveillant se pr\u00e9sente toujours sous la forme d'un soi-disant programme d'installation pour un produit, par exemple VMC Media Player ou autre. Mais le programme annonc\u00e9 n'est pas du tout contenu dans cet installateur ! La famille de logiciels malveillants analys\u00e9e utilise Smart Install Maker pour g\u00e9n\u00e9rer l'installateur. L'analyse suivante de G Data se base sur le fichier suivant, qui s'est fait passer pour \"Free Download Manager\" : SHA256 : c72fb6e95375900999d14cd10541021a4db0a9065e387ed6b45266d80bb18d55<\/p>\n

Apr\u00e8s l'ex\u00e9cution, cet installateur place un fichier .bat et un fichier .exe (selon la variante, ceux-ci ont des noms diff\u00e9rents). Le fichier .exe est inscrit en tant que d\u00e9marrage automatique, aussi bien sous Winlogon Shell que sous l'entr\u00e9e de d\u00e9marrage automatique habituelle : SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run<\/p>\n

Le fichier .bat<\/strong><\/p>\n

Le .bat contient du code batch qui red\u00e9marre l'ordinateur apr\u00e8s un certain d\u00e9lai.<\/p>\n

Le fichier .exe<\/strong><\/p>\n

Il s'agit du code malveillant proprement dit, le verrou d'\u00e9cran. Dans notre exemple de cas, le fichier d'assemblage .NET s'appelle fatalerror.exe et n\u00e9cessite .NET 2.0 pour son ex\u00e9cution.<\/p>\n

G Data \u00e9crit qu'il a vu d'autres \u00e9chantillons n\u00e9cessitant .NET 4.6 pour s'ex\u00e9cuter. Si ces fichiers tombent sur Windows XP (o\u00f9 la version ne peut pas \u00eatre install\u00e9e) ou sur un syst\u00e8me avec une version .NET inf\u00e9rieure, le red\u00e9marrage effectu\u00e9 se traduit par un \u00e9cran vide qui n'affiche plus que son propre fond d'\u00e9cran Windows et le curseur de la souris.<\/p>\n

Il n'est toutefois pas possible de se connecter ou de lancer l'Explorateur Windows dans l'un ou l'autre cas.<\/p>\n

Les personnes concern\u00e9es voient s'afficher un \u00e9cran de verrouillage au design de Windows 10. Si l'on n'utilise pas Windows 10, on pourrait d\u00e9j\u00e0 remarquer \u00e0 ce stade que quelque chose ne va pas, comme l'\u00e9crit G-Data.<\/p>\n

Conclusion<\/strong><\/p>\n

Les arnaques au support technique ne sont pas un ph\u00e9nom\u00e8ne nouveau. Vous ne recevrez \u00e0 aucun moment un appel honn\u00eate de Microsoft ou de ses partenaires vous demandant de payer pour une r\u00e9paration d'ordinateur.<\/p>\n

L'apparition accrue du ransomware Screenlocker a \u00e9t\u00e9 une \u00e9volution dans ce contexte et peut inqui\u00e9ter encore davantage les utilisateurs. D'autant plus qu'ici, un escroc ne signale pas de pr\u00e9tendus probl\u00e8mes sur l'ordinateur, mais bloque activement l'acc\u00e8s \u00e0 l'appareil. Il est donc malheureusement exclu d'ignorer les faux avertissements.<\/p>\n

Conseils et astuces<\/strong><\/p>\n