Browlock et le Virus Police Nationale

Browlock pour Browser Locker est un ransomware qui tente de bloquer le navigateur internet.
C’est une arnaque qui vise à se faire passer pour la police ou les autorités afin de vous faire payer une amende imaginaire.

Browlock a été surtout actif autour de 2013 mais il reste encore parfois quelques campagnes qui traîne ci et là.
Récemment, je suis tombé à nouveau dessus.
C’est donc le moment de mettre à jour cette vieille page.

Browlock et le Virus Police Nationale

Browlock et les virus

Il s’agit donc d’une arnaque qui vise à vous faire payer une amende.
Souvent il s’agit de faits de téléchargements illégaux ou de pédopornographie.

Cette arnaque s’inscrit dans la lignée des virus gendarmerie et virus police.
Pour ceux que cela intercesseur voici un résumé.

2011 – Les virus Police : Trojan Winlock

Fin 2011, les virus gendarmerie et police ont fait leurs apparition en France.
Il s’agit de trojan Winlock (pour Windows Locker) qui bloque l’accès à Windows en ouvrant une page se faisant passer pour la police.
On vous y explique que vous avez enfreint la loi et que vous devez payer une amende.
Tout ceci est bien sûr complètement faux.
Ce sont les pirates à l’origine de ces arnaques qui vont encaisser les paiements.
Enfin ces trojans étaient installés sur les PC via des attaques Drive-By Download.
A l’époque cela fonctionnait assez bien.

La page suivante donne quelques écrans de ces virus Police.
En effet, il y a eu beaucoup de pages différences selon les groupes à l’origine de l’attaque : Virus Gendarmerie, Police Nationale, Virus Hadopi et Virus Interpol

2013 – Browlock

Par la suite, les attaques Drive-By Download ont été moins efficaces.
Une nouvelle variante fut créer.
Celle-ci bloque le navigateur WEB en affichant le même type de message.

Aucun virus n’est installé sur l’ordinateur, il s’agit que d’une page WEB qui bloque le navigateur.
Voici la première variante en Français qui était plus ou moins bien réalisée.

Browlock Virus Gendarmerie Nationale et DLCC.

Par la suite d’autres variantes mieux faites fut mises en ligne.
A l’époque, il se faisait passer pour l’ANSSI.
Ce qui pour le grand public n’a pas vraiment d’intérêt.

Browlock le Virus ANSSI.

Comme vous pouvez le constater le paiement se faisait par ukash ou paysafecard.
Bien entendu, une amende ne se paie jamais de cette manière.

Voici une vidéo de Browlock en action.
En visant nu site, une publicité se charge et redirige vers ce dernier.
Il peut alors être plus ou moins difficile de fermer celle-ci.

Une vidéo avec la version mobile qui visait la tablette MacOS.

Enfin ces captures d’écran de la version mobile.

Browlock version mobile visant les iphones
Browlock version mobile visant les iphones

Enfin à partir de 2015, une grosse basse a vu le jour.
Les arnaques de support téléphoniques ont vu le jour avec le même procédé de blocage du navigateur WEB.
Les ransomwares chiffreurs ont aussi eu le vent en poupe.

2013 et 2015 : Quelques autres variantes entre

Quelques autres variantes entre 2013 et 2015 qui on pu être observé.
La version « Interpol Assocation National Security Agency ».

Plusieurs groupes sont derrière ce ransomware et disséminent des publicités malicieuses sur divers sites afin de rediriger les internautes.
Ci-dessous, une autre page de blocage :

Browlock : le virus ANSSI
Browlock : le virus ANSSI

Ci-dessous, deux pages plus ou moins différentes provenant de deux groupes distincts :

Browlock : le virus police

Deux autres pages de blocages, plus ou moins réussites.
Une page est consacrée à la gendarmenie nationale.

Browlock en version gendarmerie nationale

Enfin voici d’autres variantes.

Browlock le virus police et les variantes

Une variante Interpol.

Browlock : la variante interpol
Browlock : la variante interpol
Browlock : la variante interpol

Comme vous pouvez le constater c’est toujours pareil.
Les mêmes prétextes pour un même but, que vous payez.

2018 et 2019 : encore un peu actif

En 2018 et 2019, on le rencontre très peu souvent.
En effet, les arnaques de support téléphoniques ont pris le pas sur ce dernier.

Ci-dessous, une variante Police Nationale assez bien faite.
En effet, on voit bien URL en gouv.fr mais celle-ci est fausse.

Browlock : le Virus Police Nationale

Les pirates font une capture d’écran de la page et modifient l’URL.
Le but étant d’utiliser un vrai site étatique.

Browlock : le Virus Police Nationale

Enfin lors de l’ouverture, le site passe en plein écran.
Ainsi, la vraie URL est masquée et on voit une fausse barre d’adresse avec une fausse URL.

Browlock : le Virus Police Nationale

Enfin comme vous le remarquez ici, le but est de récupérer des données bancaires.

Comment débloquer les navigateurs WEB

Voici quelques méthodes pour débloquer le navigateur internet frappé par Browlock.
Ce sont les mêmes techniques que pour les arnaques de support téléphoniques.

Vous pouvez déjà tenter :

  • d’ouvrir un nouveau onglet avec les touches CTRL+T. Si vous y parvenez en général, il suffit de fermer l’onglet de Browlock avec la croix.
  • Spammer avec la touche CTRL+W. Cela peut fermer les popups qui s’ouvrent en boucle et permettent de fermer l’onglet.

Windows

Si vous ne parvenez pas à vous en débarrasser.
Le plus simple est de redémarrer le PC.
Sinon vous pouvez forcer la fermeture du navigateur WEB.

Pour ce faire :

  • Sur votre clavier, appuyez sur CTRL+ALT+Suppr et gestionnaire de tâches puis onglet processus (pour Windows 7).
  • Chercher votre navigateur dans la liste des processus
    • Firefox => firefox.exe
    • Google Chrome => chrome.exe
    • Internet Explorer => iexplore.exe (ne pas prendre explorer.exe).
  • Tuer le processus et relancer le navigateur, répétez l’opération, jusqu’à obtenir le message vous demande si vous désirez restaurer la session apparaît.
  • Refusez de restaurer la session ou décochez la page relative au ransomware.

MacOs et Safari

Sur Iphone et Ipad avec le navigateur WEB Safari :

  • Cliquez sur le Menu Réglages puis Effacer l’historique.
  • Fermez et relancez le navigateur

Enfin si pas mieux :

  • Fermer Safari.
  • Supprimer le fichier ~/Library/Saved Application State/com.apple.Safari.savedState
  • Relancer Safari.

Les autres arnaques

Quelques autres arnaques toujours actives.

image_pdfimage_print
(Visité 3 046 fois, 1 visites ce jour)