Les ravages du rançongiciel (ransomware), Réactions à la publication du 24/02/2016 |
Bienvenue invité ( Connexion | Inscription )
Les ravages du rançongiciel (ransomware), Réactions à la publication du 24/02/2016 |
27 Feb 2016, 11:31
Message
#31
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 749 Inscrit : 6 Oct 2003 Membre no 10 144 |
et donc, à part se retrouver avec tous ses fichiers cryptés et bloqués, comment savoir si on est infecté? Ta une fenêtre qui s'affiche pour te demander la rançon une fois le boulot de sape fait. T'inquiète pas, c'est rapide entre l'infection et les symptômes. Parfois, tu as aussi un message de l'anti virus. Mais il faut que l'utilisateur le lise. -------------------- Hackintosh cru 2013 i7 3,5 GHz, Gigabyte Z87X-UD5H, 32 Go, Radeon RX 580, Catalina & Windows 7.1, opencore (0.6.2) & Clover (5107), Magic Trackpad - MacBook Pro cru 2012 15" 2.6GHz, HD Antireflet, 8Go, Catalina - Mac Mini cru 2012 2,5 GHz, 4 Go, High Sierra. iPad Air (4ᵉ génération).
|
|
|
2 Mar 2016, 07:39
Message
#32
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 375 Inscrit : 14 Nov 2002 Lieu : Jura Seek Park Membre no 4 679 |
Pour ceux qui se croient à l'abri avec un antivirus, vous pouvez vous dire que cela ne sert à rien.
Nos clients, tous équipés, avec des antivirus divers tous à jour, se sont pour certains, fait piégés de la même manière par cette saleté. Les concepteurs de Locky n'y vont pas avec le dos de la cuillère. Ils mettent au point une nouvelle version de leur code, que les antivirus ne reconnaissent pas, et dans la foulée ils inondent les sociétés avec des mails contenant ce code. Le temps que les éditeurs réagissent, il s'écoule 1 jour ou 2. Et durant ce laps de temps, Locky a pourri un nombre incalculable de machines. Et ils en sortent tous les jours des versions... Il y a une similitude avec Dridex qui me laisse penser que les gars derrière sont les mêmes. La meilleure des protections aujourd'hui, c'est la vigilance. Et la meilleure des préventions c'est bien la sauvegarde. Et même la sauvegarde de la sauvegarde. Ce qui nous a sauvé la vie en l'occurrence. Le disque réseau se copiant sur un jumeau, avec des copies journalières et hebdomadaires, on a pu récupérer les données. Car quand on ne s'aperçoit pas tout de suite des dégâts, et qu'une sauvegarde se fait, on peut se retrouver avec des données cryptées sur le backup... -------------------- Killed by M4K. In TO veritas :-)
|
|
|
4 Mar 2016, 08:54
Message
#33
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 396 Inscrit : 8 Feb 2005 Lieu : Lutécien n'étant rien et sans dents Membre no 32 633 |
Attention aux fausses factures Free Mobile voir l'article de Silicon (entre autres)
-------------------- signature éditée car non conforme aux recommandations après plus de 6 ans d'utilisation il était effectivement temps…
|
|
|
4 Mar 2016, 14:20
Message
#34
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 720 Inscrit : 16 Dec 2004 Lieu : neuilly plaisance Membre no 28 949 |
Elles se présentent comment ces fausses factures Free ?
Écrites en bon français ou "Franssé" ? Moi j'ai pour habitude de les consulter sur le site Free, quand j'en ai besoin. Plus sur non ? -------------------- * Mac Pro 2009 bi processeur flashé 5.1 Cinema Display 30 pouces 20 giga de ram sous 10.14
* Cinema Display 30 pouces * Samsung UE55D * Hp Officejet 6600 * Hp Laserjet P1102 * Hp Color Laserjet Pro M252DW * Macbook Pro Fin 2011 sous High Sierra * I Phone 4S blanc 64 go * Xiaomi Mi 11 5G 256go * PC de secours dans boitier Cooler Master Wave Master (je cherche l'aquagate watercooling) |
|
|
4 Mar 2016, 14:26
Message
#35
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
D'après ce que j'ai vu passer, les soit-disant factures sont des pièces jointes zippées. C'est la tentative d'ouverture de ce fichier qui libère le ransomware, et là c'est trop tard.
Il n'y aucune facture à consulter ni vraie ni fausse. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
4 Mar 2016, 14:31
Message
#36
|
|
Adepte de Macbidouille Groupe : Membres Messages : 161 Inscrit : 6 Sep 2004 Lieu : entre la chaise et le clavier Membre no 23 160 |
juste pour info , il y a une erreur dans le code source html de la news (on voit un lien incorrect vers une image en début de liste des extensions) ce qui empêche d'afficher quelques extensions de fichiers ciblés.
voici le code non affiché avec les extensions ciblées: <img src=".mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg">, -------------------- "What else?" - George Clooney
|
|
|
4 Mar 2016, 15:12
Message
#37
|
|
Nouveau Membre Groupe : Membres Messages : 10 Inscrit : 25 Jan 2012 Membre no 174 094 |
Il y a plusieurs solutions pour évité de se faire véroler :
-Désactiver les macro dans Office ( via GPO ) -Si vous avez APP locker de dispo sur votre OS Windows 7/8/10 bloquer l’exécution des programmes dans Windows\Temp et Utilisateurs\*\AppData -Détacher les .JS contenus dans les pièces jointes des mails via votre serveur de messagerie en entreprise, par contre si le zip à un password c'est mort, mais bon il y en a pas généralement. Avoir un bon antivirus ( j'ai Fsecure avec Deepguard ça fait son taff, mais on est pas à l'abris d'un 0 DAY) |
|
|
4 Mar 2016, 16:15
Message
#38
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 451 Inscrit : 9 Apr 2004 Membre no 17 402 |
J'ai un petit AppleScript compilé en application Automator (placé dans les éléments de démarrage) qui éjecte mes partitions de sauvegarde Time Machine et de clonage bi-quotidien.
Pour les opérations de clonage et de sauvegarde Time Machine, les partitions sont montées puis éjectées à la fin. J'utilise un processus de type "Alarme Calendrier" récurrent (créé avec automator) pour ces tâches, car cron ne permet pas le montage des volumes via un script shell (et oui, Apple y a pensé ! ). Je suppose que ça pourrait éviter la propagation d'un script malveillant. Ce message a été modifié par ekami - 4 Mar 2016, 16:46. -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
4 Mar 2016, 17:55
Message
#39
|
|
Adepte de Macbidouille Groupe : Membres Messages : 97 Inscrit : 3 Sep 2002 Lieu : Bourgogne Sud Membre no 3 386 |
Bonjour, Est-ce qu'un disque interne "démonté" est en totale sécurité? Merci. -------------------- - TRS-80 en 1979 - Apple en 1981 - Hackintosh en 2013 - Linux en 2016 -
|
|
|
4 Mar 2016, 17:57
Message
#40
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 497 Inscrit : 20 Jan 2003 Lieu : Valence Membre no 5 730 |
Elles se présentent comment ces fausses factures Free ? Écrites en bon français ou "Franssé" ? Moi j'ai pour habitude de les consulter sur le site Free, quand j'en ai besoin. Plus sur non ? Elles sont comme les vraies, sauf que y'a un .doc a la place du PDF, et un truc plus ou moins bateau a la place des numéros de téléphone facturés. Dans ma boite, un couillon s'est fait prendre, on s'en est aperçu dans l'heure qui a suivi (pas le couillon) Pour savoir d'ou vient l'infection, il suffit de regarder le propriétaire du fichier texte qui explique comment payer la rançon, a partir de la, vous avez le couillon et vous pouvez aller vite couper son pc du réseau. En général, le couillon a une intelligence supérieure a la moyenne (il est chef), il ne lit pas les notes d'appel à la vigilance diffusées par le service info, car il n'a pas le temps et il est de toute façon immunisé par son intelligence supérieure. il trouvera par contre le temps d'ouvrir une fausse facture de Free alors qu'il n'est abonné qu'a des forfaits Orange ou SFR a 100 boules/mois. Le chef, n'a pas le temps de signaler que son pc est pourri de fichiers bizarres avec des messages tout autant suspects. C'est aussi le premier a râler au service info pour récupérer son pc encore vérolé qu'on lui a confisqué, alors qu'il a salopé une quinzaine de serveurs. D'apres nos statistiques, 50% des infections virales déclenchées dans notre groupe sont le fait de Responsables haut placés, qui ne représentent même pas 10% des effectifs. Fin de la parenthese mais ça fait du bien de se lâcher ! En 3 quarts d'heure, le locky a été capable d'explorer le réseau et infecter une quinzaine de serveurs répartis sur autant de sites. on a passé 3 jours a faire des recherches et restaurer les docs cryptés. évidemment il crypte au hasard, dans des sous dossiers, et sans logique apparente, ce qui oblige a faire des recherches minutieuses. Donc celui la ne se contente pas de fouiller les disques réseaux montés sur le pc, mais explore tout le voisinage réseau et tape dans tous les partages qu'il trouve... Mais un grand merci a Macbidouille, j'ai fait un condensé de l'article le matin même en diffusion générale, et suite a ca, un collaborateur m'a indiqué qu'il avait trouvé un fichier .locky l'après midi même ! on aura gagné du temps. Ce message a été modifié par fabounio - 4 Mar 2016, 18:23. -------------------- Macpro 1.1 i2.66 Ghz 12go El Capitan sur SSD. Macbook pro 13" retina 2014
Vintage : Atari Mega ST4 8Mhz,4mo Ram, 1go HD, Atari Falcon 030 overclocké@25mhz 14Mo ram, HD 8 Go SCSI. Cubase Audio. Synthé MIDI des années 80. http://www.fabx.org Membre actif de l'association des Accros de l'amiga : http://www.triplea.fr |
|
|
4 Mar 2016, 18:38
Message
#41
|
|
Adepte de Macbidouille Groupe : Membres Messages : 49 Inscrit : 28 Dec 2004 Membre no 29 619 |
Dans ma boite, un couillon s'est fait prendre, on s'en est aperçu dans l'heure qui a suivi (pas le couillon) Pour savoir d'ou vient l'infection, il suffit de regarder le propriétaire du fichier texte qui explique comment payer la rançon, a partir de la, vous avez le couillon et vous pouvez aller vite couper son pc du réseau. En général, le couillon a une intelligence supérieure a la moyenne (il est chef), il ne lit pas les notes d'appel à la vigilance diffusées par le service info, car il n'a pas le temps et il est de toute façon immunisé par son intelligence supérieure. il trouvera par contre le temps d'ouvrir une fausse facture de Free alors qu'il n'est abonné qu'a des forfaits Orange ou SFR a 100 boules/mois. Le chef, n'a pas le temps de signaler que son pc est pourri de fichiers bizarres avec des messages tout autant suspects. C'est aussi le premier a râler au service info pour récupérer son pc encore vérolé qu'on lui a confisqué, alors qu'il a salopé une quinzaine de serveurs. D'apres nos statistiques, 50% des infections virales déclenchées dans notre groupe sont le fait de Responsables haut placés, qui ne représentent même pas 10% des effectifs. Fin de la parenthese mais ça fait du bien de se lâcher ! -------------------- Mac un jour, Mac toujours...
|
|
|
4 Mar 2016, 19:31
Message
#42
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 244 Inscrit : 26 Jan 2004 Membre no 13 782 |
Fin de la parenthese mais ça fait du bien de se lâcher ! Mouais, ça dépend où... J'ai connu des slips qui... euh, non rien. -------------------- JE SUIS CHARLIE mais je suis toujours amateur d'andouillettes AAAAA.
Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. (J.Rouxel) |
|
|
4 Mar 2016, 20:02
Message
#43
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 5 064 Inscrit : 19 Feb 2002 Lieu : BZH Membre no 2 083 |
juste pour info , il y a une erreur dans le code source html de la news (on voit un lien incorrect vers une image en début de liste des extensions) ce qui empêche d'afficher quelques extensions de fichiers ciblés. voici le code non affiché avec les extensions ciblées: <img src=".mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg">, Corrigé, merci pour l'info Mais un grand merci a Macbidouille, j'ai fait un condensé de l'article le matin même en diffusion générale, et suite a ca, un collaborateur m'a indiqué qu'il avait trouvé un fichier .locky l'après midi même ! on aura gagné du temps. Et bien ça fait plaisir :-) Merci. On essaye de condenser l'info pour la rendre plus digeste, et informer nos Mac Users qui, pour certains, se croient à l'abri grâce à leur système favori ;-) Les enjeux de sécurité ont toujours été primordiaux, mais l'émergence d'un croisement encore plus pénétrant de divers vecteurs impose une vigilance au quotidien. -------------------- Quis custodiet ipsos custodes ? - Lorsqu'un sujet est résolu, merci d'indiquer [Résolu] dans le titre de votre post !
Luttons contre le style SMS !!! iPhone 14Pro Max 256 Go iOS 17• MacBook Pro 16 2019 Core i9 - macOS 12.7.2 - 32 GB RAM - 2 TB • @Orange Linux • OPNSense / pfSense • Une pointe de Windows aussi • Enfocus Switch Expert • callas pdfToolBox |
|
|
4 Mar 2016, 22:05
Message
#44
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 485 Inscrit : 24 Jul 2003 Lieu : Ancien du Ch'Nord, nouveau en Breizh (22) Membre no 8 750 |
- Maintenez vos systèmes et applications à jour. Lien vers le billet original Toutes ces conneries vont m'obliger à passer à plus récent que 10.6.8 qui n'est plus maintenu ... et j'en ai vraiment pas envie J'ai appelé une boutique en ligne dans l'après midi, car Firefox ne voulait pas ouvrir la page du site et je souhaitais préparer une commande. D'après la personne que j'ai eu, la nuit passée leur serveur a connu une attaque, et des pages ont été modifiées, avec un "virus" permettant d'infecter les personnes se connectant sur certaines pages telles que contact -------------------- Si tu te tapes la tête contre un vase et que ça sonne creux, n’en déduis pas pour autant que le vase est vide.
Sagesse asiatique |
|
|
4 Mar 2016, 23:53
Message
#45
|
|
Adepte de Macbidouille Groupe : Membres Messages : 107 Inscrit : 31 Dec 2004 Lieu : AZ/Usa Membre no 29 791 |
Elles se présentent comment ces fausses factures Free ? Écrites en bon français ou "Franssé" ? Moi j'ai pour habitude de les consulter sur le site Free, quand j'en ai besoin. Plus sur non ? Pour en avoir reçu une il y a quelques temps non si je me souviens bien. Une chose est sure, elle n’était pas rédigée de manière habituelle et surtout, la provenance était différente. Autre chose le date butoir de paiement ne correspondait pas. -------------------- MacMini 2018 i7 3.2 Ghz 32Go acheté d'occase.
MacBook air 2019 i5 1.6Ghz, 16Go acheté d'occase. Apple TV4 (parce que je l'ai trouvée pour 30$ celle ci) Raspberry Pi 3 B |
|
|
6 Mar 2016, 20:01
Message
#46
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 019 Inscrit : 3 Oct 2004 Lieu : Aix en Provence (Bouches du Rhône) Membre no 24 606 |
Je viens de lire cet article https://slice42.com/mac/2016/03/keranger-le...smission-35521/
Autre article chez la concurrence : http://www.macg.co/logiciels/2016/03/trans...ersion-29-93271 Ce message a été modifié par Sardequin - 6 Mar 2016, 20:05. -------------------- |
|
|
6 Mar 2016, 20:45
Message
#47
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 414 Inscrit : 29 Aug 2006 Lieu : un pti' coin sympa... Membre no 66 860 |
Il y a plusieurs solutions pour évité de se faire véroler : -Désactiver les macro dans Office ( via GPO ) -Si vous avez APP locker de dispo sur votre OS Windows 7/8/10 bloquer l’exécution des programmes dans Windows\Temp et Utilisateurs\*\AppData -Détacher les .JS contenus dans les pièces jointes des mails via votre serveur de messagerie en entreprise, par contre si le zip à un password c'est mort, mais bon il y en a pas généralement. Avoir un bon antivirus ( j'ai Fsecure avec Deepguard ça fait son taff, mais on est pas à l'abris d'un 0 DAY) Je suis en train de pousser applocker sur des serveur rds à la boite, c'est pas si facile à mettre en place -------------------- Dell XPS 15" 2017, Windows 10 - Macbook pro 13" fin 2009, El Capitan - PC Artisanal 2009, Windows 10 - Serveur Artisanal 2011, FreeNAS 9 - Serveur Synology DS414, DSM 6
|
|
|
6 Mar 2016, 23:09
Message
#48
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 934 Inscrit : 6 Sep 2007 Membre no 94 277 |
Je viens de lire cet article https://slice42.com/mac/2016/03/keranger-le...smission-35521/ Autre article chez la concurrence : http://www.macg.co/logiciels/2016/03/trans...ersion-29-93271 Ouille, j'imagine qu'on va le voir arriver sous différentes formes surtout si il se cache derrière un fichier rtf... |
|
|
8 Mar 2016, 07:39
Message
#49
|
|
Macbidouilleur d'Or ! Groupe : Ancien de la team Messages : 3 091 Inscrit : 22 Apr 2001 Lieu : Fougères Membre no 171 |
Juste une question: un utilisateur contaminé peut-il en contaminer d'autres via des dossiers partagés d'un "nuage" comme dropbox, synology cloud station, le cloud orange, microsoft onedrive....
-------------------- Pas de macPro mais 4 Hackintoshs sous yosemite (10.10.2) dont un fanless en guise de médiacenter et un hexacore i7 (20223 sous geekbench), Macbook pro 15' et 13' i7 2012 sous 10.11.2,
|
|
|
8 Mar 2016, 07:49
Message
#50
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 150 Inscrit : 31 Oct 2003 Membre no 11 118 |
Oui, vu que les dossiers partagés style Dropbox et autres Drive sont "de simples" dossiers pour l'ordi.
-------------------- |
|
|
10 Mar 2016, 15:40
Message
#51
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 831 Inscrit : 19 Jul 2001 Lieu : Живим у Греноблу Membre no 519 |
On vient de se faire infecté le serveur de partage. Heureusement, on a des sauvegardes journalières et hebdomadaires. La journalière étant corrompue elle aussi...
Ce que je ne comprends pas, c'est comment un fichier .js dans un .zip permet d'infecter un ordi sous Windows... Comment le zip arrive à lancer le .js en automatique ? Vous avez une explication ? -------------------- Хајде Јано коло да играмо
iMac 27 mi 2010 Macbook air mi 2011 Mac Mini M1 |
|
|
Nous sommes le : 26th April 2024 - 12:58 |