# Virus Mac => Code Pin



## Rouliann (9 Octobre 2015)

Bonjour,

J'ai vraiment besoin de votre aide!
Ma copine naviguait sur internet et le Mac a redémarré d'un coup.

Au redémarrage, un écran me demande un code pin à 4 chiffres et une phrase en dessous:
_"Write me at my email gagik-avakan@yandex.ru only i can solve this problem. You have only hour and i will eraze your devices!!!"
_
Après quelques recherches, ca ressemble fortement au systeme de blocage de Icloud.
Sauf que je n'ai jamais configuré Icloud et encore moins renseigné un MDP.
Je viens d'avoir le support Mac qui dit ne jamais avoir vu ce problème. Malgré plusieurs manipulation, rien n'y fait.
Je suis complètement bloqué et j'ai vraiment peur que le type puisse effacer mes données!!!

Avez déjà entendu parler de ce type d'attaque? 
Comment y remédier?

Merci d'avance pour votre aide.
Julien


----------



## Locke (9 Octobre 2015)

Rouliann a dit:


> Avez déjà entendu parler de ce type d'attaque?


C'est un adware de très mauvais goût.

Télécharge et installe AdwareMedic, ça devrait faire le ménage. Tu redémarres en mode sans échec ou sans extensions... https://support.apple.com/fr-fr/HT201262


----------



## Moonwalker (9 Octobre 2015)

AdwareMedic ne s'appelle plus AdwareMedic mais *Malwarebytes* :
https://fr.malwarebytes.org/antimalware/mac/


----------



## FrançoisMacG (9 Octobre 2015)

Ça ressemble surtout à un ransomware, 
et je ne sais pas si Malwarebytes sait s'en occuper : le sais-tu ?

(en revanche, Malwarebytes m'a trouvé hier un dossier _Spigot_ inactif, une extension Safari désactivée, et un plist Chrome modifié anormalement : alors, peut-être aurait-il pu aussi trouver un ransomware ?)


----------



## Locke (9 Octobre 2015)

Moonwalker a dit:


> AdwareMedic ne s'appelle plus AdwareMedic mais *Malwarebytes*


Je me suis tellement habitué à l'écrire dans de nombreux messages que je n'arrive pas encore à m'y faire.


----------



## Locke (9 Octobre 2015)

FrançoisMacG a dit:


> Ça ressemble surtout à un ransomware,


C'est tout à fait ça et ça a sévit pendant un bon moment dans le milieu PC, normalement Malwarebytes devrait s'en occuper.


----------



## Rouliann (9 Octobre 2015)

Locke a dit:


> C'est un adware de très mauvais goût.
> 
> Télécharge et installe AdwareMedic, ça devrait faire le ménage. Tu redémarres en mode sans échec ou sans extensions... https://support.apple.com/fr-fr/HT201262



Sauf que impossible de démarrer en mode sans échec...


----------



## Locke (9 Octobre 2015)

Rouliann a dit:


> Sauf que impossible de démarrer en mode sans échec...


Comment ça ?

Tu éteins complètement ton Mac _(dont on ne sait rien)_, tu attends 30 secondes et...


> Démarrez ou redémarrez votre Mac.
> Dès que vous entendez la tonalité de démarrage, appuyez sur la touche Maj et maintenez-la enfoncée.
> Relâchez la touche Maj lorsque le logo Apple s’affiche.


----------



## Rouliann (9 Octobre 2015)

Locke a dit:


> Comment ça ?
> 
> Tu éteins complètement ton Mac _(dont on ne sait rien)_, tu attends 30 secondes et...


Il charge avant de tomber sur le même écran me demandant ce Pin et cette même phrase. 
Je dois aller voir un revendeur Premium (selon les dires de l assistance Apple) dans le 11eme. Ça s appel Alis. 
Je vous tiendrais au courant. 
PS: je me déplace là bas avec la facture pour ceux qui auraient un doute sur la provenance du Mac. 
En tout cas merci de vos efforts.


----------



## FrançoisMacG (10 Octobre 2015)

Ce serait donc un ransomware de nouvelle génération pour parvenir à bloquer le Mac aux démarrages.

Merci de nous tenir au courant !


----------



## Rouliann (10 Octobre 2015)

FrançoisMacG a dit:


> Ce serait donc un ransomware de nouvelle génération pour parvenir à bloquer le Mac aux démarrages.
> 
> Merci de nous tenir au courant !


 
Petits ajouts: 
- Pas de support technique le We. J irai lundi. 
- Le mec a bien piraté mon compte Icloud car je viens de me rendre compte que mon Ipad est aussi bloqué me demandant d envoyer un mail à la même adresse. 

Il s agit bien du système de blocage sous icloud lorsque le mac est volé ou perdu. 

Je vais rappeler Apple pour leur dire que leur système à une faille ! Et surtout qu ils se débrouillent pour me trouver une solution !!!!


----------



## city1 (10 Octobre 2015)

Tu est sur qu'aucun programme n'a été téléchargé sur internet au moins sur des sites ??


----------



## Rouliann (15 Octobre 2015)

Petite MAJ 

J ai pu récupérer mon identifiant Apple grâce au support.  
J ai ainsi pu réinitialiser mon Ipad. 
Par contre le Mac est toujours bloqué !!! 
J en peux plus. Ils m ont envoyés vers le 3 centres agréés Apple et aucun n a pu m aider. J ai encore passé des heures au téléphone avec le support pour rien ! 

En plus de ça, j ai plus de CB car elle était enregistrée sur mon compte et le senior Apple m a conseillé de faire opposition direct !!! 

Résultat: plus de CB, Mac effacé et toujours bloqué, rdv samedi prochain dans un genius bar... En espérant que ce soit la fin d un épisode de merde !!! 

Ps: petite précision, je sais plus si je l ai dit, C est mon compte mail orange (identifiant apple) qui aurait été piraté d après le senior Apple...


----------



## Moonwalker (15 Octobre 2015)

Sale affaire, mais très intéressante dans ses développements. Merci de continuer à nous tenir au courant.


----------



## FrançoisMacG (16 Octobre 2015)

Rouliann a dit:


> Ps: petite précision, je sais plus si je l ai dit, C est mon compte mail orange (identifiant apple) qui aurait été piraté d après le senior Apple...


Ton compte mail orange a le même identifiant et le même mot de passe que ton compte iCloud ?
Ou tu as un compte mail iCloud avec identifiant et mot de passe bien distincts de l'orange ?

Dans le premier cas, tu seras un peu mal vu ; dans le second, c'est Apple qui sera seule en défaut.


----------



## Rouliann (16 Octobre 2015)

FrançoisMacG a dit:


> Ton compte mail orange a le même identifiant et le même mot de passe que ton compte iCloud ?
> Ou tu as un compte mail iCloud avec identifiant et mot de passe bien distincts de l'orange ?
> 
> Dans le premier cas, tu seras un peu mal vu ; dans le second, c'est Apple qui sera seule en défaut.



Mon identifiant Icloud est mon adresse mail orange. Donc même identifiant entre Orange et Apple (xxx@orange.fr)
En revanche MDP différent entre orange et Apple (6 caractères sans majuscule pour Orange, 10 caractères avec une majuscule pour Icloud).


----------



## FrançoisMacG (16 Octobre 2015)

Tu parles peut-être plus de ton AppleID que de ton identifiant mail iCloud ?

En tout cas, un identifiant ne se pirate qu'avec son mot de passe, 
et je ne vois pas du tout comment on peut passer d'un identifiant orange à un identifiant Apple avec deux mots de passe différents.


----------



## Moonwalker (16 Octobre 2015)

FrançoisMacG a dit:


> Tu parles peut-être plus de ton AppleID que de ton identifiant mail iCloud ?
> 
> En tout cas, un identifiant ne se pirate qu'avec son mot de passe,
> et je ne vois pas du tout comment on peut passer d'un identifiant orange à un identifiant Apple avec deux mots de passe différents.


Tu peux avoir un Apple ID différent de icloud.com ou de mac.com et ton compte iCloud (pas le compte Mail proprement dit mais ton compte Apple) peut avoir une adresse mail différente également.

Après, si tu prends possession du compte en relation avec l'AppleID de quelqu'un, tu peux faire le changement de mot de passe et par là prendre le contrôle de sa machine, surtout s'il n'a pas activé la double identification. Il faut être malin et bien connaître sa cible. Ou sinon, il suffit de faire un fishing. Un beau faux mail Apple où la cible va entrer en toute innocence son identifiant et son mot de passe.


----------



## Deleted member 340362 (17 Octobre 2015)

Ce qu'il faudrait savoir, c'est si le disque a été crypté ou pas. Si ça se trouve, ce n'est qu'une surcouche (écran de fumée) qui s'applique après le démarrage. 
Il faudrait donc démarrer sur un disque externe pour voir si ça marche, dans ce cas il faut récupérer tout ce que tu peux et reformuler le disque. 
Si le disque a été chiffré par le machin ça risque d'être plus coton.


----------



## Shawn O'Connors (17 Octobre 2015)

si tu a un autre mac : demarre le mac infecté en mode " target " et scanne le avec malwarebytes ou bitdefender installé sur le deuxiemme mac


----------



## Rouliann (21 Octobre 2015)

Voilà, l'affaire est close...
Le mac avait été effacé et plus rien ne pouvait être récupéré.
Je me suis rendu samedi matin à l'apple store de Val d'Europe (77) où un technicien (présent sur ce forum) a pris en charge le mac.
Le lundi à 9h, un appel du Genius Bar, le mac etait pret! Je l'ai donc récupéré le lundi soir!
Bravo pour la réactivité de cet apple store! 

Les conclusions de cette histoire:
- Je me suis bien fait pirater mon compte avec un ransonware. Le type a effacé mon Mac et mon Ipad.
- Je ne sais pas comment c'est arrivé car je n'ai rien téléchargé ni ouvrir de mail suspect. En revanche, ma copine, je ne sais pas...
- Le support Apple au tel est très aléatoire, je suis tombé sur un Senior excellent, tous les autres n'ont servi à rien!
- Les centres agréés à Paris ne me reverront plus jamais (mal aimable et ne semble pas vouloir s'emmerder avec les choses trop compliqués!)
- Les Genius Bar, malgré le fait qu'il soit extremement relou de devoir prendre RDV, RDV le plus souvent avec 1 semaine d'attente, sont le meilleur endroit en cas de problème avec votre machine.

J'ai perdu pas mal de données (dernière sauvegarde fin décembre 2014) mais ca c'est entièrement de ma faute.
Et je vais aussi installer malwarebytes ou bitdefender sur vos conseils!

Merci à tous. 
Rouliann


----------



## r e m y (21 Octobre 2015)

Moonwalker a dit:


> ...Ou sinon, il suffit de faire un fishing. Un beau faux mail Apple où la cible va entrer en toute innocence son identifiant et son mot de passe.



Je ne sais pas si vous avez fait le meme constat, mais depuis quelques semaines, je reçois plusieurs mails par jour sur mes adresses mails @mac.com en "provenance" d'appStore Steam, ou d'Apple Store support, ou autres... me signalant l'existence de messages en attente et qui vont être supprimés sous quelques jours .

Évidement il s'agit de fishing, mais le mail reçu est assez bien fait et je suis persuadé que certains se laisseront prendre et iront saisir leur identifiant et mot de passe sur la page sur laquelle ces mails renvoient!

Je fais systématiquement suivre ces faux mails à Apple sur la bal abuse@icloud.com


----------



## Average Joe (21 Octobre 2015)

Un code PIN à 4 chiffres sur un Mac ???  Seuls les devices portables genre téléphone ou iPad 4G ont besoin d'un code PIN. Non ? Ta copine se connecte comment ?


----------



## r e m y (21 Octobre 2015)

Le verrouillage à distance via Localiser mon Mac, peut nécessiter de saisir un code à 4 chiffres pour déverrouiller... (Cf article de MacG http://www.macg.co/2011/08/icloud-apple-active-find-my-mac-8684 )


----------



## Average Joe (21 Octobre 2015)

J'ai déjà reçu pour ma part deux ou trois faux mails d'Orange me demandant immanquablement mes identifiants, sauf que j'ai bien étudié la question ces dernières années et je ne me suis jamais fait avoir et ce n'est pas demain la veille que quelqu'un y parviendra. Je parie dix contre un que ta copine s'est fait balader par un message bidon. À la manière dont ils sont écrits sans parler de leur contenu il va falloir qu'elle achète des lunettes. Dans ce cas il ne reste plus qu'à appeler Poutine pour qu'il règle le problème à en juger par l'adresse mail du bandit. Ses services ont déjà fait le ménage plus d'une fois mais  il faut y retourner sans cesse.


----------



## Moonwalker (21 Octobre 2015)

Rouliann a dit:


> Merci à tous.


Nous te remercions également de nous avoir donné tous ces renseignements et explications qui vont enrichir la base technique du forum.


----------



## BlueG3 (21 Octobre 2015)

Alors la faille est sur le mot de passe 6 caractères sans Maj ( ou autres caractères spéciaux ) , il est trop faible.

Etant donné que des vols d'informations peuvent être fait sur Orange ou Apple,
il faut ABSOLUMENT ne pas utiliser son COMPTE MAIL comme IDENTIFIANT de site sur INTERNET.

a chaque fois que le mail personnel est compromis il y a un risque sur les sites internet ET vols données possibles sur les comptes
type IMAP ou WEBMAIL ( accès a l'historique des messages reçus et envoyés )

le type POP rapatrie sur le poste local la messagerie et vide de ce fait IMAP - WEBMAIL y accédant.


----------



## moderno31 (13 Mai 2017)

r e m y a dit:


> Je fais systématiquement suivre ces faux mails à Apple sur la bal abuse@icloud.com


Super Merci pour cette adresse Remy, c'est cool


----------



## Locke (13 Mai 2017)

@moderno31
Pourtant en 2015 tu étais déjà inscrit.


----------



## moderno31 (13 Mai 2017)

Locke a dit:


> @moderno31
> Pourtant en 2015 tu étais déjà inscrit.


Je savais qu'il y allait avoir une réponse de ce genre...


----------

