Salut !
 
Je suis dans la mouise, je n'arrive à rien pour l'instant.
 
Hier chez un amis, je veux tester une prise réseau fraichement installée. Je chope le PC portable pour f, je lance Chrome, je tape speedtest (.com au lieu de .NET - N'Y ALLEZ PAS), et un tas de fenêtres à la con se sont ouvertes.
Le truc s'est mis en plein écran, avec des menaces dans tous les sens. J'ai coupé la machine.
 
J'ai lancé une sauvegarde du disque via Acronis.
 
J'ai galéré pour booter en USB jusqu'à trouver dans le bios SECURE BOOT.
 
Kaspersky Live CD me dit que le disque SSD NVME est en BitLocker (que nous n'avons jamais activé / utilisé).
 
Eset Lice RescueCD n'existe plus, comme d'autres qui ont aussi disparu.
 
De toute façon, le disque n'est pas accessible.
 
J'ai tenté de monter la sauvegarde Acronis (800Go) sur mon autre PC, rien n'est visible.
 
 
Génial...
 
Est-ce que ça parle à quelqu'un ?

J'ai lancé le windows en question. J'ai cherché le menu BITLOCKER que je n'avais jamais utilisé.

Et j'ai vu un message "BitLocker en attente d'activation".
Petite recherche sur le net, je l'ai désactivé.
https://www.diskpart.com/fr/article [...] 04-tc.html

Le disque est en cours de déchiffrage. 5 minutes pour 3%

Le disque n'a pas pu être chiffré hier en 30 secondes (jusqu'au moment où je coupe le PC) ou aujourd'hui, car Windows a été démarré moins d'une minute avec les quelques reboot sous windows lancés par erreur).

J'imagine que le "virus" est toujours sur la machine.

 
 
tu ne serais pas dans ce cas là ? :
 
je viens de lire ceci (compte Microsoft) :
 
Le chiffrement automatique des appareils BitLocker commence pendant l’expérience de démarrage (OOBE). Cependant, la protection est activée (armée) uniquement après que les utilisateurs se sont connectés avec un compte Microsoft ou un compte Azure Active Directory. Jusque-là, la protection est suspendue et les données ne sont pas protégées. Le chiffrement automatique des appareils BitLocker n’est pas activé avec des comptes locaux, auquel cas BitLocker peut être activé manuellement à l’aide du panneau de configuration BitLocker.
 
Le chiffrement automatique des appareils BitLocker est activé lorsque :
 
L’appareil contient un TPM (Trusted Platform Module), soit TPM 1.2 soit TPM 2.0.
UEFI Secure Boot est activé. Veuillez consulter Secure Boot pour plus d’informations.
Platform Secure Boot est activé
La plateforme est Modern Standby ou conforme à HSTI (cette exigence a été supprimée depuis Windows 11 24H2)
Il n’y a pas d’interfaces Direct memory access (DMA) non autorisées (cette exigence a été supprimée depuis Windows 11 24H2)
 
https://learn.microsoft.com/fr-fr/w [...] encryption
 

On utilise ce laptop depuis mai 2017.
Rien n'a changé / été activé depuis longtemps.
La dernière sauvegarde du 4 juin dernier a fonctionné, BitLocker n'était pas actif.
On utilise un compte local.

Avant de désactiver et déchiffrer :
Pourcentage chiffré : 100%
Etat de la protection : protection désactivé
Etat du déverrouillage : déverrouillé
Champ d'identification : inconnu
Protecteurs de clés : aucun trouvé
 
Est-ce que ce n'est pas allé jusqu'au bout car j'ai stoppé le PC hier ? (alors qu'une des fenêtres louches "demandait" de ne surtout pas couper le PC ?
 
Je regrette de ne pas avoir eu le réflexe de prendre une photo de l'écran.
 

Le disque est maintenant entièrement déchiffré. Je lance une sauvegarde, puis des recherches de virus/malware.
 
Eset et Malwerbytes ont supprimé leur Live Rescue/CD, snif

Il y a peu de chance que tu es eu un virus, tu as surement eu une pub en plein écran simplement, le soucis c'est quand tu appelles le numéro et que tu donnes la main.
j'en ai au moins un par semaine dans mon atelier.

Ce que n'était pas qu'une pub, impossible de sortir de la fenêtre (raccourcis clavier, alt-tab, menu démarrer, ctrl-alt-sup).

Bit locker a bien été activé par quelque chose, pas par nous (probablement antérieur à ce qu'on a vu apparaître sur l'écran). Une recherche sur le net montre qu'il y a bien des ransomwares qui exploitent BT.

Les ransomwares n'exploitent pas bitlocker. (ce serait les pires ransomware du monde). tu as dû tomber sur des posts de gens comme toi qui ne comprennent pas ce qu'il se passe sur leur ordi.
 
C'est le t470s ? Il est livré avec bitlockér activé. ça fait partie des requirements de Windows pour les OEM depuis W10 1709.

Il y a plein d'articles sur le net (pas des messages d'utilisateurs) qui parlent de ransomwares qui exploitent Bit locker.

C'est un t470s oui.
Comme je l'ai écrit, on l'a depuis 2017, on a jamais activé Bit locker (du moins depuis la réinstallation il y a 5 ans), et îl ne l'était pas y a 2 mois lors de la dernières sauvegarde.

 
malheureusement si
 
https://www.it-connect.fr/ransomwar [...] s-windows/

 
ok my bad, mais je maintiens que c'est débile.
 
Le périmetre d'attaque sont les machines W10 non bitlockées qui tournent sans UAC ? (sachant que c'est activé par défaut sur w11 etc..)

 
c'est génial au contraire, BitLocker si on perd la clé de récup c'est aussi efficace qu'un ransomware.
 
Pas besoin de code malveillant, juste une série de commandes légitimes à passer au système.
 
Bref dans le cas d'OP, rien de tout ça évidemment, c'est effectivement le classique pop up plein écran qui fait peur, et un BitLocker activé par l'OEM, rien de méchant.

 
Oui, mais je suis allé voir comment il marche : sa seule cible sont les ordis qui ne sont pas encore bitlockés. Il ne peut pas aller supprimer la clé de récup sur le compte MS ou quoi que ce soit, tout ce qu'il fait c'est empecher sa sauvegarde lors de l'activation de BL. Et en plus il a besoin des acces admin pour ça.
Donc son périmetre d'attaque sont les ordis où bitlocker n'est pas activé (activé par défaut sur W11 et sur tous les OEM depuis 2017 avec W10) et où l'UAC a été désactivé.
C'est presque un virus "tu l'as bien cherché". Les crypto lockers normaux sont dévastateurs parcequ'ils n'ont pas besoin des droits admin et s'executent dans le contexte utilisateur. Si tu te manges celui-là c'est que tu l'as un peu provoqué quand même.