Il est possible de récupérer les données des PC infectés par WCry, Réactions à la publication du 19/05/2017 |
Bienvenue invité ( Connexion | Inscription )
Il est possible de récupérer les données des PC infectés par WCry, Réactions à la publication du 19/05/2017 |
19 May 2017, 06:05
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Adrien Guinet, un chercheur français, a publié un logiciel qui devrait permettre de récupérer les données chiffrées par le cheval de Troie WCry sous XP. Pour rappel, cela fait suite à l'attaque sans précédent de la fin de la semaine dernière qui, utilisant une faille de sécurité, a infecté des centaines de milliers de PC.
Le logiciel n'a pas été testé totalement mais il n'aidera qu'une partie des personnes touchées. Il faut en effet le lancer sans avoir redémarré la machine depuis son infection. Or, ce redémarrage est souvent la première tentative faite par les victimes pour tenter de se sortir d'un gros problème. Cette limitation est liée au fait que la clé de chiffrement, si elle est effacée du disque dur, ne l'est pas de la RAM. Le logiciel tente alors de la récupérer via un dump de cette mémoire. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
19 May 2017, 08:15
Message
#2
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 562 Inscrit : 6 Apr 2005 Membre no 36 646 |
C'est bien mais ça risque, en effet, de ne vraiment pas aider grand monde
|
|
|
19 May 2017, 08:28
Message
#3
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 575 Inscrit : 12 Oct 2004 Lieu : Montreuil Membre no 25 070 |
Changer la RAM ???
-------------------- Jamais je n'achéterai un MacBook Pro avec un disque dur soudé.
|
|
|
19 May 2017, 08:49
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 736 Inscrit : 28 Oct 2008 Membre no 124 528 |
C'est bien mais ça risque, en effet, de ne vraiment pas aider grand monde Oui, ça aidera seulement les postes en service 24/24, tels que les postes utilisés comme serveurs... -------------------- AdBlock désactivé sur MB
|
|
|
19 May 2017, 09:08
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 796 Inscrit : 24 Dec 2006 Lieu : "Over The Rainbow" Membre no 76 401 |
Changer la RAM ??? Surtout pas en fait car on ne pourrait pas récupérer la clef de chiffrement, et la cela serait vraiment fichu. -------------------- - Macbook Pro M1 Pro 16.2"
- Macbook Pro TouchBar 15.4" T1 - 512GB/core i7@2,7Ghz - A VENDRE - Clavier neuf et batterie neuve, changés début 2023 (Garanti 6 mois) - SSD Samsung nVme toujours à 2,5GB/s - Gris sidéral - Macbook Air 13,3" core i5 - iMac 27" core i5 - iPhone14 - Apple Watch 8 - Fbx Delta Devialet |
|
|
19 May 2017, 09:55
Message
#6
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 326 Inscrit : 19 Nov 2002 Lieu : Paris Membre no 4 748 |
La question que je me pose :
il semble que le ransonware propose de déchiffrer "gratuitement" quelques fichiers ? Si c'est le cas la clef doit bien être téléchargée pour arriver sur le poste en local, il suffit alors de la chopper à ce moment et bingo (si la communication n'est pas en SSL alors en sniffant le packet on est bon). |
|
|
19 May 2017, 10:06
Message
#7
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 603 Inscrit : 5 Aug 2006 Membre no 65 390 |
Quand on a redémarré, le virus arrête d'agir ???
Parce que s'il continue son boulot après redémarrage c'est qu'il a une nouvelle clé de cryptage non ? Ca ne sauve pas les anciens fichiers mais les nouvellement cryptés devraient l'être. |
|
|
19 May 2017, 11:14
Message
#8
|
|
Adepte de Macbidouille Groupe : Membres Messages : 169 Inscrit : 28 Oct 2006 Membre no 71 564 |
Sans avoir redémarer ?
Et donc sans avoir arrêté ? C'est ça ? -------------------- Apple GS, Mac+, LC, 6200/75, 5500/275, 1400CS, G4 Silver, PowerBook G4 12", iMac 2.4 24", MBP 2.4 17", iPodTouch, iPad 3G, iPad2, iPad 5, iPad Pro 12,9, iPhone4S, 5C, 5S, XR.
|
|
|
19 May 2017, 14:49
Message
#9
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 253 Inscrit : 28 Mar 2011 Membre no 165 999 |
Quand on a redémarré, le virus arrête d'agir ??? Parce que s'il continue son boulot après redémarrage c'est qu'il a une nouvelle clé de cryptage non ? Ca ne sauve pas les anciens fichiers mais les nouvellement cryptés devraient l'être. Non quand tu as redémarré le mal est déjà fait et la clé n'est plus présente en mémoire vive... -------------------- Je suis plus Charlie depuis que
je suis écouté Mac Plus, SE 30, mac si, mac ci,mac lc (1,2,3,4), ppc (presque toutes les machines sauf les G5), imac 2011, macbook pro 2012 i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro! Et mon nouveau beau joujou : 2080 Core + 260 NVIDIA TESLA K20X 4,1 To de RAM et quelques centaines de To stockage! et accessoirement ça chauffe bien! |
|
|
19 May 2017, 15:43
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 244 Inscrit : 18 Jan 2004 Membre no 13 512 |
Dans l'armée et la police il n'y a pas longtemps, il y avait encore une equipe de colombophiles . En cas d'olbliération complète des systèmes de communication on pouvait revenir aux bons vieux pigeons voyageurs.
On ne le répètera jamais assez, pour les ordis, le salut c'est le backup.. En cas de pépin on peut éffacer à 0 le système infecté , ou changer le DD et revenir à celui de 24h ou xjs en quelques cliks. Les DD coûtent de toute façon beaucoup moins cher qu'une quelconque rançon. Apple et leurs DD soudés étant sur ce plan, poutant essentiel, les ordis les plus pourris. pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild ! |
|
|
19 May 2017, 16:34
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 065 Inscrit : 11 Sep 2004 Lieu : Dans les Landes Membre no 23 445 |
elle est donc basée sur un délit d'initié
-------------------- EN commande : iMac Retina 8Go/1To Flash/ M295 4go
Mac Pro 8x2,8 GHz/16 Go RAM/Raid 0 (3 x 1To) + 1 To / 8800 GT + 30" - EN PANNE- Retour à la 2600 HD :-((( G5 bi 2 GHz/3Go RAM/HDint 2x400 Go/ 23" Cinéma Display - OS X 10.6.8 G4 Bi 1,25 / 1,5 Go RAM / HDint : 200+120+120 / qui n'a plus d'écran pour cause de canibalisme par le G5 :) iPod 80Go +iPod Hifi + Bose Companion 3 série II/Souris MX Revolution PowerBook G3 266 /320 Mo RAM / HD 20 Go |
|
|
19 May 2017, 19:42
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild ! Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
19 May 2017, 22:04
Message
#13
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 253 Inscrit : 28 Mar 2011 Membre no 165 999 |
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild ! Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite. Avec des sous le vainqueur peut réécrire l'histoire oups Ou choisir un président Désolé c'était plus fort que moi! M'enfin bon moi je dis chapeau à la recherche française qui avec les peu de moyen qu'on lui donne, permet à un chercheur de sortir au moins quelques personnes et entreprises d'une merde noire en a peine une semaine!!! -------------------- Je suis plus Charlie depuis que
je suis écouté Mac Plus, SE 30, mac si, mac ci,mac lc (1,2,3,4), ppc (presque toutes les machines sauf les G5), imac 2011, macbook pro 2012 i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro! Et mon nouveau beau joujou : 2080 Core + 260 NVIDIA TESLA K20X 4,1 To de RAM et quelques centaines de To stockage! et accessoirement ça chauffe bien! |
|
|
20 May 2017, 00:50
Message
#14
|
|
Nouveau Membre Groupe : Membres Messages : 20 Inscrit : 8 Nov 2005 Membre no 49 610 |
La question que je me pose : il semble que le ransonware propose de déchiffrer "gratuitement" quelques fichiers ? Si c'est le cas la clef doit bien être téléchargée pour arriver sur le poste en local, il suffit alors de la chopper à ce moment et bingo (si la communication n'est pas en SSL alors en sniffant le packet on est bon). les 10 fichiers qui peuvent etre dechiffrés gratuitement sont chiffrés avec des clés a parts ( ces clé sont enregistrés sur le disque, pas besoin de communiquer la clé de déchiffrement). Celle qui chiffre tous les fichiers n'est pas sauvegarder. Et c'est mort, vu que ládresse bitcoin n'est pas unique, il n'y a aucun moyen de savoir si on a payé ou non... et personne n'a su recuperer les données, même en payant... -------------------- Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité
|
|
|
20 May 2017, 01:16
Message
#15
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 253 Inscrit : 28 Mar 2011 Membre no 165 999 |
La question que je me pose : il semble que le ransonware propose de déchiffrer "gratuitement" quelques fichiers ? Si c'est le cas la clef doit bien être téléchargée pour arriver sur le poste en local, il suffit alors de la chopper à ce moment et bingo (si la communication n'est pas en SSL alors en sniffant le packet on est bon). les 10 fichiers qui peuvent etre dechiffrés gratuitement sont chiffrés avec des clés a parts ( ces clé sont enregistrés sur le disque, pas besoin de communiquer la clé de déchiffrement). Celle qui chiffre tous les fichiers n'est pas sauvegarder. Et c'est mort, vu que ládresse bitcoin n'est pas unique, il n'y a aucun moyen de savoir si on a payé ou non... et personne n'a su recuperer les données, même en payant... Marrant de crypter les 10 premiers fichiers avec une clé bidon -------------------- Je suis plus Charlie depuis que
je suis écouté Mac Plus, SE 30, mac si, mac ci,mac lc (1,2,3,4), ppc (presque toutes les machines sauf les G5), imac 2011, macbook pro 2012 i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro! Et mon nouveau beau joujou : 2080 Core + 260 NVIDIA TESLA K20X 4,1 To de RAM et quelques centaines de To stockage! et accessoirement ça chauffe bien! |
|
|
24 May 2017, 09:07
Message
#16
|
|
Adepte de Macbidouille Groupe : Membres Messages : 45 Inscrit : 12 Oct 2009 Membre no 143 677 |
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild ! Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite. Non désolé mais ce sont les fait, incontestables, c'est ainsi. |
|
|
24 May 2017, 10:46
Message
#17
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 594 Inscrit : 28 Mar 2008 Membre no 111 113 |
pour l'histoire.... C’est au pigeon voyageur que la famille Rothschild doit en grande partie sa fortune. Le soir du 18 juin 1815, le canon avait à peine cessé de se faire entendre à Waterloo que le télégraphe à signaux aériens signalait que la bataille était gagnée pour… on ne put le savoir, le brouillard intense avait empêché les guetteurs de lire la phrase aérienne. On pensa de suite à Londres que les Français étaient vainqueurs. Une panique indescriptible s’empara de la ville, les cours de la bourse s’effondrèrent. Mais un pigeon, arrivé chez Rothschild, lui apprit la victoire des troupes de Wellington ; il eut soin de taire la grande nouvelle et effectua massivement des achats à des prix de guerre. Ce ne fut que trois jours après la bataille que le gouvernement anglais fut avisé de la défaite de Napoléon. La nouvelle, tombant alors dans le domaine public, provoqua une hausse générale des fonds et la fortune des Rothschild ! Intéressant, sauf que quand on fouille un peu pour en savoir plus sur cette histoire on apprend que cette version est contestée et qu'elle émanerait d'un pamphlet antisémite. Non désolé mais ce sont les fait, incontestables, c'est ainsi. Ce ne sont pas les faits, ils sont contestés, et c'est ainsi. http://www.independent.co.uk/news/uk/home-...e-10216101.html https://en.wikipedia.org/wiki/Nathan_Mayer_...Waterloo_legend -------------------- "Heartbreaker" G3 B&W 300 overclock 400 MHz, PowerBook G4 "Alu" 15" 1.25 GHz (avec SSD mSATA), G4 AGP 400 MHz, MDD bipro 867 MHz, MDD mono 1.25 GHz (deuxième alim. en panne), Quicksilver 800 MHz (avec alim. ATX), tous sous Tiger. iPod Touch "Original" 32 Go sous iOS 3.1.3.
Et un MHack : CM MSI 7046 Rev. 1, Intel P4 (32 bits, monocoeur, HT, SSE3, 3.4 GHz), CG GeForce 9500GS. Avec Chameleon et Snow Leopard. A part la veille et le haut-parleur interne, tout marche. |
|
|
Nous sommes le : 28th April 2024 - 03:52 |