Ces derniers temps je n’ai pas été très actif sur mon blog, mais j’en ai tout de même profité pour créer de nouvelles pages concernant Windows.
En effet, on se retrouve souvent à rechercher une ou l’autre commande, ou bien un raccourci clavier nous échappe. Au fil du temps la mémoire nous fait défaut. C’est pour cette raison que deux nouvelles pages ont vu le jour.
Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.
Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.
Comment ça marche?
Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.
Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.
Les clés USB pour se propager
La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.
Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.
Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier “Update.exe” qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.
Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.
Faible sécurité
D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source “Stupid”.
Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.
Microsoft Garage, c’est un peu le petit laboratoire – pas très secret – dans lequel les employés de la firme peuvent proposer différents projets qui n’ont pas forcément de lien avec leur poste au sein de l’entreprise. On y retrouve donc des petits programmes sympathiques, et c’est notamment le cas de Mouse without Borders.
Ce petit logiciel bien pratique permet, avec une seule souris, passer d’un écran à un autre sur des PC différents. Les opérations plutôt basiques comme le drag & drop de fichiers ou le copier/coller de texte d’un ordinateur à un autre sont évidemment prises en charge.Pour lier les ordinateurs, il faut donc installer le logiciel sur chaque machine.
Il génère alors une clé, qui devra être ré-utilisée sur chaque PC que l’on veut contrôler. L’utilisateur peut gérer l’ordre des écrans dans l’interface afin de respecter l’ordre des écrans sur son bureau. Une fois que tout cela est configuré, c’est comme si l’on avait du multi-écrans… mais avec des ordinateurs pourtant différents.
Petite mise en situation :
Un développeur dispose de son PC (machine 1) avec deux écrans pour son travail journalier. Les écrans A et B sont disposés l’un à côté de l’autre, de gauche à droite, A étant le principal.
On lui a rajouté un PC de monitoring (machine 2), avec son écran C. Tout à fait indépendant donc. Aucune souris raccordée à celui-ci, bien sûr.
Le logiciel est alors installé sur la machine 1 ainsi que sur la 2. La clé (ABCDEF123 par exemple) doit être indiquée sur chacune des machines.
Dans l’onglet “Machine setup” du petit utilitaire, il faut organiser les éléments pour respecter l’ordre physique (d’affichage).
Il est alors possible de déplacer le curseur de l’écran A à B, puis C, en utilisant la souris de la machine 1.
La machine 1 peut être verrouillée, le curseur de la souris peut toujours être déplacé sur la machine 2.
Pour je ne sais quelle raison, il arrive que le Wallet Bitdefender – qui gère vos identifiants sur les différents sites web – ne soit plus actif dans Firefox, et ce même quand il a bien été activé dans l’interface de configuration de l’antivirus. Cela est probablement dû à une mauvaise mise à jour du navigateur, mais cela n’est pas certain.
Pour régler ce problème, si cocher et décocher le support de Firefox dans l’interface de configuration du Wallet n’a rien changé, alors il faut effectuer les manipulations suivantes:
Fermez le navigateur.
Ouvrez l’éditeur du registre (Windows+R, Exécuter, tapez “regedit” puis OK).
Répondre Oui au prompt UAC.
Se rendre dans la clé de registre HKLM\Software\Mozilla\Firefox\Extensions (sur une machine en x64 avec un Firefox en 32 bits, il faut aller dans HKLM\Software\WOW6432Node\Mozilla\Firefox\Extensions.
Dans mon cas la clé ne contenait rien. Il faut alors créer une valeur chaine (clic droit, Nouveau, Valeur chaine).
Nom : bdwteffv20@bitdefender.com
Valeur : C:\Program Files\Bitdefender\Bitdefender XXXX\antispam32\bdwteff (où XXXX représente l’année du produit – notez qu’il s’agit du répertoire d’installation par défaut).
Relancez Firefox et acceptez l’installation du module.
Le patch de sécurité KB4012598 est disponible depuis hier pour Windows XP, Vista, 8 et 2003 via le catalogue Microsoft Update. Il corrige la faille de sécurité CVE-2017-0145 qui était présente dans le protocole de partage de fichiers SMB “Server Message Block” de Windows.
Celle-ci permettait notamment au ransomware WannaCry de se propager via le réseau local sur des machines vulnérables après avoir été téléchargé par l’utilisateur sur son PC. Celui-ci aura fait quelques dégâts dans les entreprises et chez les particuliers durant ces derniers jours…
La faille a été corrigée lors du Patch Tuesday du 12 mars 2017 pour les autres systèmes d’exploitation, dont Windows 10.Voir aussi : outil de déchiffrement WannaKey
On peut trouver des choses vraiment surprenantes sur internet, et pour preuve, cet utilitaire appelé TronScript, créé par l’utilisateur vocatus, est en fait un batch qui s’occupe de lancer de multiples logiciels et commandes pour réparer et nettoyer votre ordinateur : il nettoie les dossiers temporaires courants, exécute de nombreux scans antivirus, recherche des traces de rootkits, lance une défragmentation de vos lecteurs, restaure les droits d’accès et les permissions des fichiers / dossiers, et supprime même de nombreux logiciels indésirables préinstallés sur votre machine (selon une liste pouvant être éditée). Et ce n’est qu’une toute petite liste de ce qu’il est capable de faire !
Un wiki a été mis en place afin de comprendre le fonctionnement du script. 8 étapes sont réalisées, la 9ème est en fait une suggestion d’outils à lancer manuellement pour compléter (tels que ComboFix). Il faudra compter environ 4 à 7 heures pour réaliser toutes les étapes, du moins sur les machines les plus rapides.
Vous retrouverez les liens des différents miroirs qui hébergent l’exécutable sur cette page : Downloads. Attention, cet utilitaire pèse tout de même près de 650 Mo. Cela s’explique par le fait qu’il contient pas mal de programmes tiers.
C’est la hantise de tout informaticien : devoir se taper toutes les mises à jour du système après formatage et une réinstallation propre. Cette tâche peut s’avérer pénible surtout si la machine n’est pas très rapide de base ou que la connexion à internet est à la ramasse. L’utilitaire WSUS Offline Update permet de préparer des médias (USB, ISO) contenant les packages nécessaires pour les différents systèmes d’exploitation à partir de Windows 7 jusque Windows 10 (et les équivalents “serveur“).
Le logiciel, qu’on peut télécharger sur le site WSUSOffline.net, est divisé en deux exécutables : le premier permet de générer un “dépôt” local de mises à jour, en téléchargeant tous les packages, et en créant éventuellement un média d’installation. Le second exécutable quant à lui, permet de réaliser l’installation de manière tout à fait automatique. C’est ce qui est brièvement décrit sur la page de documentation.
Ce petit utilitaire offre également la possibilité de récupérer les mises à jour pour les produits Office 2010 à 2016, et ce dans 30 langues différentes, ainsi que les définitions Windows Defender ou même les librairies .NET et Visual C++ nécessaires à l’exécution de certains programmes/jeux.
Sur Windows il peut arriver que vous vous retrouviez avec des fichiers système corrompus (par exemple après une infection), et cela peut rendre votre système instable ou entrainer des comportements étranges. Microsoft a eu la bonne idée d’intégrer au système un utilitaire qui s’appelle SFC. Sous XP il est nécessaire d’insérer le CD d’installation afin de réparer les éventuelles erreurs. Sous Windows 8 et supérieur, le fonctionnement est un peu différent.
Analyser et réparer les fichiers système
La première commande appelle donc l’utilitaire SFC. On lui donne le paramètre “scannow”. Ce paramètre va indiquer à l’outil d’analyser immédiatement tous les fichiers système protégés et de remplacer les versions incorrectes par les versions appropriées.
sfc /scannow
L’opération peut prendre un certain temps. Si vous possédez un SSD cela varie entre 5 et 10 minutes. Sur un disque dur il faut compter facilement 15 voire 20 minutes, notamment en fonction de ce qui est à remplacer ou non.
En cas d’erreur d’exécution de la commande, réessayez en mode sans échec. Si vous ne savez pas comment faire, les liens suivants peuvent vous aider.
Dans certains cas, l’utilitaire SFC peut ne pas réussir pas à remplacer un ou plusieurs fichiers. Cela peut provenir d’une erreur dans le magasin de composants Windows. Sous Windows 7, Server 2008 et Vista, il existe l’utilitaire CheckSUR (KB947821) afin de le réparer. Sous Windows 8 et Windows Server 2012, le fonctionnement est différent et il n’est pas nécessaire de télécharger d’outils supplémentaires. En effet, Microsoft a introduit la fonctionnalité “Inbox Corruption Repair“.
Dans les faits il y a un processus qui, de manière invisible, va vérifier l’état des fichiers système lors d’une installation de mise à jour et remplacer les fichiers corrompus en ré-téléchargeant les versions adéquates depuis Windows Update. Pour le faire manuellement on utilise l’utilitaire DISM “Deployment Imaging and Servicing Management“.
Pour exécuter les commandes suivantes, vous devez ouvrir une invite de commandes avec les privilèges administrateur.
Dism /Online /Cleanup-Image /CheckHealth
Cette commande va vous retourner le dernier état qui a été attribué à l’image. Cela signifie que même si l’image a été marquée comme étant en bon état, elle pourrait tout à coup être corrompue. Aucun fichier journal (log) n’est généré lors de l’appel à la commande.
Dism /Online /Cleanup-Image /ScanHealth
La commande ci-dessus va scanner le magasin de composants afin de voir s’il y a des éléments corrompus ou non. Cette opération prend un peu plus de temps. Pour chaque élément corrompu, un enregistrement est affiché au fichier journal (log). Cette opération peut prendre de 5 à 10 minutes et peut sembler bloquée aux alentours de 20%. Il faut juste laisser aller et prendre un café en attendant.
Dism /Online /Cleanup-Image /RestoreHealth
Si corruption il y a, le paramètre “RestoreHealth” va permettre de lancer une réparation automatique. Ce processus est bien plus long (il faut compter entre 15 et 20 minutes). Comme pour la commande précédente, le processus peut sembler bloqué aux alentours de 20%. Il ne faut pas s’inquiéter, il faut juste patienter et manger un bout.
Si vous ne possédez pas d’accès à internet pour permettre de récupérer les fichiers de remplacement, vous pouvez spécifier le paramètre “Source:wim” dans la commande précédente. La valeur “PATH” ci-dessous doit être remplacée par le chemin complet vers le fichier “install.wim” qui contient les fichiers de remplacement. Sachez que ce fichier est présent sur le DVD original de Windows 8.1, dans le dossier “Sources”.
Le constructeur chinois Lenovo a récemment été pointé du doigt puisque plusieurs machines livrées contenaient l’adware Superfish. Celui-ci analyse le contenu des pages internet consultées afin de proposer à l’utilisateur des produits similaires au meilleur prix. Chouette alors, de la publicité indésirable !
Étant donné qu’il auto-signe les certificats de sécurité dont il a besoin, il peut analyser le contenu de votre site bancaire, de votre boite mail, ou d’un site de paiement quelconque. N’importe quelle connexion sécurisée TLS/SSL apparait alors comme légitime aux yeux de l’utilisateur… Et ce n’est qu’un seul des défauts qui lui sont reprochés…
En janvier, Lenovo a retiré le logiciel de ses machines préinstallées, mais bien entendu, les utilisateurs infectés doivent procéder à sa désinstallation. Il est également important de vérifier que le certificat est bien supprimé de votre ordinateur.
Dans le panneau de configuration, accédez à Programmes et fonctionnalités, puis sélectionnez l’adware Superfish Inc. Visual Discovery et cliquez sur “Désinstaller”.
Rendez-vous dans la gestion des certificats (astuce : utilisez Win+R, Exécuter, “certmgr.msc” pour y accéder plus rapidement).
Déroulez l’arborescence “Autorités de certification racines de confiance”.
Ouvrez la vue “Certificats” et localisez “Superfish Inc.”.
Clic droit sur celui-ci puis “Supprimer”.
Pour effectuer un nettoyage plus complet n’hésitez pas à utiliser AdwCleaner :
Lancez le logiciel “AdwCleaner” et cliquez sur Scanner.
Lorsqu’il a terminé d’analyser cliquez sur Nettoyage.
Un redémarrage est nécessaire pour continuer.
Le rapport des opérations s’affichera après avoir redémarré.
Microsoft a récemment mis à jour Windows Defender afin qu’il détecte et supprime Superfish. Lenovo quant à lui a publié un utilitaire de désinfection qui permet d’effectuer automatiquement les premières étapes de la solution ci-dessus. Vous pouvez le télécharger depuis le site officiel.
Il y a deux jours le support standard pour Windows 7 prenait fin. Concrètement qu’est-ce que cela veut dire ? Cela signifie qu’il n’y aura plus de mise à jour corrective du système ou bien de Service Pack. Les mises à jour de sécurité continueront jusqu’à la fin du support étendu, qui prend fin en 2020.
D’autres produits sont bien entendus touchés par cette fin de support : citons Microsoft Windows Server 2008, Exchange Server 2010 ou bien Dynamics Nav 2009. Enfin en ce qui concerne Windows 8, le support principal s’arrêtera le 9 janvier 2018, et le support étendu 5 ans plus tard.
Ce site web utilise des cookies pour améliorer votre expérience. Par conséquent nous déterminons que vous êtes d'accord avec cela mais vous pouvez refuser certains cookies tiers en cliquant sur le lien suivant. Paramètres des cookiesOk !
Vie privée & Cookies
Aperçu de la confidentialité
Ce site web utilise des cookies pour améliorer votre expérience de navigation. Parmi ceux-ci on retrouve des cookies qui sont considérés comme nécessaires et qui sont tockés dans votre navigateur. Ils sont essentiels pour les fonctionnalités de base et la sécurité. Nous utilisons également des cookies tiers qui peuvent aider à analyser et comprendre la façon dont vous utilisez notre ce site. Ils seront stockés avec votre consentement. Vous avez également la possibilité de ne pas accepter ceux-ci mais cela peut avoir un effet négatif sur votre expérience de navigation.
Tout cookie qui est absolument nécessaire pour le bon fonctionnement du site. Il s\'agit de cookies qui concernent les fonctionnalités basiques et de sécurité du site. Ils ne stockent pas d\'informations personnelles.
Tout cookie qui n\'est pas spécifiquement nécessaire pour le bon fonctionnement du site web et qui est utilisé pour collecter des données personnes via des publicités ou d\'autres contenus qui sont jugés comme non-nécessaires. Il est important de donner la possibilité à l\'utilisateur de consentir ou non à ce type de cookie.
![[Info] Nouvelles pages concernant Windows](https://dev.vlec.be/wp-content/themes/overlay/images/blog-img-3-2.png)
