Le scenario est connu : des fraudeurs vous encouragent, au nom de Microsoft, à procéder à la mise à niveau vers Windows 10 à l’aide d’un logiciel annexé. Une fois ce logiciel exécuté, tous les fichiers de l’ordinateur sont codés et un message d’avertissement s’affiche sur le bureau avec une minuterie : si vous ne payez pas dans les 96 heures, toutes vos données seront perdues !
L’e-mail déroule un petit argumentaire commercial sur un fond bleu qui se rapproche du fameux code couleur accompagnant le nouveau système d’exploitation. Le texte en anglais rappelle en quelques mots les innovations de Windows 10, dont le fameux retour du menu Démarrer et la présence du nouveau navigateur Edge tout en insistant sur la simplicité d’installation de la mise à jour et sa compatibilité avec la configuration matérielle et les applications installées. Les auteurs invitent ainsi à ouvrir la pièce jointe, un fichier Zip baptisé Win10Installer…
A partir de là, l’ordinateur est sous le contrôle des escrocs. Payer ne réduit pas le risque de voir les données irrémédiablement cryptées…
Le ransonware CTB-Locker, qui caractérise cette arnaque, se distingue par le fait qu’il ne s’appuie pas sur une clé RSA de chiffrement asymétrique comme c’est généralement le cas, mais utilise un cryptage à courbe elliptique qui offre toujours le même cryptage de clé publique/privée. Par ailleurs, sur la partie prise de contrôle à distance, CTB-Locker s’appuie sur des adresses IP codées en dur et des ports non standards pour établir la communication avec les équipements des rançonneurs et non sur des sites WordPress compromis comme intermédiaires pour contrôler l’hôte attaqué comme c’est le cas pour les récentes versions de ransomware.
Encore un détail : l’e-mail est expédié par update@microsoft.com, une adresse qui n’existe pas. Ensuite, certains caractères ne s’affichent pas proprement. D’autre part, les cybercriminels tentent de rendre l’e-mail authentique en l’accompagnant d’un message d’avertissement qui pourrait effectivement accompagner un e-mail de Microsoft (les défauts d’affichage de caractère en moins). Enfin, l’e-mail se termine sur la notification de plus en plus courante selon laquelle son contenu a été vérifié par le service d’antivirus MailScanner confirmant ainsi son innocuité et visant ainsi à rassurer définitivement le destinataire.
N’empêche : il n’est pas dans les habitudes de Microsoft d’envoyer par e-mail les annonces de ses mises à jour à des utilisateurs dont l’éditeur ne dispose pas nécessairement des adresses…
Comment réagir à cet e-mail ?
Bien évidemment, Microsoft recommande de ne pas donner suite. La mise à niveau est automatiquement déployée par Microsoft via Windows Updates. Les utilisateurs de Windows 7 et de Windows 8.1 peuvent s’enregistrer pour obtenir une mise à niveau gratuite vers Windows 10 via l’application «Télécharger Windows 10». Elle se trouve sur la barre des tâches. L’app vérifie que l’appareil est compatible et réserve la mise à niveau. Ensuite, il se peut que l’utilisateur doive attendre un certain temps pour la mise à niveau, car les personnes qui ont réservé plus tôt ont la priorité.
Comment reconnaître cet e-mail ?
° Le mail est envoyé de l’adresse update@microsoft.com; il s’agit d’une adresse IP provenant de Thaïlande.
° L’utilisation des couleurs de l’e-mail correspond au schéma des couleurs de Windows 10, notamment l’arrière-plan bleu.
° Rédigé en anglais, l’e-mail présente différents caractères erronés.
° Au bas de l’e-mail, il est indiqué que le contenu est scanné par un antivirus.
Que faire si votre ordinateur a déjà été contrôle par les escrocs ?
Déconnecter le PC immédiatement de l’internet, procéder à un scanning complet avec un détecteur de virus récent et éliminer le logiciel malveillant découvert. Si nécessaire, procéder à la réinstallation de l’ordinateur. Dans la foulée, modifier tous les mots de passe, tant de l’ordinateur que de tous les comptes internet (messagerie, Facebook, Twitter…). Penser aussi à changer les questions de sécurité reçues quand on oublie le mot de passe des comptes.
Que faire si après avoir subi des dommages ?
Déposer une plainte pour piratage et sabotage auprès de la police locale. Collecter toutes les données qui peuvent étayer les faits et le préjudice subi. Noter toutes les données reçues des escrocs comme les numéros de téléphone, les noms et l’adresse du site web et les donner à la police. Possibilité de découvrir sur le blog de Microsoft comment se déroulera votre mise à niveau vers Windows 10 et Microsoft vous donne également une check-list pour votre mise à niveau vers Windows 10 très pratique.