IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Il est possible de récupérer les données des PC infectés par WCry, Réactions à la publication du 19/05/2017
Options
Lionel
posté 19 May 2017, 06:05
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 328
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Adrien Guinet, un chercheur français, a publié un logiciel qui devrait permettre de récupérer les données chiffrées par le cheval de Troie WCry sous XP. Pour rappel, cela fait suite à l'attaque sans précédent de la fin de la semaine dernière qui, utilisant une faille de sécurité, a infecté des centaines de milliers de PC.

Le logiciel n'a pas été testé totalement mais il n'aidera qu'une partie des personnes touchées. Il faut en effet le lancer sans avoir redémarré la machine depuis son infection. Or, ce redémarrage est souvent la première tentative faite par les victimes pour tenter de se sortir d'un gros problème.
Cette limitation est liée au fait que la clé de chiffrement, si elle est effacée du disque dur, ne l'est pas de la RAM. Le logiciel tente alors de la récupérer via un dump de cette mémoire.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
UAB_Kub
posté 19 May 2017, 08:15
Message #2


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 562
Inscrit : 6 Apr 2005
Membre no 36 646



C'est bien mais ça risque, en effet, de ne vraiment pas aider grand monde
Go to the top of the page
 
+Quote Post
charbo
posté 19 May 2017, 08:28
Message #3


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 575
Inscrit : 12 Oct 2004
Lieu : Montreuil
Membre no 25 070



Changer la RAM ???


--------------------
Jamais je n'achéterai un MacBook Pro avec un disque dur soudé.
Go to the top of the page
 
+Quote Post
Webtourist
posté 19 May 2017, 08:49
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 736
Inscrit : 28 Oct 2008
Membre no 124 528



Citation (UAB_Kub @ 19 May 2017, 09:15) *
C'est bien mais ça risque, en effet, de ne vraiment pas aider grand monde

Oui, ça aidera seulement les postes en service 24/24, tels que les postes utilisés comme serveurs...


--------------------
AdBlock désactivé sur MB
Go to the top of the page
 
+Quote Post
_Panta
posté 19 May 2017, 09:08
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 796
Inscrit : 24 Dec 2006
Lieu : "Over The Rainbow"
Membre no 76 401



Citation (charbo @ 19 May 2017, 09:28) *
Changer la RAM ???

Surtout pas en fait car on ne pourrait pas récupérer la clef de chiffrement, et la cela serait vraiment fichu.



--------------------
- Macbook Pro M1 Pro 16.2"
- Macbook Pro TouchBar 15.4" T1 - 512GB/core i7@2,7Ghz - A VENDRE - Clavier neuf et batterie neuve, changés début 2023 (Garanti 6 mois) - SSD Samsung nVme toujours à 2,5GB/s - Gris sidéral
- Macbook Air 13,3" core i5 - iMac 27" core i5 - iPhone14 - Apple Watch 8
- Fbx Delta Devialet
Go to the top of the page
 
+Quote Post
Fabrice_75015
posté 19 May 2017, 09:55
Message #6


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 326
Inscrit : 19 Nov 2002
Lieu : Paris
Membre no 4 748



La question que je me pose :
il semble que le ransonware propose de déchiffrer "gratuitement" quelques fichiers ? Si c'est le cas la clef doit bien être téléchargée pour arriver sur le poste en local, il suffit alors de la chopper à ce moment et bingo (si la communication n'est pas en SSL alors en sniffant le packet on est bon).
Go to the top of the page
 
+Quote Post
Homer Simpson
posté 19 May 2017, 10:06
Message #7


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 603
Inscrit : 5 Aug 2006
Membre no 65 390



Quand on a redémarré, le virus arrête d'agir ???

Parce que s'il continue son boulot après redémarrage c'est qu'il a une nouvelle clé de cryptage non ? Ca ne sauve pas les anciens fichiers mais les nouvellement cryptés devraient l'être.
Go to the top of the page
 
+Quote Post
maxjean2
posté 19 May 2017, 11:14
Message #8


Adepte de Macbidouille
*

Groupe : Membres
Messages : 169
Inscrit : 28 Oct 2006
Membre no 71 564



Sans avoir redémarer ?
Et donc sans avoir arrêté ? C'est ça ?


--------------------
Apple GS, Mac+, LC, 6200/75, 5500/275, 1400CS, G4 Silver, PowerBook G4 12", iMac 2.4 24", MBP 2.4 17", iPodTouch, iPad 3G, iPad2, iPad 5, iPad Pro 12,9, iPhone4S, 5C, 5S, XR.
Go to the top of the page
 
+Quote Post
__otto__
posté 19 May 2017, 14:49
Message #9


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 253
Inscrit : 28 Mar 2011
Membre no 165 999



Citation (Homer Simpson @ 19 May 2017, 11:06) *
Quand on a redémarré, le virus arrête d'agir ???

Parce que s'il continue son boulot après redémarrage c'est qu'il a une nouvelle clé de cryptage non ? Ca ne sauve pas les anciens fichiers mais les nouvellement cryptés devraient l'être.

Non quand tu as redémarré le mal est déjà fait et la clé n'est plus présente en mémoire vive...


--------------------
Je suis plus Charlie depuis que
je suis écouté

Mac Plus, SE 30, mac si, mac ci,mac lc (1,2,3,4), ppc (presque toutes les machines sauf les G5), imac 2011, macbook pro 2012
i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro!
Et mon nouveau beau joujou : 2080 Core + 260 NVIDIA TESLA K20X 4,1 To de RAM et quelques centaines de To stockage! et accessoirement ça chauffe bien!
Go to the top of the page
 
+Quote Post
Macintox
posté 19 May 2017, 15:43
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 3 244
Inscrit : 18 Jan 2004
Membre no 13 512



Dans l'armée et la police il n'y a pas longtemps, il y avait encore une equipe de colombophiles . En cas d'olbliération complète des systèmes de communication on pouvait revenir aux bons vieux pigeons voyageurs.

On ne le répètera jamais assez, pour les ordis, le salut c'est le backup..
En cas de pépin on peut éffacer à 0 le système infecté , ou changer le DD et revenir à celui de 24h ou xjs en quelques cliks.
Les DD coûtent de toute façon beaucoup moins cher qu'une quelconque rançon.
Apple et leurs DD soudés étant sur ce plan, poutant essentiel, les ordis les plus pourris.

pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild !




Go to the top of the page
 
+Quote Post
PO_
posté 19 May 2017, 16:34
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 065
Inscrit : 11 Sep 2004
Lieu : Dans les Landes
Membre no 23 445



elle est donc basée sur un délit d'initié


--------------------
EN commande : iMac Retina 8Go/1To Flash/ M295 4go
iPhone 4 16 Go, Samsung Galaxy Note II, iPad Retina 64 Go, Galaxy Note Pro 12.2 32 Go
Mac Pro 8x2,8 GHz/16 Go RAM/Raid 0 (3 x 1To) + 1 To / 8800 GT + 30" - EN PANNE- Retour à la 2600 HD :-(((
G5 bi 2 GHz/3Go RAM/HDint 2x400 Go/ 23" Cinéma Display - OS X 10.6.8
G4 Bi 1,25 / 1,5 Go RAM / HDint : 200+120+120 / qui n'a plus d'écran pour cause de canibalisme par le G5 :)
iPod 80Go +iPod Hifi + Bose Companion 3 série II/Souris MX Revolution
PowerBook G3 266 /320 Mo RAM / HD 20 Go
Go to the top of the page
 
+Quote Post
yponomeute
posté 19 May 2017, 19:42
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 969
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Citation (Macintox @ 19 May 2017, 16:43) *
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild !

Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite.


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
__otto__
posté 19 May 2017, 22:04
Message #13


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 253
Inscrit : 28 Mar 2011
Membre no 165 999



Citation (yponomeute @ 19 May 2017, 20:42) *
Citation (Macintox @ 19 May 2017, 16:43) *
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild !

Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite.

Avec des sous le vainqueur peut réécrire l'histoire laugh.gif oups biggrin.gif
Ou choisir un président tongue.gif cool.gif rolleyes.gif wink.gif dry.gif laugh.gif
Désolé c'était plus fort que moi!

M'enfin bon moi je dis chapeau à la recherche française qui avec les peu de moyen qu'on lui donne, permet à un chercheur de sortir au moins quelques personnes et entreprises d'une merde noire en a peine une semaine!!!


--------------------
Je suis plus Charlie depuis que
je suis écouté

Mac Plus, SE 30, mac si, mac ci,mac lc (1,2,3,4), ppc (presque toutes les machines sauf les G5), imac 2011, macbook pro 2012
i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro!
Et mon nouveau beau joujou : 2080 Core + 260 NVIDIA TESLA K20X 4,1 To de RAM et quelques centaines de To stockage! et accessoirement ça chauffe bien!
Go to the top of the page
 
+Quote Post
jpph
posté 20 May 2017, 00:50
Message #14


Nouveau Membre


Groupe : Membres
Messages : 20
Inscrit : 8 Nov 2005
Membre no 49 610



Citation (Fabrice_75015 @ 19 May 2017, 09:55) *
La question que je me pose :
il semble que le ransonware propose de déchiffrer "gratuitement" quelques fichiers ? Si c'est le cas la clef doit bien être téléchargée pour arriver sur le poste en local, il suffit alors de la chopper à ce moment et bingo (si la communication n'est pas en SSL alors en sniffant le packet on est bon).

les 10 fichiers qui peuvent etre dechiffrés gratuitement sont chiffrés avec des clés a parts ( ces clé sont enregistrés sur le disque, pas besoin de communiquer la clé de déchiffrement).
Celle qui chiffre tous les fichiers n'est pas sauvegarder. Et c'est mort, vu que ládresse bitcoin n'est pas unique, il n'y a aucun moyen de savoir si on a payé ou non... et personne n'a su recuperer les données, même en payant...


--------------------
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité
Go to the top of the page
 
+Quote Post
__otto__
posté 20 May 2017, 01:16
Message #15


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 253
Inscrit : 28 Mar 2011
Membre no 165 999



Citation (jpph @ 20 May 2017, 01:50) *
Citation (Fabrice_75015 @ 19 May 2017, 09:55) *
La question que je me pose :
il semble que le ransonware propose de déchiffrer "gratuitement" quelques fichiers ? Si c'est le cas la clef doit bien être téléchargée pour arriver sur le poste en local, il suffit alors de la chopper à ce moment et bingo (si la communication n'est pas en SSL alors en sniffant le packet on est bon).

les 10 fichiers qui peuvent etre dechiffrés gratuitement sont chiffrés avec des clés a parts ( ces clé sont enregistrés sur le disque, pas besoin de communiquer la clé de déchiffrement).
Celle qui chiffre tous les fichiers n'est pas sauvegarder. Et c'est mort, vu que ládresse bitcoin n'est pas unique, il n'y a aucun moyen de savoir si on a payé ou non... et personne n'a su recuperer les données, même en payant...

Marrant de crypter les 10 premiers fichiers avec une clé bidon laugh.gif


--------------------
Je suis plus Charlie depuis que
je suis écouté

Mac Plus, SE 30, mac si, mac ci,mac lc (1,2,3,4), ppc (presque toutes les machines sauf les G5), imac 2011, macbook pro 2012
i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro!
Et mon nouveau beau joujou : 2080 Core + 260 NVIDIA TESLA K20X 4,1 To de RAM et quelques centaines de To stockage! et accessoirement ça chauffe bien!
Go to the top of the page
 
+Quote Post
Picassoloto
posté 24 May 2017, 09:07
Message #16


Adepte de Macbidouille
*

Groupe : Membres
Messages : 45
Inscrit : 12 Oct 2009
Membre no 143 677



Citation (yponomeute @ 19 May 2017, 19:42) *
Citation (Macintox @ 19 May 2017, 16:43) *
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild !

Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite.


Non désolé mais ce sont les fait, incontestables, c'est ainsi.
Go to the top of the page
 
+Quote Post
Licorne31
posté 24 May 2017, 10:46
Message #17


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 594
Inscrit : 28 Mar 2008
Membre no 111 113



Citation (Picassoloto @ 24 May 2017, 10:07) *
Citation (yponomeute @ 19 May 2017, 19:42) *
Citation (Macintox @ 19 May 2017, 16:43) *
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild !

Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite.


Non désolé mais ce sont les fait, incontestables, c'est ainsi.

Ce ne sont pas les faits, ils sont contestés, et c'est ainsi.
http://www.independent.co.uk/news/uk/home-...e-10216101.html
https://en.wikipedia.org/wiki/Nathan_Mayer_...Waterloo_legend


--------------------
"Heartbreaker" G3 B&W 300 overclock 400 MHz, PowerBook G4 "Alu" 15" 1.25 GHz (avec SSD mSATA), G4 AGP 400 MHz, MDD bipro 867 MHz, MDD mono 1.25 GHz (deuxième alim. en panne), Quicksilver 800 MHz (avec alim. ATX), tous sous Tiger. iPod Touch "Original" 32 Go sous iOS 3.1.3.
Et un MHack : CM MSI 7046 Rev. 1, Intel P4 (32 bits, monocoeur, HT, SSE3, 3.4 GHz), CG GeForce 9500GS. Avec Chameleon et Snow Leopard. A part la veille et le haut-parleur interne, tout marche.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 29th March 2024 - 00:56