Restauration de Windows Explorer après uune attaque

Actuellement, il y a des chevaux de Troie qui attaquent Windows Explorer pour bloquer l'ordinateur. C'est un "ransomware" - un programme malveillant qui enlève totalement le bureau et remplace l'explorateur par une page d'apparence officcielle qui demande le paiement d'une amande (100 Euros en général, mais ça varie).

Surtout, NE PAYEZ JAMAIS CETTE AMANDE ! C'est un cheval de Troie qui n'a rien d'officiel ! Et même en payant, le problème de s'en va pas - cela empire !

J'ai fait un petit programme en Panoramic qui REPARE ce problème ! Il suffit de créer l'exécutable du programme posté ci-après, et de placer cet exécutable dans c:\windows. Notons que j'ai tout configuré pour Windows XP - pour d'autres versions, il y a peut-être des répertoires à changer !

Une fois créé, il faut lancer ce programme une seule fois. Il cherche la sauvegarde de explorer.exe et ne la trouve pas, bien sûr. Il demande alors si l'on veut faire la sauvegarde. Acceptez alors, et il va faire deux choses essentielles:
1. copier c:\windows\explorer.exe en c:\windows\explorOK.exe
2. extraire une clé particulière du registre, dans un fichier c:\windows\winlogon.reg

Si vous regardez bien, dans ce fichier winlogon.reg, il y a un paramètre SHELL qui doir être libellé ainsi:

Citation :

"Shell"="explorer.exe"

Le cheval de Troie modifie souvent cette clé pour mettre explorer_new.exe à la place, ou alors des noms encore plus exotiques. Et bien sûr, au login, on tombe inévitablement sur ce programme et non sur le bureau habituel.

Une fois la sauvegarde de sécurité créée, on peut oublier le programme. Si une telle attaque survient, coupez simplement le courant sur la machine (ou un arrêt brutal par le bouton), car ON N'A PLUS ACCES OU BOUTON DEMARRER NON PLUS ! Puis redémarrez en mode "sans erreur en mode console" - indispensable sinon on tombe sur le même programme malveillant, MEME en mode sans erreur ! Allez alors dans c:\windows, en utilisant cd comme suit:

Citation :

cd c:\windows

Et là, exécutez ce programme ! Il va alors découvrir que la sauvegarde existe, et il demande confirmation pour la restauration. Acceptez, il va remplacer explorer.exe potentiellement altéré par la sauvegarde, et il va restituer la fameuse clé à partir de winlogon.reg.

Puis, il faut rebouter et supprimer manuellement le fichier c:\windows\explorXX.exe - c'est le explorer.exe potentiellement altéré.

Et voilà, vous avez évité une réinstallation du système, ou le passage dans une boutique micro !

Voici le programme:

Code:

' explorer_restauration.bas
'
' Ce programme restaure c:\windows\explorer.exe à partir
' de la sauvegarde c:\windows\explorOK.exe

' Si la sauvegarde n'existe pas, le programme demande l'autorisation
' de la créer. Il crée aussi une copie d'une clé particulière
' du registre qui doit être restituée également, en cas de problème.
' Par précaution, le programme met explorer.exe en mode read-only.

' Si la sauvegarde existe, elle remplace la copie éventuellement
' altérée de explorer.exe, et la clé spéciale du registre est rechargée.
' Ce programme supprime aussi le fichier explorer_new.exe.
' Après, il faut relancer le système et suprimer manuellement c:\windows\explorXX.exe.

dim explorer$    : explorer$    = "c:\windows\explorer.exe"
dim explorXX$    : explorXX$    = "c:\windows\explorXX.exe"
dim explorOK$    : explorOK$    = "c:\windows\explorOK.exe"
dim explorer_new$ : explorer_new$ = "c:\windows\explorer_new.exe"
dim regedit$      : regedit$      = "c:\windows\regedit.exe"
dim regkeyfile$  : regkeyfile$  = "c:\windows\winlogon.reg"
dim regkey$      : regkey$      = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

dim s$

s$ = "ATTENTION ! La sauvegarde explorOK.exe n'existe pas !"
s$ = s$ + chr$(13)+chr$(10)+"Voulez-vous préparer la sauvegarde ?"

if file_exists(explorOK$)=0
  if message_confirmation_yes_no(s$)=1
    if file_exists(explorer$)=0
      message "ATTENTION ! Le programme explorer.exe n'existe pas !"
      terminate
    end_if
    file_copy explorer$,explorOK$
    file_read_only explorer$
    file_read_only explorOK$
    if file_exists(regkeyfile$)=0
      execute_wait regedit$+" /e "+regkeyfile$+" "+chr$(34)+regkey$+chr$(34)
    end_if
  end_if
  terminate
end_if

if message_confirmation_yes_no("Voulez-vous vraiment restaurer Windows Ewplorer ?")=1
  if file_exists(explorer_new$)=1 then file_delete explorer_new$

  if file_exists(explorer$)=1
    file_read_only_off explorer$
    file_rename explorer$,explorXX$
  end_if
  file_copy explorOK$,explorer$
  file_read_only explorer$
  execute_wait regedit$+" /s "+regkeyfile$

  s$ = "Le programme explorer.exe est restauré !"
  s$ = s$ + chr$(13)+chr$(10)+"Il faut redémarrer votre machine !"
  s$ = s$ + chr$(13)+chr$(10)+"Ensuite, il faut supprimer c:\windows\explorXX.exe !"
  message s$
end_if

terminate

end

EDIT

Accessoirement, on peut noter qu'avec la technique de lecture/écriture d'une clé du registre, on peut intervenir dans le registre Windows à partir de Panoramic, sans utilisation de DLL. Juste à l'aide de l'utilitaire officiel REGEDIT ! C'est pas beau, ça ?

Merci Klaus. Je le ferais ce soir, on n'est jamais trop prudent ...

Un grand MERCI à toi Klaus, je m'y mets tout de suite.

Attention tout de même ! Le programme est conçu et testé pour XP. Les répertoires ainsi que les noms de clés sont peut-être à adapter pour Vista ou W7 !

La première phase, la création de la sauvegarde, ne modifie absolument rien dans l'existant, ni fichiers ni registres. Elle ne fait que créer des copies, c'est donc une phase sans risque.

Bonjour Klaus, et merci.
Je suis sous XP, et j'ai fait la sauvegarde, mais j'ai modifié pour un fichier:

Code:

dim regkeyfile$  : regkeyfile$  = "c:\windows\system32\winlogon.reg"

Car il n'est pas directement dans Windows

Salut tout le monde et merci à Jack.

J’utilise rarement Windows Explorer, mais j’utilise presque toujours Opéra. Dois-je « me vacciner » aussi ?
Je suis sous Windows XP.

@Papydall:

Le programme concerné n'est pas Internet Explorer, mais bien Explorer.exe de Windows. C'est le programme de base qui affiche le bureau, qui s'active quand tu cliques sur l'icône "poste de travail" etc. C'est l'explorateur de fichiers ! A ne pas confondre avec iexplore.exe qui est internet explorer !

Donc:
explorer.exe - explorateur de fichiers, gestion du bureau, concerné par ce proramme
iexplore.exe - internet explorer, gestionnaire d'internet comme Firefox, Chrome, Thunderbird, ... non noncerné

Ceci dit, avis à tous: indépendamment de ce que je mets à disposition ici, il est fortement déconseillé d'utiliser Internet Explorer de Windows car perclus de trous de sécurité. Utilisez plutôt un des autres - tous seront plus sûrs qu'internet explorer !

Bon à mettre sous le coude, merci Klaus !
Tout de même, il y en a qui ont payé l'amende ???
J'ai vu (google: chercher ransomware) que ça pouvait se présenter comme venant de la Sacem, la police, la gendarmerie etc...

Oui, effectivement. avec une page qui prend tout l'écran (forcément, ça remplace le bureau !) et qui est bien tenue dans les couleurs bleu/banc/rouge, avec des textes imposants, le logo officiel de différents services de police. Quelque fois même de polices étrangères comme le FBI, Scottland Yard etc. Ne vous laissez en aucun cas prendre à ce petit jeu ! C'est la version plus agressive du phishing, avec des mails des différentes banques, EDF, France Télécom etc signalant qu'il y a une anomalie sur un comte et qu'il faut cliquer sur un lien pour débloquer la situation, sous peine de voir le compte bloqué... Là, on détecte aisément la tentative frauduleuse, car en plus des informations fantaisistes comme un problème de compte avec la banque postale alors qu'on y a aucun compte etx, il y a souvent des textes en un français plus ou moins approximatif. Là, les textes sont corrects, la présentation est soignée - tout est fait pour vous faire peur, d'autant plus que l'ordinateur devient inaccessible alors qu'en réalité, et c'est encore heureux, toutes les données sont bien là, rien n'est altéré.

Si ça arrive: surtout arrêter IMMEDIATEMENT l'ordinateur de façon BRUTALE, sans passer par l'arrêt normal - les dégâts dans le registre s'inscriraient dans d'autres clés ! Puis reprendre en mode "sans échec en mode console" pour remédier à la situation. Comme tu l'as dit, JL35, il y a une foule de posts sur le net à ce sujet, et différentes procédures manuelles pour y remédier. J'ai réuni pas mal d'informations et j'ai essayé de prendre les devants en créant une sauvegarde des zones critiques qu'il ne reste plus qu'à restaurer.

D'ailleurs, une fois que la sauvegarde est faite, et en cas de nécessité, on peut aussi réparer manuellement SANS passer par mon programme:
toujours en mode sans echec en mode console, un supprime c:\windows\explorer.exe et éventuellement c:\windows\explorer_new.exe, on copie c:\windows\explorOK.exe en c:\windows\explorer.exe et on lance la commande regedit /s winlogon.reg. Puis, on redémarre la machine normalement et le problème est réglé.

Merci Klaus pour ce petit utilitaire !

Salut Klaus.

Mea culpa. J’ai confondu Internet Explorer et Windows Explorer.
Merci Klaus pour ton immense savoir.
Pour moi, c’est fait.
A+

Merci Klaus, je conserve dans une clé pour le cas ou ....

EDIT: j'ai tout de même lancé l'exe pour avoir la sauvegarde

A+

J'ai fait une version Delphi de ce programme, fonctionnellement identique mais en mode console. L'exécutable est beaucoup plus petit. J'ai mis à disposition les deux versions sur mon site WebDav, avec les sources et les exécutables. Voici l'accès:

Site: http://www.mydrive.ch/
Identifiant: panoramic@klausgunther
Mot de passe: panoramic123
Dossier: Explorer Restauration

Protégez-vous !

J'espère que tu passeras (au moins sur un ordinateur) sous W7 pour nous faire de petits utilitaires sympas (je n'ai pas trop osé testé car sous W7 il y a des différence par rapport à XP), mais bon il faudrait que je regarde si c'est identique ou presque et que je fasse les modifs ...

Je vais voir la partie W7 à l'occasion. Cependant, il suffit que tu regardes si les chemins d'accès dans les deux versions (Panoramic et Delphi) sont les mêmes en W7, ainsi que la clé du registre concernée. Si tu détectes un changement avant moi, fais-le-moi savoir et je vais paramétrer le programme en fonction de la version de Windows.

Un moyen simple de savoir si c'est identique; lance le programme en double-cliquant dessus. Il ne cassera rien. Il ne trouvera pas la sauvegarde et va la créer. Si tout va bien, c'est que les chemins sont bons et tu es sauvé. Sinon, le message d'erreur te dira probablement où est la différence, et tu pourras ainsi aisément trouver, en explorant les répertoires.

EDIT

Après recherche, le dossier important est le MEME:
C:\Windows
Il ne reste plus que la clé de registre à valider, et voir si REGEDIT s'appelle bien REGEDIT sous W7...

EDIT

Le programme s'appelle bien c:\windows\regedit.exe. Tout devrait donc fonctionner, sous réserve que la clé est la bonne. Mais ça, tu peux le vérifier facilement en lançant regedit à la main. Puis tu essaies de naviguer vers cette clé, ou tu cherches un des composants de la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
par exemple WinLogon. DFans la clé, il y a une valeur rédigée ainsi:
"Shell"="explorer.exe"
C'est celle-ci qui est importante.

EDIT

Vérification faite, c:\windows\explorer.exe est bien la bonne référence aussi. Seul point donc à vérifier sur un W7: la validité de la clé.

Note: il faut avoir les droits d'administrateur pour pouvoir lancer mon programme, car il touche des fichiers avec l'attribut "système".

EDIT

Vérification faite, je constate que la clé est la bonne aussi ! Ces éléments sont identiques à travers tous systèmes Windows. Il ne devrait donc pas y avoir de problème, ni avec W7, ni avec Vista !

OK Klaus, cool, je testerais ce soir alors