Je crois avoir été infecté par un ransomware

waffleracer

Membre confirmé
26 Juillet 2017
29
3
29
Bonsoir ou plutôt bonjour,

Je suis en panique la plus totale car je crois être victime d'un ransome ware mais ceci s'est fait d'une manière assez étrange

En gros, j'étais sur Safari en train de télécharger de la musique sur Zippyshare (si jamais certains d'être vous connaissent) quand tout à coup une fenêtre d'identification iCloud apparaît et de là les problèmes commencent.
Ayant mon compte iCloud lié à tous les appareils mon iPhone se met brièvement en mode volé puis redevient accessible mais mon après l'avoir éteint ne l'est plus.

Quand je l'ai rallumé, il charge normalement mais au moment de m'inviter à mettre mon mot de passe une "page" se met avec une invite à entrer un code PIN et avec un message me disant de contacter le service client au travers d'une adresse mail (apple.help@gmx.com) et de là j'ai su qu'on me demandait de payer en BitCoin

Voilà je lance cet appel car je suis en panique pour mon Mac mais également pour le reste de mes appareils
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
38 311
5 465
Installe et lance Malwarebytes… https://fr.malwarebytes.com/mac/ …et vois ce qu'il se passe après un scan. Tu peux aussi installer uBlock… https://www.ublock.org …qui est bien plus performant que Adblock et Adblock Plus qui eux laissent passer volontairement de la PUB pour se rétribuer.
 

waffleracer

Membre confirmé
26 Juillet 2017
29
3
29
Le problème Locke c'est qu'il m'est impossible d'y accéder, le Mac démarre normalement et au moment de charger ma session un écran alias fait apparition avec l'invitation à entrer un code PIN récupéré après avoir payé en BitCoin
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
38 311
5 465
Redémarre en mode sans échec… https://support.apple.com/fr-fr/HT201262 …et installe/lance Malwarebytes.

Par contre, tu ne donnes aucune information sur ton Mac, année, modèle, macOS en cours, etc ?
 
  • J’aime
Réactions: squiddly

waffleracer

Membre confirmé
26 Juillet 2017
29
3
29
J'ai ressayé le redémarrage en Mode Sans Échec et également j'ai tenté un reboot SMC quant au modèle il s'agit du Mabook Pro mi-2012 i5 avec le lecteur de disque intégré et la version de macOS Sierra est la dernière proposée par Apple donc macOS 12.12.6 je crois
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
38 311
5 465
  • J’aime
Réactions: iBaby

waffleracer

Membre confirmé
26 Juillet 2017
29
3
29
Ça n'a pas marché, je suis retombé sur l'écran alias m'invitant à entrer le code PIN le choix de la langue est apparu pendant 2 secondes et a été remplacé par l'écran alias qui est dans la photo
b2a207ecfb68504454a23a459e0cb39b.jpg
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
38 311
5 465
Tu as acheté ce MBP où ?

Curieux, on dirait un verrouillage à distance. Tu as d'autres matériels Apple, un autre Mac, un iPhone, etc ? Quelqu'un a accès à tes comptes ?
 

waffleracer

Membre confirmé
26 Juillet 2017
29
3
29
J'ai acheté ce Mac sur l'Apple Store Online il y a maintenant 3 ans avec ma remise étudiant, oui j'ai un iPhone et un iPad également mais je ne sais pas s'ils connaîtront les mêmes problèmes je sais que cette nuit quand c'est arrivé mon iPhone est très brièvement resté en mode volé et mon iPad heureusement n'était pas connecté en WiFi à ce moment
 

r e m y

Membre vénérable
Club MacG
4 Novembre 2000
41 519
4 322
59
St Germain en Laye - FRANCE
Il faut appeler Apple car ça ressemble à un verrouillage à distance par quelqu'un ayant accès au compte iCloud.

Et depuis un autre Mac ou PC il serait prudent de se connecter au compte iCloud pour modifier le mot de passe (si ceux qui en ont pris le contrôle ne l'ont pas deja fait...)
Et si l'accès au compte iCloud est toujours possible (si le mot de passe est toujours celui que vous connaissez), peut-être est-il possible d'annuler ce verrouillage à distance du Mac.
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
38 311
5 465
J'ai acheté ce Mac sur l'Apple Store Online il y a maintenant 3 ans avec ma remise étudiant
Donc, le problème ne vient pas de là.
oui j'ai un iPhone et un iPad également mais je ne sais pas s'ils connaîtront les mêmes problèmes je sais que cette nuit quand c'est arrivé mon iPhone est très brièvement resté en mode volé et mon iPad heureusement n'était pas connecté en WiFi à ce moment
Par contre, est-ce que quelqu'un a accès à tes comptes ? Tu mentionnes que ton iPhone a été déclaré brièvement volé ce qui sous-entend que quelqu'un a accès à ton compte iCloud.
 

waffleracer

Membre confirmé
26 Juillet 2017
29
3
29
Justement, j'ai modifié immédiatement mon mot de passe iCloud mais personne d'autre n'a accès à mes identifiants mise à part moi, même ma petite amie ne les connaît pas c'est pour dire

Oui, justement là je vais me déplacer en Apple Store mais je suis pas sûr qu'ils pourront me prendre Sans rendez-vous mais je vais tenter tout de même

Il s'agit d'un faux verrouillage à distance étant donné que je dois payer en BitCoin si je veux de nouveau accéder à mon ordinateur
 

r e m y

Membre vénérable
Club MacG
4 Novembre 2000
41 519
4 322
59
St Germain en Laye - FRANCE
Non je pense que c'est un vrai verrouillage à distance (avec un message que l'on peut saisir manuellement lors du verrouillage) de quelqu'un qui réclame un paiement en bitcoin pour révéler (peut-être...) le code de verrouillage.

Depuis le compte iCloud, il n'y a pas moyen de supprimer le verrouillage du Mac en passant par Localiser mon Mac?
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
38 311
5 465
Il s'agit d'un faux verrouillage à distance étant donné que je dois payer en BitCoin si je veux de nouveau accéder à mon ordinateur
Faux verrouillage je ne pense pas. Et cet écran est bien un verrouillage, de plus ou as tu vu qu'il fallait payer en bitcoin ? Ce n'est pas ce type d'écran en cas de problème, je pense toujours à quelqu'un qui a eu accès à ton code iCloud.
 

dive

Membre enregistré
26 Juillet 2017
7
0
45
Bonjour,

Exactement le meme probleme pour moi. Je suis en ce moment en ligne avec le support d'Apple qui me confirme "un petit probleme". C'est tres problematique, mon macbook professionel est bloque.

@waffleracer, avez-vous l'URL de la page web vous demandant de payer?

Merci.
 

dive

Membre enregistré
26 Juillet 2017
7
0
45
Bonjour,

Exactement le meme probleme pour moi. Je suis en ce moment en ligne avec le support d'Apple qui me confirme "un petit probleme". C'est tres problematique, mon macbook professionel est bloque.

@waffleracer, avez-vous l'URL de la page web vous demandant de payer?

Merci.

A priori il existe une faille qui permet de verrouiller un mac a distance en connaissant son identifiant iCloud. Mon mac n'est pas marque comme verrouille sur le site iCloud. Par ailleurs, les pirates ont mis en place un mot de passe sur le firmware, donc toute entree en mode recovery est impossible. Effrayant.
 

waffleracer

Membre confirmé
26 Juillet 2017
29
3
29
Oui dive j'ai pris en capture d'écran l'URL envoyée par e-mail
9978fcf49558616d633be2bf93bd71ae.jpg
 

melaure

Chasseur de Bobos
Club MacG
24 Octobre 2001
24 848
1 730
51
Le Grand Lyon
Locke a raison, ça ressemble beaucoup à la saisie du code de déverrouillage (la saisie d'un mot de passe firmware est différente), activé via la fonction Localiser mon Mac de iCloud. Si tu as donné ton mot de passe iCloud via une fenêtre sur un site "louche", tu ne peux t'en prendre qu'à toi-même et passer en Apple Store ou Centre Technique avec ta facture.

Surtout ne jamais payer de rançon, la plupart du temps, il n'y a jamais de réponse !

Est-ce que tu peux encore changer ton mot de passe iCloud depuis le site icloud ?
 

r e m y

Membre vénérable
Club MacG
4 Novembre 2000
41 519
4 322
59
St Germain en Laye - FRANCE
En plus il s'agit de mon Mac et j'ai une partie de mon mémoire dessus

Keep cool! Et essaie de répondre aux questions qu'on te pose stp...

Si tu as accès à ton compte iCloud (je pense que oui vu que tu dis avoir pu changer le mot de passe)... va sur Localiser mon Mac.
Est-ce que tu vois ton Mac et est-il indiqué comme "verrouillé"?
Si oui, as-tu la possibilité de le déverrouiller?
 
  • J’aime
Réactions: melaure