Les ravages du rançongiciel (ransomware), Réactions à la publication du 24/02/2016

[aranaud]

et donc, à part se retrouver avec tous ses fichiers cryptés et bloqués, comment savoir si on est infecté?

Ta une fenêtre qui s'affiche pour te demander la rançon une fois le boulot de sape fait. T'inquiète pas, c'est rapide entre l'infection et les symptômes.

Parfois, tu as aussi un message de l'anti virus. Mais il faut que l'utilisateur le lise.

[m4k-hurrican]

Pour ceux qui se croient à l'abri avec un antivirus, vous pouvez vous dire que cela ne sert à rien.
Nos clients, tous équipés, avec des antivirus divers tous à jour, se sont pour certains, fait piégés de la même manière par cette saleté.
Les concepteurs de Locky n'y vont pas avec le dos de la cuillère. Ils mettent au point une nouvelle version de leur code, que les antivirus ne reconnaissent pas, et dans la foulée ils inondent les sociétés avec des mails contenant ce code. Le temps que les éditeurs réagissent, il s'écoule 1 jour ou 2. Et durant ce laps de temps, Locky a pourri un nombre incalculable de machines. Et ils en sortent tous les jours des versions... Il y a une similitude avec Dridex qui me laisse penser que les gars derrière sont les mêmes.
La meilleure des protections aujourd'hui, c'est la vigilance.
Et la meilleure des préventions c'est bien la sauvegarde. Et même la sauvegarde de la sauvegarde. Ce qui nous a sauvé la vie en l'occurrence. Le disque réseau se copiant sur un jumeau, avec des copies journalières et hebdomadaires, on a pu récupérer les données. Car quand on ne s'aperçoit pas tout de suite des dégâts, et qu'une sauvegarde se fait, on peut se retrouver avec des données cryptées sur le backup...

[Hi_RAM]

Attention aux fausses factures Free Mobile voir l'article de Silicon (entre autres)

[kenzo05000]

Elles se présentent comment ces fausses factures Free ?
Écrites en bon français ou "Franssé" ?
Moi j'ai pour habitude de les consulter sur le site Free, quand j'en ai besoin.
Plus sur non ?

[yponomeute]

D'après ce que j'ai vu passer, les soit-disant factures sont des pièces jointes zippées. C'est la tentative d'ouverture de ce fichier qui libère le ransomware, et là c'est trop tard.
Il n'y aucune facture à consulter ni vraie ni fausse.

[captaindid]

juste pour info , il y a une erreur dans le code source html de la news (on voit un lien incorrect vers une image en début de liste des extensions) ce qui empêche d'afficher quelques extensions de fichiers ciblés.
voici le code non affiché avec les extensions ciblées:
<img src=".mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg">,

[bugman23]

Il y a plusieurs solutions pour évité de se faire véroler :

-Désactiver les macro dans Office ( via GPO )

-Si vous avez APP locker de dispo sur votre OS Windows 7/8/10 bloquer l’exécution des programmes dans Windows\Temp et Utilisateurs\*\AppData

-Détacher les .JS contenus dans les pièces jointes des mails via votre serveur de messagerie en entreprise, par contre si le zip à un password c'est mort, mais bon il y en a pas généralement.


Avoir un bon antivirus ( j'ai Fsecure avec Deepguard ça fait son taff, mais on est pas à l'abris d'un 0 DAY)

[ekami]

J'ai un petit AppleScript compilé en application Automator (placé dans les éléments de démarrage) qui éjecte mes partitions de sauvegarde Time Machine et de clonage bi-quotidien.
Pour les opérations de clonage et de sauvegarde Time Machine, les partitions sont montées puis éjectées à la fin.
J'utilise un processus de type "Alarme Calendrier" récurrent (créé avec automator) pour ces tâches, car cron ne permet pas le montage des volumes via un script shell (et oui, Apple y a pensé ! ).
Je suppose que ça pourrait éviter la propagation d'un script malveillant.

Ce message a été modifié par ekami - 4 Mar 2016, 16:46.

[pierre07]

 
Bonjour,

Est-ce qu'un disque interne "démonté" est en totale sécurité? Merci.
 

[fabounio]

Elles se présentent comment ces fausses factures Free ?
Écrites en bon français ou "Franssé" ?
Moi j'ai pour habitude de les consulter sur le site Free, quand j'en ai besoin.
Plus sur non ?

Elles sont comme les vraies, sauf que y'a un .doc a la place du PDF, et un truc plus ou moins bateau a la place des numéros de téléphone facturés.

Dans ma boite, un couillon s'est fait prendre, on s'en est aperçu dans l'heure qui a suivi (pas le couillon)
Pour savoir d'ou vient l'infection, il suffit de regarder le propriétaire du fichier texte qui explique comment payer la rançon, a partir de la, vous avez le couillon et vous pouvez aller vite couper son pc du réseau.
En général, le couillon a une intelligence supérieure a la moyenne (il est chef), il ne lit pas les notes d'appel à la vigilance diffusées par le service info, car il n'a pas le temps et il est de toute façon immunisé par son intelligence supérieure. il trouvera par contre le temps d'ouvrir une fausse facture de Free alors qu'il n'est abonné qu'a des forfaits Orange ou SFR a 100 boules/mois. Le chef, n'a pas le temps de signaler que son pc est pourri de fichiers bizarres avec des messages tout autant suspects. C'est aussi le premier a râler au service info pour récupérer son pc encore vérolé qu'on lui a confisqué, alors qu'il a salopé une quinzaine de serveurs.
D'apres nos statistiques, 50% des infections virales déclenchées dans notre groupe sont le fait de Responsables haut placés, qui ne représentent même pas 10% des effectifs.
Fin de la parenthese mais ça fait du bien de se lâcher !

En 3 quarts d'heure, le locky a été capable d'explorer le réseau et infecter une quinzaine de serveurs répartis sur autant de sites. on a passé 3 jours a faire des recherches et restaurer
les docs cryptés. évidemment il crypte au hasard, dans des sous dossiers, et sans logique apparente, ce qui oblige a faire des recherches minutieuses.
Donc celui la ne se contente pas de fouiller les disques réseaux montés sur le pc, mais explore tout le voisinage réseau et tape dans tous les partages qu'il trouve...

Mais un grand merci a Macbidouille, j'ai fait un condensé de l'article le matin même en diffusion générale, et suite a ca, un collaborateur m'a indiqué qu'il avait trouvé un fichier .locky l'après midi même ! on aura gagné du temps.

Ce message a été modifié par fabounio - 4 Mar 2016, 18:23.

[Emeres]

Dans ma boite, un couillon s'est fait prendre, on s'en est aperçu dans l'heure qui a suivi (pas le couillon)
Pour savoir d'ou vient l'infection, il suffit de regarder le propriétaire du fichier texte qui explique comment payer la rançon, a partir de la, vous avez le couillon et vous pouvez aller vite couper son pc du réseau.
En général, le couillon a une intelligence supérieure a la moyenne (il est chef), il ne lit pas les notes d'appel à la vigilance diffusées par le service info, car il n'a pas le temps et il est de toute façon immunisé par son intelligence supérieure. il trouvera par contre le temps d'ouvrir une fausse facture de Free alors qu'il n'est abonné qu'a des forfaits Orange ou SFR a 100 boules/mois. Le chef, n'a pas le temps de signaler que son pc est pourri de fichiers bizarres avec des messages tout autant suspects. C'est aussi le premier a râler au service info pour récupérer son pc encore vérolé qu'on lui a confisqué, alors qu'il a salopé une quinzaine de serveurs.
D'apres nos statistiques, 50% des infections virales déclenchées dans notre groupe sont le fait de Responsables haut placés, qui ne représentent même pas 10% des effectifs.
Fin de la parenthese mais ça fait du bien de se lâcher !

[FolasEnShort]

Fin de la parenthese mais ça fait du bien de se lâcher !

Mouais, ça dépend où... J'ai connu des slips qui... euh, non rien.

[trouspinette]

juste pour info , il y a une erreur dans le code source html de la news (on voit un lien incorrect vers une image en début de liste des extensions) ce qui empêche d'afficher quelques extensions de fichiers ciblés.
voici le code non affiché avec les extensions ciblées:
<img src=".mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg">,

Corrigé, merci pour l'info

Mais un grand merci a Macbidouille, j'ai fait un condensé de l'article le matin même en diffusion générale, et suite a ca, un collaborateur m'a indiqué qu'il avait trouvé un fichier .locky l'après midi même ! on aura gagné du temps.

Et bien ça fait plaisir :-) Merci.

On essaye de condenser l'info pour la rendre plus digeste, et informer nos Mac Users qui, pour certains, se croient à l'abri grâce à leur système favori ;-)

Les enjeux de sécurité ont toujours été primordiaux, mais l'émergence d'un croisement encore plus pénétrant de divers vecteurs impose une vigilance au quotidien.

[brenda]

- Maintenez vos systèmes et applications à jour.
Lien vers le billet original

Toutes ces conneries vont m'obliger à passer à plus récent que 10.6.8 qui n'est plus maintenu ... et j'en ai vraiment pas envie

J'ai appelé une boutique en ligne dans l'après midi, car Firefox ne voulait pas ouvrir la page du site et je souhaitais préparer une commande.
D'après la personne que j'ai eu, la nuit passée leur serveur a connu une attaque, et des pages ont été modifiées, avec un "virus" permettant d'infecter les personnes se connectant sur certaines pages telles que contact

[onclepixel]

Elles se présentent comment ces fausses factures Free ?
Écrites en bon français ou "Franssé" ?
Moi j'ai pour habitude de les consulter sur le site Free, quand j'en ai besoin.
Plus sur non ?

Pour en avoir reçu une il y a quelques temps non si je me souviens bien. Une chose est sure, elle n’était pas rédigée de manière habituelle et surtout, la provenance était différente. Autre chose le date butoir de paiement ne correspondait pas.

[Sardequin]

Je viens de lire cet article https://slice42.com/mac/2016/03/keranger-le...smission-35521/

Autre article chez la concurrence : http://www.macg.co/logiciels/2016/03/trans...ersion-29-93271

Ce message a été modifié par Sardequin - 6 Mar 2016, 20:05.

[Fabz]

Il y a plusieurs solutions pour évité de se faire véroler :

-Désactiver les macro dans Office ( via GPO )

-Si vous avez APP locker de dispo sur votre OS Windows 7/8/10 bloquer l’exécution des programmes dans Windows\Temp et Utilisateurs\*\AppData

-Détacher les .JS contenus dans les pièces jointes des mails via votre serveur de messagerie en entreprise, par contre si le zip à un password c'est mort, mais bon il y en a pas généralement.


Avoir un bon antivirus ( j'ai Fsecure avec Deepguard ça fait son taff, mais on est pas à l'abris d'un 0 DAY)

Je suis en train de pousser applocker sur des serveur rds à la boite, c'est pas si facile à mettre en place

[scoub_rosnoen]

Je viens de lire cet article https://slice42.com/mac/2016/03/keranger-le...smission-35521/

Autre article chez la concurrence : http://www.macg.co/logiciels/2016/03/trans...ersion-29-93271

Ouille, j'imagine qu'on va le voir arriver sous différentes formes surtout si il se cache derrière un fichier rtf...

[fifi]

Juste une question: un utilisateur contaminé peut-il en contaminer d'autres via des dossiers partagés d'un "nuage" comme dropbox, synology cloud station, le cloud orange, microsoft onedrive....

[hellomorld]

Oui, vu que les dossiers partagés style Dropbox et autres Drive sont "de simples" dossiers pour l'ordi.

[SuperCed]

On vient de se faire infecté le serveur de partage. Heureusement, on a des sauvegardes journalières et hebdomadaires. La journalière étant corrompue elle aussi...

Ce que je ne comprends pas, c'est comment un fichier .js dans un .zip permet d'infecter un ordi sous Windows... Comment le zip arrive à lancer le .js en automatique ?

Vous avez une explication ?