Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Virus Locky : comment desinfecter des fichiers sous ubuntu

vorzinek

Bonjour,
A mon boulot l'ordinateur (windows relié à un réseau ) à été infecté par le Virus Locky [ Description locky]
Avant que ce virus ne s'attaque aux fichiers du PC de mon travail les cryptant irrémédiablement (3 jours avant) :
J'ai réalisé sur l'ordinateur windows infecté des tableaux sous libre office et ait sauvegardé une copie sur une clef USB formatée FAT 32.
J'ai ensuite copié ces fichiers sur mon PC sous Ubuntu, et ait envoyé une copie sur mon Drive Google.
Le responsable informatique me conseille de jeter la clef USB et de ne surtout pas l’insérer dans un ordinateur. (je pense qu'il y à quand même autre chose à faire)
Mes questionnements sont les suivants :
A partir des infos ci dessus
- Ma copie sur clef USB est elle sure et puis je l'utiliser à nouveau sur un ordinateur sous Windows. et/ou Dois je reformater ma clef USB (sous Linux) pour écarter tout risque ?
- Est il possible que mon ordinateur sous linux soit infecté ? (D'après les infos dont je dispose, à priori non mais je préfère être sur)
- Peut on scanner, désinfecter ces fichiers (à partir de mon PC sous ubuntu) pour être sur qu'ils ne soient pas infectés ?(en ligne de préférence, sinon quel antivirus sous Linux utiliser ?)
- La copie de mon fichier sur mon google Drive est elle plus sure ? (Il doit bien y avoir un scan des fichiers chez google avant qu'ils soient sauvegardés sur leur serveur?)

Merci pour votre aide 🙂

Shanx

De ce que j'en connais, Locky utilise les macros Word pour télécharger le virus principal. (En tout cas c'est comme ça que fonctionne la version que j'ai vue).
Du coup, en travaillant sans internet et sans Word, tu limites grandement les risques… Comme anti-virus, tu peux utiliser clamav ; éventuellement, tu peux utiliser une machine virtuelle (en faisant bien attention à capturer les périphériques USB dans la machine virtuelle).

vorzinek

Shanx a écritDe ce que j'en connais, Locky utilise les macros Word pour télécharger le virus principal. (En tout cas c'est comme ça que fonctionne la version que j'ai vue).
Du coup, en travaillant sans internet et sans Word, tu limites grandement les risques… Comme anti-virus, tu peux utiliser clamav ; éventuellement, tu peux utiliser une machine virtuelle (en faisant bien attention à capturer les périphériques USB dans la machine virtuelle).

Merci Shanx
- Les Fichiers libre office peuvent ils être infectés par une macro WORD ?
- Locky contamine t'il les fichiers word ou est ce uniquement le fichier d'origine (invoice_...) qui est infecté
- Clamav détecte t-il ce virus ?

😐 une machine virtuelle ? c'est à dire ?

kholo

bonjour,
oui +1
Linux reste insensible aux virus Windows pour le moment (wine peut changer la donne)

pour tester tranquillement la clef USB :
un PC avec le disque dur débranché et en live CD fera toujours l'affaire sans risque...
mais en live CD avec le disque dur branché, on prend peut de risques aussi...
depuis un linux en dur ça doit passer aussi mais il faut serrer un peu les fesses...

...oui, sans Word, moins de problème (et sans ordi aussi ça marche ! ;°)
et "toutes mes condoléances à tes données !"

Shanx

Normalement, seul le fichier infecté est dangereux. Comme ce n'est pas un ver, il n'est pas censé pouvoir infecter d'autres fichiers (il peut juste télécharger le vrai virus puis chiffrer tes données).
Quant à savoir si clamav détecte le virus… Je n'en sais rien. Mais si tu sais quel est le fichier infecté, tu peux le supprimer et ça devrait suffire. Passe quand même clamav pour être sûr.

erresse

Bonjour,
Apparemment, si j'ai bien compris, l'action de "locky" consiste à chiffrer tous les documents accessibles sur l'ordinateur de la victime, qu'ils soient enregistrés dans les disques durs ou dans des périphériques USB.
Donc, si les fichiers que tu as dans ta clé peuvent être ouverts et gérés normalement, c'est qu'ils n'ont pas été chiffrés...
En revanche, rien ne dit qu'ils ne contiennent pas le code malicieux de "locky" qui ne demande qu'à s'exécuter dès lors qu'on ouvre un de ces documents dans un ordinateur Windows. Donc, méfiance !
Pour l'ordinateur sous Linux, il ne doit pas y avoir de problème, puisque "locky" s'installe en ouvrant un document (word en l'occurrence) qui autorise l'exécution des macros (pas très prudent, ça !) VBA. Sous Linux, les macros VBA ne peuvent pas s'exécuter si tu n'utilises pas un programme Microsoft Office.
Je note que tu dis avoir créé des documents avec "libre office", ils ne doivent donc pas contenir de macros en VBA et donc ne doivent pas pouvoir exécuter le code de "locky"...

Shanx

Très précisément, les macros VBA ne font que télécharger le programme principal du virus. Manifestement il s'agit de .exe, donc ça ne devrait pas poser de souci sous Linux.

vorzinek

Merci errese Kholo et Shank

en résumé si je vous ai bien compris :

- Locky n'est pas un ver (selon shanx) donc en principe les fichiers sur lesquels j'ai travaillé au boulot ne devraient pas être infectés. de plus ce sont des fichiers Libre office qui n’exécuteront pas une éventuelle macro macro VBA Malicieuse (selon erresse) .
- si je veux vérifier ma clef usb je dois le faire sur un PC avec un Live CD Win et disque dur et internet débranché ou sous linux "en serrant les fesses" (selon Kholo)
- sachant qu'en principe le virus est un .exe qui ne se charge que sous WORD je ne risque rien sous LINUX avec LIBRE OFFICE (sic Shanx, et eresse).

ça me rassure pour mon PC sous LINUX et mes fichiers libre office.

Je crois que je vais reformater complètement la clef USB sous LINUX et recharger la copie des fichiers que j'ai sur mon PC Personnel et ne plus faire de copie Word et excel de mes fichiers libre office pour mes collègues (ils n'auront qu'à se mettre au lLibre 😉 ) et ne pas plus utiliser word et excel au boulot, juste libre office

kholo

vorzinek a écritMerci errese Kholo et Shank

en résumé si je vous ai bien compris :

- Locky n'est pas un ver (selon shanx) donc en principe les fichiers sur lesquels j'ai travaillé au boulot ne devraient pas être infectés. de plus ce sont des fichiers Libre office qui n’exécuteront pas une éventuelle macro macro VBA Malicieuse (selon erresse) .

m...oui

vorzinek a écrit - si je veux vérifier ma clef usb je dois le faire sur un PC avec un Live CD ~~Win~~ [Ubuntu] et disque dur et internet débranché ou sous linux "en serrant les fesses" (selon Kholo)

je m'explique
je reste perplexe sur la véritable force de Linux... et surtout de l'interface assise sur la chaise !
c'est un rapprochement rapide mais dans le monde réel les virus ont fini
par trouver un moyen de passer d'une espèce à une autre 😐
pour tester tranquillement un système, le mieux est de le faire dans un environnement fermé
... donc pas un ordi en production et ce, même si c'est un Linux !

vorzinek a écrit - sachant qu'en principe le virus est un .exe qui ne se charge que sous WORD je ne risque rien sous LINUX avec LIBRE OFFICE (sic Shanx, et eresse).

ça me rassure pour mon PC sous LINUX et mes fichiers libre office.

vorzinek a écrit Je crois que je vais reformater complètement la clef USB sous LINUX et recharger la copie des fichiers que j'ai sur mon PC Personnel et ne plus faire de copie Word et excel de mes fichiers libre office pour mes collègues (ils n'auront qu'à se mettre au lLibre 😉 ) et ne pas plus utiliser word et excel au boulot, juste libre office

oui pour le formatage... pour le reste il faut faire attention à ce qu'on met dans un fichier...

Pour les échanges entre collègues, il existe une version Windows portable de LibreOffice ;°)

k3c

>>>je reste perplexe sur la véritable force de Linux... et surtout de l'interface assise sur la chaise !

http://www.zdnet.fr/actualites/la-station-spatiale-internationale-infectee-par-un-virus-39382888.htm

:-)

kholo

k3c a écrit>>>je reste perplexe sur la véritable force de Linux... et surtout de l'interface assise sur la chaise !

http://www.zdnet.fr/actualites/la-station-spatiale-internationale-infectee-par-un-virus-39382888.htm

:-)

tant que la majorité des utilisateurs de Linux ont une bonne connaissance du système ça va...
avec la démocratisation de Linux et les ppa et autres installateurs à gogo ça devient difficile de ne pas se laisser avoir...
on verra dans le temps !

moko138

Concernant la clef, c'est
soit poubelle
soit écrire des zéros sur toute la clef, avec [doc]dd[/doc].
Car il y a des secteurs hors partition.
Et ils peuvent abriter des exécutables (cherche FlexNet sur wikipedia).