Un nouveau ransomware détecté en Russie, Réactions à la publication du 25/10/2017

[Lionel]

Kaspersy a annoncé avoir découvert un nouveau ransomware baptisé Bad Rabbit.

Il sévit actuellement en Russie et quelques cas ont été découverts dans des pays voisins.
Comme d'habitude, il chiffre les données des disques durs et réclame 0,05 Bitcoin pour fournir la clé de décodage, qui sera sinon détruite au bout de 40h. Ce serait la déclinaison d'un autre ransomware, Petya, qui avait sévi il y a quelques temps.

Lien vers le billet original

[pierrot]

Et ça vaut quoi, 0,05 Bitcoin?

[codeX]

Et ça vaut quoi, 0,05 Bitcoin?

https://charts.bitcoin.com/chart/price

[Hi_RAM]

environ 240 €

[Licorne31]

No exploits were used, so the victim would have to manually execute the malware dropper, which pretends to be an Adobe Flash installer.

La faille de sécurité se situe donc au niveau de l'interface chaise/clavier/souris...
Il est donc facile de s'en protéger, le meilleur antimalware étant, encore dans ce cas, installé entre les oreilles de l'interface chaise/clavier/souris.

[djdoxy]

La faille de sécurité se situe donc au niveau de l'interface chaise/clavier/souris...
Il est donc facile de s'en protéger, le meilleur antimalware étant, encore dans ce cas, installé entre les oreilles de l'interface chaise/clavier/souris.

Faut arreter un peu avec ces conneries.

La très grande majorité des utilisateurs d'ordinateur n'ont jamais été formés pour, et même quand on l'est, il est parfois difficile de trier le vrai du faux si l'interface d'installation du malware a été bien faite.
T'es en train de reprocher a un gars qui vient d'avoir un accident de voiture de ne pas maitriser le contre-braquage et le talon pointe.

Le vrai souci il est du coté des OS, qui sont incapables de detecter un modification en masse de fichiers, avec changement de type de contenu.

[pierrot]

.exe, Windows, Microsoft...

[Tom25]

D'accord avec Djdoxy, j'ai souvent des pages qui me proposent d'installer FlashPlayer sans aller sur des sites douteux.

[fortin]

Est-ce que ça touche macOS ou iOS ? Est-ce qu'on sait pourquoi il ne toucherait que la Russie ? (ie. quel est le sens qu'un ransomware ne touche qu'un pays, via internet) Est-ce que 0,05 bitcoins c'est beaucoup/pas beaucoup ? Est-ce que c'est vraiment un ransomware (ie. qui décrypte quand on paye, donc but lucratif) ou un code pour détruire (ie. qui ne fournit pas de clés même si on paye, dont sert à causer des blocages/destructions/...) ? Comment s'en protéger si on est dans la cible ?

Bref, quel est l'intérêt de cette news ?... Aucune analyse, aucune prise de recul, aucun intérêt...

[BdeHOGUES]

et réclame 0,05 Bitcoin pour fournir la clé de décodage

Peuvent pas se faire payer en Fraise Tagada comme tout le monde !

[yponomeute]

Est-ce que ça touche macOS ou iOS ? Est-ce qu'on sait pourquoi il ne toucherait que la Russie ? (ie. quel est le sens qu'un ransomware ne touche qu'un pays, via internet) Est-ce que 0,05 bitcoins c'est beaucoup/pas beaucoup ? Est-ce que c'est vraiment un ransomware (ie. qui décrypte quand on paye, donc but lucratif) ou un code pour détruire (ie. qui ne fournit pas de clés même si on paye, dont sert à causer des blocages/destructions/...) ? Comment s'en protéger si on est dans la cible ?

Bref, quel est l'intérêt de cette news ?... Aucune analyse, aucune prise de recul, aucun intérêt...

Si tu prenais la peine de cliquer sur le lien dans la news (le texte en bleu "kaspersy a annoncé", ça s'appelle un lien et on peut cliquer dessus), tu aurais la réponse à tes questions.

Bref, quel est l'intérêt de ton message ? Aucun effort personnel, j'attends que tout me tombe tout cuit dans le bec...

[M_Marc]

Les installeurs flash player sont pour moi difficile à identifiés comme légitimes ou non. Aussi bien sûr win que OsX.

Vivement que flash disparaisse.

[Tom25]

Fortin, tu devrais envoyer ton adresse perso par MP à Lionel qu'il te fasse livrer un café chaud et des croissants frais. C'est vrai qu'il exagère quand même, déjà qu'il te laisse lire la news au lieu de venir te la lire lui même en apportant tout ça, le minimum serait qu'il te fasse servir s'il ne peut le faire lui même !

[iAPX]

Les installeurs flash player sont pour moi difficile à identifiés comme légitimes ou non. Aussi bien sûr win que OsX.

Vivement que flash disparaisse.

Ce n'est pas que sous le nom d'Adobe Flash, et ça arrive aussi sur des sites légitimes, les hackers essayant régulièrement de prendre pieds soit sur des sits à forte fréquentation, soit sur des sites spécialisés (non non pas ceux avec des X partout!) comme SLACK par exemple, pour pouvoir toucher des cibls particulièrs (personnes et/ou sociétés).

Avec l'ensemble des différentes failles actuellement exploitables, sur un gros troupeau, incluant celles du bluetooth une fois qu'un attaquant a pu poser son pied sur un smartphone Android, les possibilités sont assez inouïes, et quasiment impossible à gérer au sein d'une société, notamment avec le BYOD "Bring Your Own Device" ou "amenez vos malware" en bon français

[Tmps]

La faille de sécurité se situe donc au niveau de l'interface chaise/clavier/souris...
Il est donc facile de s'en protéger, le meilleur antimalware étant, encore dans ce cas, installé entre les oreilles de l'interface chaise/clavier/souris.

Faut arreter un peu avec ces conneries.

La très grande majorité des utilisateurs d'ordinateur n'ont jamais été formés pour, et même quand on l'est, il est parfois difficile de trier le vrai du faux si l'interface d'installation du malware a été bien faite.
T'es en train de reprocher a un gars qui vient d'avoir un accident de voiture de ne pas maitriser le contre-braquage et le talon pointe.

Le vrai souci il est du coté des OS, qui sont incapables de detecter un modification en masse de fichiers, avec changement de type de contenu.

Entièrement d'accord avec toi, djdoxy.

L'objectif de l'informatique était de faire gagner du temps sans grandes connaissances techniques particulières. Maintenant, on perd vite du temps face à des problèmes pour lesquels il faut acquérir des connaissances, qui changent tout le temps, pour s'en sortir. Je pense également qu'il serait temps que l'industrie informatique sécurise bien plus leurs solutions tant matérielles que logicielles.

Déjà, quand je vous déjà le nombre de sites "sérieux" qui ne surveillent pas les services pubs qui les paient et qui déroulent ainsi un tapis rouge pour des logiciels foireux comme Mackeeper et autres crasses.

Certains devraient sortir de leur monde fermé de Geek et se mettre un peu à la place des personnes pour qui l'informatique représente un monde parallèle qu'elles sont souvent contraintes d'utiliser.
Simple exemple: qui n'a pas, dans sa famille, quelqu'un qui a mis dans les mains d'une vieille personne un smartphone ou une tablette avec un minimum d'explications car, "tu verras, c'est super facile à utiliser"? Mais dès le moindre problème, souvent il n'y a plus personne pour aider et/ou former.



Ce message a été modifié par Macbox - 25 Oct 2017, 13:01.

[Lionel]

Bref, quel est l'intérêt de cette news ?... Aucune analyse, aucune prise de recul, aucun intérêt...

Juste te faire pendre conscience de ta malheureuse condition d'homme.

Parfois je fais passer des notions de sécurité, là c'est inutile je l'ai déjà fait par ailleurs.
Dans les faits, Mac ou Windows ou Linux cela ne change pas grand chose. Tu vois les faits simplement, est-ce que je suis concerné directement ou pas ? Probablement non. Mais si l'école de tes gosses, la cantine, ton supermarché du coin sont demain paralysés, tu le seras certes indirectement, mais cela te fera aussi mal. Je ne parle même pas du cas où cela toucherait les services d'urgence de ta zone.

[marc_os]

[...]
Le vrai souci il est du coté des OS, qui sont incapables de detecter un modification en masse de fichiers, avec changement de type de contenu.

Ils n'en sont pas incapables à priori, ils ne sont juste pas programmés pour.
C'est bien pour ça qu'il y a des logiciels "antivirus", dont certains font ou tentent de faire une analyse comportementale pour détecter tout comportement déviant. Mais rien n'est moins évident. Un batch de traitement d'images par exemple sur des centaines de fichiers RAW nouvellement pris pourrait être détecté comme comportement suspect. Je pense que la difficulté d'implémentation de ce genre de chose sans trop de faux positifs (sans que ça sonne l'alerte à tout bout de champs pour rien) explique pourquoi la majorité des antivirus ne font "que" de l'analyse de fichiers afin de détecter ceux qui sont suspects. Néanmoins, normalement ils permettent de détecter les merdes dès leur téléchargement. A condition bien sûr que le malware soit connu de l'antivirus, c'est de toute évidence leur faiblesse.

Ce message a été modifié par marc_os - 25 Oct 2017, 13:33.

[fortin]

Dans les faits, Mac ou Windows ou Linux cela ne change pas grand chose. Tu vois les faits simplement, est-ce que je suis concerné directement ou pas ? Probablement non. Mais si l'école de tes gosses, la cantine, ton supermarché du coin sont demain paralysés, tu le seras certes indirectement, mais cela te fera aussi mal. Je ne parle même pas du cas où cela toucherait les services d'urgence de ta zone.

@Lionel :
La news ne dit rien de tout ça ;-)
Ce paragraphe ajoute tout le sens qui manquait, et c'est ce que je faisais remarquer.

Un lecteur de Macbidouille pourrait croire que ça concerne son mac, mais non. Pour la pertinence de le publier en news, tu es seul juge; pour le contenu d'une news, on peut être exigeants ;-)

@yponomeute : Si une news ne contient pas toutes les infos (sans creuser soi-même), si elle laisse un doute, un flou, ça peut partir en "téléphone arabe", être mal interprété. Sur des questions de sécurité, ce n'est pas une bonne chose !

[fcoull]

[...]
Le vrai souci il est du coté des OS, qui sont incapables de detecter un modification en masse de fichiers, avec changement de type de contenu.

Ils n'en sont pas incapables à priori, ils ne sont juste pas programmés pour.
C'est bien pour ça qu'il y a des logiciels "antivirus", dont certains font ou tentent de faire une analyse comportementale pour détecter tout comportement déviant. Mais rien n'est moins évident. Un batch de traitement d'images par exemple sur des centaines de fichiers RAW nouvellement pris pourrait être détecté comme comportement suspect. Je pense que la difficulté d'implémentation de ce genre de chose sans trop de faux positifs (sans que ça sonne l'alerte à tout bout de champs pour rien) explique pourquoi la majorité des antivirus ne font "que" de l'analyse de fichiers afin de détecter ceux qui sont suspects. Néanmoins, normalement ils permettent de détecter les merdes dès leur téléchargement. A condition bien sûr que le malware soit connu de l'antivirus, c'est de toute évidence leur faiblesse.

Pourtant ca serait "facile" de coder un programme comme celui-ci. Certes au debut il y aurait des faux positifs.. mais une fois les regles setup (comme little snitch), ca serait une excellente protection de check si y'a un batch de modification sur plusieurs fichiers à la suite.

[downanotch]

Pourtant ca serait "facile" de coder un programme comme celui-ci. Certes au debut il y aurait des faux positifs.. mais une fois les regles setup (comme little snitch), ca serait une excellente protection de check si y'a un batch de modification sur plusieurs fichiers à la suite.

Il y a aussi l'approche iOS : une application ne peut pas accéder aux documents créés par d'autres applications sans autorisation de l'utilisateur.

[marc_os]

Pourtant ca serait "facile" de coder un programme comme celui-ci. Certes au debut il y aurait des faux positifs.. mais une fois les regles setup (comme little snitch), ca serait une excellente protection de check si y'a un batch de modification sur plusieurs fichiers à la suite.

Facile ? Si tu le dis. Pourtant, à ce que je sais, les antivirus grand public habituels n'offrent pas cette fonction.
J'attends donc avec impatience ton futur antivirus basé sur des analyses comportementales.
Puisque tu affirmes que c'est facile, ça doit être facile pour toi de nous fournir un tel antivirus !
Un grand merci d'avance.

Ce message a été modifié par marc_os - 25 Oct 2017, 15:35.

[yponomeute]

Pourtant ca serait "facile" de coder un programme comme celui-ci. Certes au debut il y aurait des faux positifs.. mais une fois les regles setup (comme little snitch), ca serait une excellente protection de check si y'a un batch de modification sur plusieurs fichiers à la suite.

Hyper simple, ça tient deux ou trois lignes https://objective-see.com/blog/blog_0x0F.html ou peut-être un peu plus

[_Panta]

Ca s'appelle l'analyse heuristique et plus d'un anti-virus l'utilisent

[yponomeute]

Toutes les systèmes de protections peuvent être contournés, et au final il ne reste que 3 protections efficaces contre les ransomware :

protection n°1 : faire des sauvegardes
protection n°2 : faire des sauvegardes
protection n°3 : faire des sauvegardes

Ce message a été modifié par yponomeute - 25 Oct 2017, 15:58.

[Licorne31]

La faille de sécurité se situe donc au niveau de l'interface chaise/clavier/souris...
Il est donc facile de s'en protéger, le meilleur antimalware étant, encore dans ce cas, installé entre les oreilles de l'interface chaise/clavier/souris.

Faut arreter un peu avec ces conneries.

La très grande majorité des utilisateurs d'ordinateur n'ont jamais été formés pour, et même quand on l'est, il est parfois difficile de trier le vrai du faux si l'interface d'installation du malware a été bien faite.
T'es en train de reprocher a un gars qui vient d'avoir un accident de voiture de ne pas maitriser le contre-braquage et le talon pointe.

Le vrai souci il est du coté des OS, qui sont incapables de detecter un modification en masse de fichiers, avec changement de type de contenu.

Le vrai soucis est du coté de l'utilisateur, je maintiens.

Quand une page web demande d'installer un truc, le premier reflexe doit être d'aller chercher la mise à jour sur le site de l'éditeur. Pas ailleurs.
Du coup, je ne vois même pas l'interface d'installation contrefaite... Je ne peux donc pas dire si elle a été bien ou mal faite.

Je ne reproche pas au gars qui vient de se planter en bagnole de ne pas avoir des compétences et réflexes de pilote de course.
Par contre, je lui reproche d'avoir utilisé, pour changer ses plaquettes de frein, une référence pas adaptée à sa voiture (parce que moins chère), achetée au marché au puces (sur le stand d'un mec qui n'y connais rien, et pas dans un garage ou un centre auto, où l'on peut souvent avoir un minimum de conseil), et de les avoir montées (lui-même) en dépit du bon sens, sans même consulter la Revue Technique (t'es ouf, les livres, ça fait mal à la tête!).

Quand on ne sait pas, on ne touche pas.
L'ignorance complète et assumée vaut mieux qu'une compétence trop faible aggravée par un excès de confiance.

[marc_os]

Ca s'appelle l'analyse heuristique et plus d'un anti-virus l'utilisent

Voui merci pour l'info, ça fait plusse intelligent d'utiliser de jolis mots tels heuristique, et en n'utilisant que ceux là ça permet de ne se faire comprendre qu'entre geeks (ou plutôt entre mecs qu'on pas le melon et qui se prennent pour des geeks).
Ceci dit, c'est quoi les "plus d'un anti-virus" ?
Affirmer c'est bien, mais étayer ses affirmations, c'est mieux, non ?

Ceci dit, sur la page de Norton, quedalle.
Sur celle de Karspercky, requedalle.
En fouillant un peu plus, je suis tombé sur un Kaspersky PURE 2.0 de 2012.
Mais là j'ai pas que ça à faire, et chercher des arguments pour ses contradicteurs, c'est un comble !

PS: Ceci dit, qu'on ne me fasse pas dire non plus ce que je n'ai pas dit. Ce que j'ai dit c'est qu'à ma connaissance les antivirus courants ne font pas d'analyse comportementale - ou alors ils sont bien discrets à ce sujet.
PS 2: A mon avis, le terme heuristique est très mal choisi pour nommer l'analyse comportementale. Toutes les définitions que j'ai trouvées dans des dictionnaires français du larousse à wiktionary.org sont plutôt du genre :
Discipline qui se propose de formuler les règles de la recherche scientifique
à :
(Informatique) Méthode de résolution de problèmes non fondée sur un modèle formel et qui n’aboutit pas nécessairement à une solution optimale
voire même :
En optimisation combinatoire, en théorie des graphes, en théorie de la complexité des algorithmes et en intelligence artificielle, une heuristique est une méthode de calcul qui fournit rapidement (en temps polynomial) une solution réalisable, pas nécessairement optimale, pour un problème d'optimisation NP-difficile.
Ceci dit, je n'ai pas regardé dans les dicos anglais. Quoiqu'il en soit, je ne trouve pas ce terme très judicieux. Surtout si on veut se faire comprendre par les gens normaux et maîtrisant simplement le français.

Ce message a été modifié par marc_os - 25 Oct 2017, 17:04.

[iAPX]

Ca s'appelle l'analyse heuristique et plus d'un anti-virus l'utilisent

Pourrais-tu s'il te plaît mettre un hyperlien sur la définition de tout mot qui n'entre pas dans le vocabulaire de certains?
Ou au moins la recopier, plutôt qu'utiliser le terme adéquat?

Toutes les systèmes de protections peuvent être contournés, et au final il ne reste que 3 protections efficaces contre les ransomware :

protection n°1 : faire des sauvegardes
protection n°2 : faire des sauvegardes
protection n°3 : faire des sauvegardes

+1 et prévoir un plan de contingence avec les étapes à réaliser pour revenir à la normale

[EricDu]

Il y a un moyen d'éduquer les utilisateurs en évitant de leur proposer des mises à jour en cliquant sur un simple bouton dans un pop-up.

À la place du bouton, mettre des instructions sur les étapes à suivre (ouvrir le logiciel, sélectionner "check for updates"). Ce serait moins pratique, mais ça habituerait les utilisateurs à une méthode plus sécurisée que de cliquer sur un bouton parce qu'une fenêtre le demande.

Malheureusement, les dévelopeurs choisissent la simplicité au prix de la sécurité. Ceci dit, je ne sais pas si une méthode de mises à jour plus compliquée présenterait plus de risques de ne pas être suivie ("je verrai ça plus tard").

Bref, l'utilisateur reste responsable de ses actions, mais le dévelopeur est responsable de l'habituer à des mauvais réflexes.

[Tmps]

...
Le vrai soucis est du coté de l'utilisateur, je maintiens.

Quand une page web demande d'installer un truc, le premier reflexe doit être d'aller chercher la mise à jour sur le site de l'éditeur. Pas ailleurs.
Du coup, je ne vois même pas l'interface d'installation contrefaite... Je ne peux donc pas dire si elle a été bien ou mal faite.
...

Mon dieu quelle prétention.

Allez, un exemple! Souvent il est indiqué qu'il faut installer Flash Player. Ok? Avec cette information, comment sais-tu quel est le site de l'éditeur??? En faisant une recherche sur internet, il est possible que le premier résultat ne pointe pas vers le site d'Adobe. Du coup, hop, c'est la merde. Car rares sont les personnes qui savent que c'est Adobe l'éditeur de Flash Player.

Durant mes années de maintenance, j'ai croisé de nombreux utilisateurs qui évoluent dans des domaines professionnels très pointus et complexes, surtout dans le domaine de la santé, ou des avocats, des architectes, des personnes qui ont parcouru le monde, qui parlent couramment plusieurs langues, etc. Bref, des personnes qui sont vraiment, mais alors vraiment loin d'être idiotes. Cependant, côté informatique, beaucoup sont des vraies "quiches". Peut-on leur reprocher cela? Peut-on leur reprocher d'utiliser des technologies qui deviennent de moins en moins à la portée de n'importe qui???

Et se renseigner ne garantit en rien qu'on obtiendra le bon conseil. Récemment, sur Facebook, je suis tombé sur une page "Mac Software" qui partage certains articles intéressants qui donne l'impression qu'il s'agit d'un site sérieux. Pourtant, il met en avant Mackeeper!

Autre exemple, récemment, j'ai découvert Lilo, un moteur de recherche qui permet de reverser de l'argent à certains projets sociaux. Démarche intéressante et j'ai testé. Globalement, rien à dire, par contre, comme Lilo fonctionne grâce à la pub, les résultats mis en avant sont ceux de partenaires commerciaux. Ok, c'est logique. Malheureusement, certains liens mènent vers des sites douteux où l'on récupérera certainement un logiciel malveillant. Tout cela parce que Lilo ne vérifie visiblement pas le sérieux des partenaires.

Tout cela pour dire qu'au delà de l'information, l'expérience joue beaucoup pour déjouer les pièges. Et nul n'est réellement à l'abri! Il arrivera vite un jour où toi, moi, et bien d'autres utilisateurs expérimentés, on se fera avoir! Et ce jour là, j'espère que quelqu'un te dira "Bien oui, tu n'avais qu'à te renseigner avant". ;-)

Ce message a été modifié par Macbox - 25 Oct 2017, 17:28.

[trouspinette]

Bref, quel est l'intérêt de cette news ?... Aucune analyse, aucune prise de recul, aucun intérêt...

Et si un site officiel d'actualité sanitaire (OMS par exemple) informe la population qu'une grave épidémie de H5N12 (ou je ne sais quoi) se déclenche, tu t'en moques parce que c'est au Vietnam ou au Lesotho ?

Ton attitude est d'un nombrilisme sans pareil : c'est vrai, les français, c'est les plus forts au monde, j’oubliais...