Un nouveau ransomware cible les Mac, Réactions à la publication du 01/07/2020

[Lionel]

Malwarebytes rapporte qu'un nouveau ransomware ciblant les utilisateurs de Mac a été découvert.
Caché sur une version piratée de Little Snitch disponible sur les forums russes, le logiciel malveillant fait croire à une installation légitime.

Une fois installé il va chiffrer quelques fichiers cruciaux de la machine provoquant une impossibilité d'accéder à des données.

Soyez donc prudents et assurez-vous que la source de vos logiciels est de toute confiance.

Lien vers le billet original

[Skan]

Pour le système je ne dis pas, mais pour les photos et tout le touintouin, un Timemachine devrait être une bonne solution?

[raoulito]

Pour le système je ne dis pas, mais pour les photos et tout le touintouin, un Timemachine devrait être une bonne solution?

elle sera cryptée egalement comme tout volume relié à l'ordinateur, c'est ainsi que fonctionnent les ransomwares

[Fatch2]

En plus avec l’impossibilité de changer ton disque dur (soudé) tu n’as plus qu’a jeter ta machine.

Ce message a été modifié par Fatch2 - 1 Jul 2020, 09:00.

[jack'alarach]

Bonjour,

question d'un néophyte : une réinstallation complète du système suite à un ransomware n'est pas possible ?

[fxn]

En plus avec l’impossibilité de changer ton disque dur (soudé) tu n’as plus qu’a jeter ta machine.

faux, tu peux encore "tout écraser" de toute façon

[jack'alarach]

En plus avec l’impossibilité de changer ton disque dur (soudé) tu n’as plus qu’a jeter ta machine.

faux, tu peux encore "tout écraser" de toute façon

Donc, on peut réinstaller le système et recopier à partir d'un clone ou time machine (si pas branché à l'ordi au moment de l'activation du ransomware) ?

[fudo]

A priori tous les fichiers sur les volumes cryptés seront perdus
Mais rien n'empêche de booter sur une clé USB pour réinstaller le système.
Si il ne peux crypter que le fichier système ça va... si il arrive à crypter les autres volumes sur le même ou d'autres disques, là c'est plus flippant.

Comment se passe la ransom... j'imagine que les 50$ faut les virer sur un compte en bitcoin
Faudrait juste comme pour l'argent sal tracer l'argent et remonter à l'identité et pour cela ne pas permettre l'anonymat des comptes bancaires. et là y aurait plus de problème.

Ce message a été modifié par fudo - 1 Jul 2020, 09:26.

[CGDP]

Quand on utilise des logiciels piratés, on s'expose à des risques . . .

Achetez vos logiciels et vous serez tranquille ...

Ce message a été modifié par CGDP - 1 Jul 2020, 09:30.

[Mac Arthur]

Quand on utilise des logiciels piratés, on s'expose à des risques . . .

Achetez vos logiciels et vous serez tranquille ...

Surtout pour Little Snitch qui sert pour certains à bloquer les connexions vers les serveurs des Éditeurs de logiciels pour justement vérifier que le logiciel a bien été acheté

[jack'alarach]

Cela me fait penser à une discussion que j'ai eue avec une société qui proposait des solutions de sauvegarde. Comme je n'étais pas intéressé par leur offre, la commerciale a tenté de me faire peur en m'affirmant que : je pouvais être infecté (malgré mes solutions déjà existantes) par un virus ou ransomware mais qui ne se déclencheraient qu'à un moment pré-établi par le hacker (dans 1 jour comme dans 3 mois...) ou par un mot clé tapé sur mon clavier. Est-ce possible ? Je pensais que les ransomware ou virus se déclenchaient dès l'installation. Merci de m'éclairer sur ce point.

Ce message a été modifié par jack'alarach - 1 Jul 2020, 09:42.

[clarusad]

un virus ou ransomware mais qui ne se déclencheraient qu'à un moment pré-établi par le hacker (dans 1 jour comme dans 3 mois...) ou par un mot clé tapé sur mon clavier. Est-ce possible ? Je pensais que les ransomware ou virus se déclenchaient dès l'installation.

Tu penses incomplètement juste ;-)
Lors de l'install, le virus s'active mais il attend un moment précis qui peut être 1 second, 1mois ou un ordre du hacker

[jack'alarach]

un virus ou ransomware mais qui ne se déclencheraient qu'à un moment pré-établi par le hacker (dans 1 jour comme dans 3 mois...) ou par un mot clé tapé sur mon clavier. Est-ce possible ? Je pensais que les ransomware ou virus se déclenchaient dès l'installation.

Tu penses incomplètement juste ;-)
Lors de l'install, le virus s'active mais il attend un moment précis qui peut être 1 second, 1mois ou un ordre du hacker

Ah, ok merci de ta réponse. Donc, la commerciale avait raison. Mais en principe, les hackers n'attendent pas, je pense ? L'intérêt étant de faire payer aussitôt ?

Ce message a été modifié par jack'alarach - 1 Jul 2020, 10:36.

[Sethy]

Pour le système je ne dis pas, mais pour les photos et tout le touintouin, un Timemachine devrait être une bonne solution?

Ce qui fonctionne, c'est un TimeMachine hébergé sur un NAS mais à deux conditions :
- 1) d'avoir activé un mécanisme de "backup" tel que les snapshots
- 2) d'avoir au moins de l'espace libre égal au volume total du TimeMachine.

J'ai expérimenté avec un fichier TimeMachine corrompu. J'ai pu le récupérer grâce aux snapshots un TimeMachine non corrompu d'un mois plus tôt.

Mais cela demande suffisamment d'espace disque pour que les snapshots puissent être conservés (si le disque est plein, les plus vieux snapshots sont effacés).

[ABACA]

On ne peut que se réjouir que ceux qui volent le travail des programmeurs se fassent punir de cette façon.

[Jérôme74]

Donc, la commerciale avait raison. Mais en principe, les hackers n'attendent pas, je pense ? L'intérêt étant de faire payer aussitôt ?

En restant invisible un moment, ça laisse au virus le temps d'être téléchargé par des millions de personnes… Mais trop longtemps, ça laisse le temps aux antivirus de le repérer malgré tout et de le neutraliser avant qu'il devienne actif.

Ce message a été modifié par Jérôme74 - 1 Jul 2020, 11:04.

[jakin1950]

j'ai eu une attaque de ransomware sur mon PC

c'est impressionnant :

il faudrait débrancher la prise de courant en urgence et redémarrer d'une clef USB

le temps que je m'en rendre compte, mes 3 disques internes ont été cryptés de même que les clouds

Je suis maintenant plus prudent

machine virtuelle Linux pour internet

Sauvegarde du disque système avant d'installer un programme

sauvegarde sur des disques externes branchés seulement au moment de la sauvegarde

pas de sauvegarde automatique sur le NAS

Les clouds ne sont pas recopiés sur les disques internes, j'y accède avec un programme de sauvegarde sur internet ou avec un navigateur , pas avec les moulinettes du système comme icloud

[chammer]

Contre ce risque, ça me rassure de faire tourner ceci : RansomWhere?

J'ai eu quelques faux positifs en 2 ans, mais c'est la preuve que ça marche.
Et l'auteur est loin d'être un débutant dans ce domaine.

https://objective-see.com/products/ransomwhere.html

[raoulito]

j'ai eu une attaque de ransomware sur mon PC
c'est impressionnant :
il faudrait débrancher la prise de courant en urgence et redémarrer d'une clef USB
le temps que je m'en rendre compte, mes 3 disques internes ont été cryptés de même que les clouds

comment ca? ya des systèmes de protection normalement coté cloud contre ce genre de choses. Au pire il suffit d'aller sur l'interface en un second temps et de revenir an arriere sur le sfichiers

[jakin1950]

pour répondre à Raoulito :
Le problème s'est produit il y a 2 ou 3 ans

Google drive , one drive , dropbox et mes 3 disques ont été cryptés
icloud , je ne suis pas certain

impossible de revenir à une ancienne version de tous les fichiers

cela aurait peut être été possible en le faisant immédiatement à la main , je me suis aperçu du cryptage des clouds quand j'ai voulu régénérer mes dossiers clones du drive avec ceux du drive

J'avais des sauvegardes sur des disques externes et n'ai rien perdu

Ce message a été modifié par jakin1950 - 1 Jul 2020, 15:30.

[sansnom]

Je monte un RAM Disk (une vingtaine de Go) avec le boot de mon système pour toutes les opérations de traitements, (prè)installations, conversions... et aussi téléchargements de fichiers, cela évite une “usure” prématurée de mon SSD Apple interne et accélère beaucoup les transferts vers celui ou vers l'extérieur (NAS, entre autres...).

Ma question : configuré en “Analyse temps réel activée” sur ce RAM Disk, VirusBarrier est-il capable de détecter la “qualité” des fichiers téléchargés, et donc ici, ces ransomware de merde ?...

[Fafnir]

...Soyez donc prudents et assurez-vous que la source de vos logiciels est de toute confiance....

Je suppose que cela renforce le store d'Apple? donc dissuade de mettre en place un OS qui protégerait de ce type de malversation? ou est ce du complotisme?

[raoulito]

pour répondre à Raoulito :
Le problème s'est produit il y a 2 ou 3 ans

Google drive , one drive , dropbox et mes 3 disques ont été cryptés
icloud , je ne suis pas certain

impossible de revenir à une ancienne version de tous les fichiers
cela aurait peut être été possible en le faisant immédiatement à la main , je me suis aperçu du cryptage des clouds quand j'ai voulu régénérer mes dossiers clones du drive avec ceux du drive
J'avais des sauvegardes sur des disques externes et n'ai rien perdu

de memoire on a 30 jours our faire un retour en arrière. On a eu 2x dans une precedente boite un truc pire que le cryptovirus, un utilisateur qui supprime la moitié des fichiers... Ben ca a surtout ete long pour les utilisateurs pour reconstruire leur database locale, mais al prod n'a rien perdue.
Bref, merci de l'info.

[ekami]

On ne peut que se réjouir que ceux qui volent le travail des programmeurs se fassent punir de cette façon.

NON, il ne faut jamais se réjouir d'une malveillance, même fut-elle contre les voleurs.
C'est l'éducation qui doit primer, càd payer et télécharger le logiciel sur le site de l'éditeur (qui doit fournir les sommes de contrôle des téléchargements); puis uploader le téléchargement vers un site du type virustotal (qui peut hélas parfois donner des faux positifs) et si on est encore sceptique ou parano, installer l'appli sur un Mac de test.

Ce message a été modifié par ekami - 1 Jul 2020, 16:59.

[Fars]

Encore une fois, la preuve que la source des problemes en informatique est bien souvent entre la chaise et le clavier
Comme dans la vraie vie, il faut toujours s'assurer de qui on a à faire
Toujours se méfier quand on te vend l'amerique en bidon de 10L pour pas un rond...

Ce message a été modifié par Fars - 1 Jul 2020, 17:32.

[ungars]

Contre ce risque, ça me rassure de faire tourner ceci : RansomWhere?

J'ai eu quelques faux positifs en 2 ans, mais c'est la preuve que ça marche.
Et l'auteur est loin d'être un débutant dans ce domaine.

https://objective-see.com/products/ransomwhere.html

https://objective-see.com/products/lulu.html semble bien intéressant aussi.

[Mokona]

Un truc tout simple : un backup sur un disque NON réseau branché uniquement lors de la mise à jour du backup. Les pirates ne peuvent pas crypter ce qui n'est pas accessible depuis le mac concerné .....

Un poil moins radical et plus pratique : backup automatique sur un NAS RAID.

[captaindid]

Un poil moins radical et plus pratique : backup automatique sur un NAS RAID.

bonjour
je ne vois pas ce que le fait que le NAS soit en RAID ou non change dans ce cas: si le ransomware crypte le contenu du volume réseau, qu'il soit sur un ou plusieurs disques physiques en RAID ne change rien à l'affaire, le contenu sera crypté!

Ce message a été modifié par captaindid - 1 Jul 2020, 19:14.

[FRENCHDOCTOR]

Quand on utilise des logiciels piratés, on s'expose à des risques . . .

Achetez vos logiciels et vous serez tranquille ...

Mise a jour CleanMyPc sous windows, Bitdefender a trouvé un malware dans la mise à jour, logiciel payé

[Sethy]

Un poil moins radical et plus pratique : backup automatique sur un NAS RAID.

bonjour
je ne vois pas ce que le fait que le NAS soit en RAID ou non change dans ce cas: si le ransomware crypte le contenu du volume réseau, qu'il soit sur un ou plusieurs disques physiques en RAID ne change rien à l'affaire, le contenu sera crypté!

Toutafé ... par contre les snapshots eux sont efficaces puisqu'il s'agit de blocs répertoriés comme Read-Only par l'OS du NAS. A condition bien sûr d'avoir assez d'espace disque pour héberger tant les fichiers originaux intactes que les copies encryptées (donc > 2x l'espace occupé).