Je crois avoir été infecté par un ransomware

Merci Rémy d'avoir contacté la rédaction pour en parler !
 
Moonwalker a dit:
Bah! Un keylogger sur un appareil "de confiance" et hop !
Cliquez pour agrandir...
Sauf qu'en l'occurence, aucune des personnes ayant vu leur appareil bloqué à distance (que ce soit les 4 de ce fil ou les quelques-uns sur le forum Apple) n'a vu arriver une quelconque demande sur leur appareil de confiance...

La machine qui a servi à accéder aux comptes a dû se faire passer pour un appareil ayant été précédemment autorisé...

Quoi qu'il en soit, j'espère qu'Apple prendra ces quelques cas au sérieux pour comprendre la faille (aussi fine soit-elle) et la combler.
 
r e m y a dit:
Sauf qu'en l'occurence, aucune des personnes ayant vu leur appareil bloqué à distance (que ce soit les 4 de ce fil ou les quelques-uns sur le forum Apple) n'a vu arriver une quelconque demande sur leur appareil de confiance...
Cliquez pour agrandir...

Ils n'ont pas vu grand chose, même pas le e-mail avertissement de la connexion d'un appareil Windows.

LeNiv a dit:
""Votre identifiant Apple (******) a été utilisé lors d’une connexion à iCloud à partir d’un navigateur web.
Date et heure : 25 juillet 2017 à 19:36 PDT
Système d’exploitation : Windows.""


""« MacBook de Admin » a été verrouillé.
Ce Mac a été verrouillé à 02:28 PDT le 26 juillet 2017. Si vous récupérez votre Mac, déverrouillez-le à l’aide du code que vous avez créé en le verrouillant.""
Cliquez pour agrandir...
 
Je ne suis pas touché par l'infection mais avant hier devant mon iMac, j'ai vu apparaitre en haut à droite de mon écran, une notification avec une pomme rouge marquée AppleCare m'invitant à partager mon écran.
Je n'ai ni accepté ni refusé, ce fut très bref (et je ne bois que de l'eau..) mais c'était surprenant car je n'ai rien demandé du tout à l'Apple Care....
Que ce serait-il passé si j'avais accepté ?
Je doute que ce soit Apple qui ait tenté quoique ce soit et je ne réponds pas mon plus aux nombreux mails de Phishing se faisant passer pour Apple....
En tout cas cette invitation reste un mystère pour moi....
 
Si ce n'est que sous couvert de simplicité, les utilisateurs sans aucune compétence sont persuadés d'être protégés, puisqu'ils ont suivi les consignes de l'OS. Mais les liens entre identifiant Apple, Appstore, iCloud et les machines autorisées sont, de mon point de vue, un beau foutoir.
 
r e m y a dit:
Sauf qu'en l'occurence, aucune des personnes ayant vu leur appareil bloqué à distance (que ce soit les 4 de ce fil ou les quelques-uns sur le forum Apple) n'a vu arriver une quelconque demande sur leur appareil de confiance...
Cliquez pour agrandir...

Ils n'ont pas vu grand chose, même pas le e-mail avertissement de la connexion d'un appareil Windows.
pickwick a dit:
Je ne suis pas touché par l'infection mais avant hier devant mon iMac, j'ai vu apparaitre en haut à droite de mon écran, une notification avec une pomme rouge marquée AppleCare m'invitant à partager mon écran.
Je n'ai ni accepté ni refusé, ce fut très bref (et je ne bois que de l'eau..) mais c'était surprenant car je n'ai rien demandé du tout à l'Apple Care....
Que ce serait-il passé si j'avais accepté ?
Je doute que ce soit Apple qui ait tenté quoique ce soit et je ne réponds pas mon plus aux nombreux mails de Phishing se faisant passer pour Apple....
En tout cas cette invitation reste un mystère pour moi....
Cliquez pour agrandir...

Vérifier les réglages des notifications dans ton navigateur et dans les Préférences Système.
 
Vérifier les réglages des notifications dans ton navigateur et dans les Préférences Système

en effet dans les pref.système je soupçonne un malware StellaMacDataRecovery (reconnu bizarrement comme tel ...par malwarebytes après son installation dans le cadre d'un bundle) qui était censé pouvoir contrôler mon mac... j'ai supprimé cela .... qui vivra verra
 
Locke a dit:
Ca devient intéressant, tu as acheté où ce bundle ?
Cliquez pour agrandir...


en novembre avec BundleHunt, la premiere clef de ce logiciel était erronée, j'en ai demandé une autre, le logiciel a été validé. Et c'est quelques jours plus tard que MalwareBytes me le signalait comme malveillant.... j'ai désinstallé, réinstallé et repassé MalwareBytes et rebelote... ce qui m'a confirmé que la version fournie dans le Bundle était buggée...

Question : si on a un clone du disque dur bloqué fait avec Superduper par exemple peut on effacer le disque interne comme ceci :
1) démarrer sur le clone
2) lancer une commande toute simple pour obtenir la liste des disques connectés (évidemment, vous lancez la commande APRÈS avoir branché votre disque au Mac).

diskutil cs list

3) Ensuite, si vous avez plusieurs disque dur de connecté, chercher le groupe de volume logique - “Logical Volume Group” - qui correspond au nom du disque que vous voulez effacer.

4) Vous copiez l’UUID qui suit les mots “Logical Volume Group” dans ce regroupement et vous lancez la commande suivante (où “copiedUUID” représente l’UUID du disque que vous venez de copier)

diskutil cs delete copiedUUID


..... puis recopier le clone vers le disque dur origine ??
 
Dernière édition:
Ce n'est pas le disque dur qui est bloqué mais le Mac. Le disque dur, lui, est parfaitement intact, d'ailleurs il peut être démonté et remonté dans un autre Mac où il fonctionnera parfaitement.

Donc un clone n'est d'aucune utilité pour débloquer le Mac.
 
Le mac n'est peut être pas infecté.

L'identification à deux facteurs ne vous protège pas car il est possible d'activer le mode perdu sans le deuxième facteur. (dans le cas ou votre seul appareil de confiance ne serait pas accessible)

Allez sur iCloud.com, connectez vous mais ne rentrez pas le deuxième facteur et regardez en bas de l'image...

C'est simplement vos identifiants qui ont été interceptés un jour et qui sont maintenant utilisés contre vous.

 
  • J’aime
Réactions: Moonwalker, Macounette et r e m y
Ah exact! Je pense que tu as la réponse aux questions que l'on se posait effectivement.
Donc la parade est le changement impératif de mot de passe du compte iCloud.
 
Hinamori a dit:
Allez sur iCloud.com, connectez vous mais ne rentrez pas le deuxième facteur et regardez en bas de l'image...
Cliquez pour agrandir...
Effectivement on est ainsi censé avoir accès à Find my iPhone. De là, pas sûre qu'il soit possible de verrouiller l'appareil...
Toutes les autres parties d'iCloud sont par contre indisponibles si on ne rentre pas le deuxième facteur.
 
Sly54 a dit:
Le mot de passe iCloud, est-ce le même que celui qu'on entre sur l'AppStore ? Et dans iTunes ?
Cliquez pour agrandir...
Ta question va dans le même sens que mon intervention antérieure. Il est difficile (euphémisme) pour le simple utilisateur de s'y retrouver...

Et ce que Macounette appelle un compte, est-ce lié à une adresse mail ?
 
  • J’aime
Réactions: Sly54
Macounette a dit:
Oui, si tu utilises le même compte pour AppStore et iTunes que pour ton calendrier, contacts, sauvegarde iCloud etc.
Cliquez pour agrandir...
Merci :up:


Tox a dit:
Ta question va dans le même sens que mon intervention antérieure. Il est difficile (euphémisme) pour le simple utilisateur de s'y retrouver...
Cliquez pour agrandir...
Oui, je l'avais vue, mais j'ai peut-être raté la réponse !


Et y-a-t-il un endroit unique pour changer ce mot de passe ?
 
Haut Bas