Un nouveau ransomware cible les Mac, Réactions à la publication du 01/07/2020

[SpacetitoX]

Quand on utilise des logiciels piratés, on s'expose à des risques . . .

Achetez vos logiciels et vous serez tranquille ...

Mise a jour CleanMyPc sous windows, Bitdefender a trouvé un malware dans la mise à jour, logiciel payé

Bitdefender trouve de tout partout sans rien comprendre, il est inutile, et dangereux, poubelle direct. Celui gratuit de MS est 10 fois mieux.

[zero]

A priori tous les fichiers sur les volumes cryptés seront perdus
Mais rien n'empêche de booter sur une clé USB pour réinstaller le système.

Si tu mes une clé USB sans reformater le SSD auparavant, elle risque d'être contaminée à son tour, et ce même si tu utilises une carte SD et que tu places le switch sur Write Protect car la protection contre l'écriture n'est pas physique, elle est facile à ignorer.
Le ransomware peut probablement empècher le formatage en modifiant les droits et c'est sans doute ce qu'il fait. Donc si ce ransomware est aussi tenace, c'est plus compliqué pour s'en débarrasser surtout si on ne peut pas retirer le SSD du Mac.

Ce message a été modifié par zero - 2 Jul 2020, 00:25.

[Sethy]

A priori tous les fichiers sur les volumes cryptés seront perdus
Mais rien n'empêche de booter sur une clé USB pour réinstaller le système.

Si tu mes une clé USB sans reformater le SSD auparavant, elle risque d'être contaminée à son tour, et ce même si tu utilises une carte SD et que tu places le switch sur Write Protect car la protection contre l'écriture n'est pas physique, elle est facile à ignorer.
Le ransomware peut probablement empècher le formatage en modifiant les droits et c'est sans doute ce qu'il fait. Donc si ce ransomware est aussi tenace, c'est plus compliqué pour s'en débarrasser surtout si on ne peut pas retirer le SSD du Mac.

Si l'ordinateur est éteint, qu'une clé USB est insérée et qu'on démarre sur un OSX installé sur cette clé, le "ransomware" ne peut pas se démarrer puisque ce n'est jamais qu'un programme installé sur le SSD du Mac. Il faut donc que le Mac soit démarré au départ de son propre SSD pour que le ransomware s'active (ou, évidemment, qu'on clique sur le fichier d'install du ransomware qui pourrait alors infecter la clé USB, mais comme le but est de formater et de réinstaller ... ce risque n'existe pas).

[zero]

Ok, il faut donc mettre la clé dans l'ordinateur éteint et presser les touches qu'il faut. Et Mac OS peut nous faire cette clé USB d'installation ? (Je parle d'une fonction simple et prévue pour, pas d'une méthode que l'on doit trouver sur le net et qui fonctionne que si on tombe sur la bonne et qu'on la suit à la lettre.)

Ce message a été modifié par zero - 2 Jul 2020, 01:11.

[Sethy]

Ok, il faut donc mettre la clé dans l'ordinateur éteint et presser les touches qu'il faut. Et Mac OS peut nous faire cette clé USB d'installation ? (Je parle d'une fonction simple et prévue pour, pas d'une méthode que l'on doit trouver sur le net et qui fonctionne que si on tombe sur la bonne et qu'on la suit à la lettre.)

Bah ça dépend. Pour moi une procédure proposée par Apple sur son site de support est une solution valide.

https://support.apple.com/fr-be/HT201372

Maintenant, effectivement, c'est une méthode qu'il faut rechercher sur internet et qu'on doit suivre à la lettre.

[jcp25]

elle sera cryptée egalement comme tout volume relié à l'ordinateur, c'est ainsi que fonctionnent les ransomwares

C'est pour cela que les sauvegardes etc sont faites (dans les entreprises ayant des obligations de sécurité) en utilisant le protocole SFTP (SSH ou Secure FTP).
Et là pas de chiffrage du volume de sauvegarde. Bon, ce n'est pas très simple à implémenter mais une fois mis en place plus de problèmes ! Plus des grappes pour les sauvegardes...

[pierre07]

Bonjour,

Est-ce qu'un disque interne mais non "monté" est accessible à un programme malfaisant?
J'imagine que oui, mais je n'ai pas compétence en ce domaine.

[Cubytus64]

Ce qui fonctionne, c'est un TimeMachine hébergé sur un NAS mais à deux conditions :
- 1) d'avoir activé un mécanisme de "backup" tel que les snapshots
- 2) d'avoir au moins de l'espace libre égal au volume total du TimeMachine.

J'ai expérimenté avec un fichier TimeMachine corrompu. J'ai pu le récupérer grâce aux snapshots un TimeMachine non corrompu d'un mois plus tôt.

Mais cela demande suffisamment d'espace disque pour que les snapshots puissent être conservés (si le disque est plein, les plus vieux snapshots sont effacés).

Parles-tu des snapshots permis par le système de fichier BTRFS? Sinon quoi?

(…)
Je suis maintenant plus prudent

machine virtuelle Linux pour internet

Sauvegarde du disque système avant d'installer un programme

sauvegarde sur des disques externes branchés seulement au moment de la sauvegarde

pas de sauvegarde automatique sur le NAS

Les clouds ne sont pas recopiés sur les disques internes, j'y accède avec un programme de sauvegarde sur internet ou avec un navigateur , pas avec les moulinettes du système comme icloud

Sauvegarde pré-installation je comprends bien, mais machine virtuelle pour Internet, n'est-ce pas trop peu pratique? Car la plupart du temps, Internet ne se résume pas à l'affichage de pages: on y télécharge et téléverse des données quotidiennement.

Un truc tout simple : un backup sur un disque NON réseau branché uniquement lors de la mise à jour du backup. Les pirates ne peuvent pas crypter ce qui n'est pas accessible depuis le mac concerné .....

Un poil moins radical et plus pratique : backup automatique sur un NAS RAID.

Si ton OS est capable de monter automatiquement le NAS, même si la sauvegarde elle-même n'est pas automatique, je ne vois pas ce qui empêche un ransomware de monter ce même dossier sur le NAS.

[Sethy]

Ce qui fonctionne, c'est un TimeMachine hébergé sur un NAS mais à deux conditions :
- 1) d'avoir activé un mécanisme de "backup" tel que les snapshots
- 2) d'avoir au moins de l'espace libre égal au volume total du TimeMachine.

J'ai expérimenté avec un fichier TimeMachine corrompu. J'ai pu le récupérer grâce aux snapshots un TimeMachine non corrompu d'un mois plus tôt.

Mais cela demande suffisamment d'espace disque pour que les snapshots puissent être conservés (si le disque est plein, les plus vieux snapshots sont effacés).

Parles-tu des snapshots permis par le système de fichier BTRFS? Sinon quoi?

Oui, tout à fait. Ces snapshots sont gérés par l'OS du NAS et il n'est pas possible de les altérer au départ du Mac.

Par contre, en cas d'encryption, tous les blocs vont être réécrits, il faut donc énormément d'espace disque de réserve (au moins 1x le volume qui est sauvegardé).

[Mokona]

Un truc tout simple : un backup sur un disque NON réseau branché uniquement lors de la mise à jour du backup. Les pirates ne peuvent pas crypter ce qui n'est pas accessible depuis le mac concerné .....

Un poil moins radical et plus pratique : backup automatique sur un NAS RAID.

Si ton OS est capable de monter automatiquement le NAS, même si la sauvegarde elle-même n'est pas automatique, je ne vois pas ce qui empêche un ransomware de monter ce même dossier sur le NAS.

L'astuce est que les fichiers ne sont pas juste copiés à la racine ou dans un dossier d'un lecteur réseau du NAS mais dans un bundle protégé par mot de passe que seul le soft de backup connait. Du coup, à moins de pouvoir lire le dit mot de passe dans le trousseau, pas d'accès aux fichiers aux programmes non autorisés.

[Sethy]

Un truc tout simple : un backup sur un disque NON réseau branché uniquement lors de la mise à jour du backup. Les pirates ne peuvent pas crypter ce qui n'est pas accessible depuis le mac concerné .....

Un poil moins radical et plus pratique : backup automatique sur un NAS RAID.

Si ton OS est capable de monter automatiquement le NAS, même si la sauvegarde elle-même n'est pas automatique, je ne vois pas ce qui empêche un ransomware de monter ce même dossier sur le NAS.

L'astuce est que les fichiers ne sont pas juste copiés à la racine ou dans un dossier d'un lecteur réseau du NAS mais dans un bundle protégé par mot de passe que seul le soft de backup connait. Du coup, à moins de pouvoir lire le dit mot de passe dans le trousseau, pas d'accès aux fichiers aux programmes non autorisés.

Je ne vois pas bien ce que tu veux dire par bundle. Si ce sont des fichiers présents dans un espace où l'OS vérolé peut écrire, il ne va pas se poser de question et les fichiers, protégés par le mot-de-passe, seront encryptés.

[Patrice Broussea...]

Contre ce risque, ça me rassure de faire tourner ceci : RansomWhere?

J'ai eu quelques faux positifs en 2 ans, mais c'est la preuve que ça marche.
Et l'auteur est loin d'être un débutant dans ce domaine.

https://objective-see.com/products/ransomwhere.html

Intéressant. Et ça me rappelle un de mes amis qui me dit toujours que les backups que je possède ne valent pas grand chose en cas de catastrophe (vol, feu, ransomware):

- mes disques CCC et TM sont toujours attachés à mes ordis;
- tous mes backups sont à la maison... Il m’a conseillé d’en laisser un genre dans la voiture ou au boulot... ou autre part. Donc, un second backup de toutes mes machines.

Est-ce qu’un ransomware de ce genre pourrait également crypter tous les ordis sur le réseau de la maison?

Patrice

[Sethy]

Est-ce qu’un ransomware de ce genre pourrait également crypter tous les ordis sur le réseau de la maison?

Patrice

Non. A la limite s'il y a des partitions partagées et "montées" sur le Mac infecté.

[zebigbug]

Contre ce risque, ça me rassure de faire tourner ceci : RansomWhere?

J'ai eu quelques faux positifs en 2 ans, mais c'est la preuve que ça marche.
Et l'auteur est loin d'être un débutant dans ce domaine.

https://objective-see.com/products/ransomwhere.html

Intéressant. Et ça me rappelle un de mes amis qui me dit toujours que les backups que je possède ne valent pas grand chose en cas de catastrophe (vol, feu, ransomware):

- mes disques CCC et TM sont toujours attachés à mes ordis;
- tous mes backups sont à la maison... Il m’a conseillé d’en laisser un genre dans la voiture ou au boulot... ou autre part. Donc, un second backup de toutes mes machines.

Est-ce qu’un ransomware de ce genre pourrait également crypter tous les ordis sur le réseau de la maison?

Patrice

Je ne comprends pas cette stratégie ..
Un disque dur dans une voiture peut avec les vibrations s'abimer .
Un SSD peut tenir le choc , mais une voiture c'est aussi de la chaleur , et des risques de vol ...

Quand a attacher ses disques , je ne comprends pas non plus.
un backup une fois réalise on déconnecte la machine ainsi en cas de probléme , pas de contagion ...

Aprés on a la solution la plus simple : le cloud ...
un compte ou plusieurs comptes gratuits chez Google en cryptant ses archives restent à mon sens la solution la plus économique et la plus sure ...

Quand au site j'ai des doutes sur sa fiabilité.
En effet , quand une machine est crypté , il faut un mot de passe , tu peux enlevé ce que tu veux , mais sans mot de passe tes données sont illisibles...

Un truc tout simple : un backup sur un disque NON réseau branché uniquement lors de la mise à jour du backup. Les pirates ne peuvent pas crypter ce qui n'est pas accessible depuis le mac concerné .....

Un poil moins radical et plus pratique : backup automatique sur un NAS RAID.

Si ton OS est capable de monter automatiquement le NAS, même si la sauvegarde elle-même n'est pas automatique, je ne vois pas ce qui empêche un ransomware de monter ce même dossier sur le NAS.

L'astuce est que les fichiers ne sont pas juste copiés à la racine ou dans un dossier d'un lecteur réseau du NAS mais dans un bundle protégé par mot de passe que seul le soft de backup connait. Du coup, à moins de pouvoir lire le dit mot de passe dans le trousseau, pas d'accès aux fichiers aux programmes non autorisés.

Je ne vois pas bien ce que tu veux dire par bundle. Si ce sont des fichiers présents dans un espace où l'OS vérolé peut écrire, il ne va pas se poser de question et les fichiers, protégés par le mot-de-passe, seront encryptés.

même avis ...


Ce message a été modifié par zebigbug - 3 Jul 2020, 07:25.

[Nathan]

Bonjour à tous


Un truc tout simple : un backup sur un disque NON réseau branché uniquement lors de la mise à jour du backup. Les pirates ne peuvent pas crypter ce qui n'est pas accessible depuis le mac concerné .....


???? MAIS NOOONNNN

Une veritable attaque bien faite c'est

1-Repérer la strategie de sauvegarde de la cible des heures/jours/semaine/mois avant afin de connaitre tous les supports/strategies de sauvegarde
2-Chiffrer sauvegardes /BackUp/NAS/CLOUD/etc..
3-Chiffrer le poste Utilisateur
4-Le jour J rendre le tout inutilisable et faire payer/chanter l'utilisateur

Pour vos gamins ..

https://www.youtube.com/channel/UCUOv_-zvnt7ai-xiPp0dJrw

Ce message a été modifié par Nathan - 3 Jul 2020, 10:56.

[zebigbug]

???? MAIS NOOONNNN

Une veritable attaque bien faite c'est

1-Repérer la strategie de sauvegarde de la cible des heures/jours/semaine/mois avant afin de connaitre tous les supports/strategies de sauvegarde

Sur les attaques de ce type , combien de pourcentage de chances qu'ils fassent cela pour un particulier ?

En géneral , c'est une piéce jointe ou un soft piraté, qui lance le logiciel

[Nathan]

Pardon j'étais en train de corriger mon post ..

Un Particulier est une cible pour TOUT type d’attaque informatique et tu risques malheureusement d’avoir tôt ou tard ce type de pb suivant ton hygiène informatique

Quand tu grattes le vernis du particulier il y a souvent 99% de quoi en retirer quelque chose

C'est comme pour un vol dans ta maison ...
Tout le monde se dit pas grave je n’ai rien à perdre je suis assuré !
Tu es prêt à perdre quoi ?
Combien ça coute de tout racheter/remplacer ?
Ce qui a été volé est remplaçable ou perdu à jamais ???

En cybercriminalité dans ce cas le particulier perd toutes ses données (historique de TOUTE sa vie numerique, photos, mails, ... banque, facture, etc. et recommence à 0 )
On en revient aux questions posées plus haut. Tu risques de perdre quoi ? Combien ?

Dans le crime organisé une prostituée, une ligne de coke, un braquage de banque etc. ..
Ça rapporte beaucoup trop mais de moins en moins et ça t'envoie très rapidement en prison et pour longtemps suivant les pays car trop de risques

La cybercriminalité ça rapporte de plus en plus et parfois plus que pas mal de « vieux » crimes pour beaucoup moins de frais et SURTOUT de risques

Juste un exemple parmi tant d'autres
Le détournement de petites sommes sur les comptes de particuliers pour financer le terrorisme

Ce message a été modifié par Nathan - 3 Jul 2020, 13:13.

[Sethy]

Un ransomware est-il écrit par un Noob en informatique, et en particulier un ransomware OSX est-il écrit par un Noob en OSX ?

Si la réponse est négative ... pensez-vous que Time Machine soit quelque chose d'inconnu pour lui ?

[Patrice Broussea...]

Est-ce qu’un ransomware de ce genre pourrait également crypter tous les ordis sur le réseau de la maison?

Patrice

Non. A la limite s'il y a des partitions partagées et "montées" sur le Mac infecté.

Ah, merci pour la précision.

Patrice

Contre ce risque, ça me rassure de faire tourner ceci : RansomWhere?

J'ai eu quelques faux positifs en 2 ans, mais c'est la preuve que ça marche.
Et l'auteur est loin d'être un débutant dans ce domaine.

https://objective-see.com/products/ransomwhere.html

Intéressant. Et ça me rappelle un de mes amis qui me dit toujours que les backups que je possède ne valent pas grand chose en cas de catastrophe (vol, feu, ransomware):

- mes disques CCC et TM sont toujours attachés à mes ordis;
- tous mes backups sont à la maison... Il m’a conseillé d’en laisser un genre dans la voiture ou au boulot... ou autre part. Donc, un second backup de toutes mes machines.

Est-ce qu’un ransomware de ce genre pourrait également crypter tous les ordis sur le réseau de la maison?

Patrice

Je ne comprends pas cette stratégie ..
Un disque dur dans une voiture peut avec les vibrations s'abimer .
Un SSD peut tenir le choc , mais une voiture c'est aussi de la chaleur , et des risques de vol ...

Quand a attacher ses disques , je ne comprends pas non plus.
un backup une fois réalise on déconnecte la machine ainsi en cas de probléme , pas de contagion ...

Aprés on a la solution la plus simple : le cloud ...
un compte ou plusieurs comptes gratuits chez Google en cryptant ses archives restent à mon sens la solution la plus économique et la plus sure ...

Quand au site j'ai des doutes sur sa fiabilité.
En effet , quand une machine est crypté , il faut un mot de passe , tu peux enlevé ce que tu veux , mais sans mot de passe tes données sont illisibles...

Les disques TM sont attachés parce que j’ai d’autres données/partitions dessus. Les disques CCC, idem. Pour la voiture, il m’avait mentionné que pour la chaleur, dans la boîte à gants, les risques étaient minimes. Pour les vibrations et le vol par contre, tu touches un point!

Et quand tu mentionnes « quand au site », je te suis pas là. Tu faisais référence à quelqu’un d’autre dans le thread ou au fait que j’ai mentionné sur un autre site « physique » (boulot, maison de campagne,...)?

Ce message a été modifié par Patrice Brousseau - 3 Jul 2020, 13:21.

[Nathan]

Est-ce qu’un ransomware de ce genre pourrait également crypter tous les ordis sur le réseau de la maison?

Patrice

Non. A la limite s'il y a des partitions partagées et "montées" sur le Mac infecté.

Ah, merci pour la précision.

Patrice

Patrice sans vouloire t'alarmer va lire les info sur l'ANSSI directement ...


Code malveillant, logiciel malveillant (Malicious software, malware)

Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau.

Remarques : Les virus ou les vers sont deux types de codes malveillants connus.

Voir aussi:•Rançongiciel (Ransomware)
•Code malveillant, logiciel malveillant (Malicious software, malware)
•Outils de dissimulation d’activité (Rootkit)
•Ver (Worm)
•Virus
•Vulnérabilité (Vulnerability)


https://www.ssi.gouv.fr/particulier/glossai...itation-exploit

Ces messieurs de l'ANSSI sont chiants, pointilleux mais respectables
;-)

[Patrice Broussea...]

Est-ce qu’un ransomware de ce genre pourrait également crypter tous les ordis sur le réseau de la maison?

Patrice

Non. A la limite s'il y a des partitions partagées et "montées" sur le Mac infecté.

Ah, merci pour la précision.

Patrice

Patrice sans vouloire t'alarmer va lire les info sur l'ANSSI directement ...


Code malveillant, logiciel malveillant (Malicious software, malware)

Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau.

Remarques : Les virus ou les vers sont deux types de codes malveillants connus.

Voir aussi:•Rançongiciel (Ransomware)
•Code malveillant, logiciel malveillant (Malicious software, malware)
•Outils de dissimulation d’activité (Rootkit)
•Ver (Worm)
•Virus
•Vulnérabilité (Vulnerability)


https://www.ssi.gouv.fr/particulier/glossai...itation-exploit

Ces messieurs de l'ANSSI sont chiants, pointilleux mais respectables
;-)

Je vais devoir reconfigurer ma stratégie de backups, ça c’est sûr (disques détachés une fois le backup complété...). Maintenant, je me doutais qu’un malware pouvait se répandre sur mon réseau interne mais si un ransomware peut aussi le faire, c’est inquiétant (5 ordis réseautés).

Merci,

Patrice

[Suricate15]

Quand on utilise des logiciels piratés, on s'expose à des risques . . .

Achetez vos logiciels et vous serez tranquille ...

Ça me paraît être une évidence aujourd'hui. Même les sites de confiance peuvent véhiculer des softs qu'ils ne contrôlent pas et paf! vous vous retrouvez dans la mouise jusqu'au cou. Little Snitch coûte quelques dizaines d'Euros, une ruine quoi pour contrôler ce qui rentre et qui sort ? Surtout que quand vous vous en êtes sorti de cette merde, la question de l'utilisation de Little Snitch est toujours là..!

Régle n1 : téléchargez l'appli sur le site du développeur.
Régle n2 : achetez la licence, éventuellement lors d'un Black Friday quelconque.
Régle n3 : restez parano et vous vivrez mieux !

[zebigbug]

Et quand tu mentionnes « quand au site », je te suis pas là. Tu faisais référence à quelqu’un d’autre dans le thread ou au fait que j’ai mentionné sur un autre site « physique » (boulot, maison de campagne,...)?

tu as des logiciels qui s'installent dans le systeme et avant.
En clair, tu as un logiciel qui s'installe avant le lancement de l'os ( windows , mac , ..) rare les logiciel qi seront capable de le detecter .

Reactivity
RansomWhere? detects and blocks ransomware by detecting untrusted processes that are rapidly creating encrypted files. This is inherently reactive; and as such, the ransomware will likely encrypt a few files (ideally only two or three), before being detected and blocked.

Il detecte , ceux qu'il connait , de fait pas les autres .... Et il en connait combien ? et sur quel base ?

Quand tu vas crypter tes fichiers , va t il considérer que tu es un ransomwhere ?

Personnellement , dans mes archives et mes données sensibles j'utilise divers supports .
Ok c'est cher , disques durs , SSD , DVD, cloud et le papier ..

Mais ces données sont des photos personnelles qui ont des années , et que je pourrais jamais reprendre.
Mon objectif , c'est de les garder des dizaines d'années et une conservation aprés mon décés ...

A ce jour l'expérience montre que c'est le papier qui a la plus longue conservation et resiste sans soucis au virus informatique et autres ransomware

[zebigbug]

Régle n3 : restez parano et vous vivrez mieux !

Dans le film Wall Stret , il y a deux phrases pleine de bon sens :
- seuls les paranoiques surviennent
- il y a deux choses sûres dans la vie
1 ) un jour tu vas mourir
2 ) tu payeras toujours des impôts ...

[Patrice Broussea...]

Et quand tu mentionnes « quand au site », je te suis pas là. Tu faisais référence à quelqu’un d’autre dans le thread ou au fait que j’ai mentionné sur un autre site « physique » (boulot, maison de campagne,...)?

tu as des logiciels qui s'installent dans le systeme et avant.
En clair, tu as un logiciel qui s'installe avant le lancement de l'os ( windows , mac , ..) rare les logiciel qi seront capable de le detecter .

Reactivity
RansomWhere? detects and blocks ransomware by detecting untrusted processes that are rapidly creating encrypted files. This is inherently reactive; and as such, the ransomware will likely encrypt a few files (ideally only two or three), before being detected and blocked.

Il detecte , ceux qu'il connait , de fait pas les autres .... Et il en connait combien ? et sur quel base ?

Quand tu vas crypter tes fichiers , va t il considérer que tu es un ransomwhere ?

Personnellement , dans mes archives et mes données sensibles j'utilise divers supports .
Ok c'est cher , disques durs , SSD , DVD, cloud et le papier ..

Mais ces données sont des photos personnelles qui ont des années , et que je pourrais jamais reprendre.
Mon objectif , c'est de les garder des dizaines d'années et une conservation aprés mon décés ...

A ce jour l'expérience montre que c'est le papier qui a la plus longue conservation et resiste sans soucis au virus informatique et autres ransomware

Ok, je vais faire des backups « papier », je serai de retour ici en décembre


Ce message a été modifié par Patrice Brousseau - 5 Jul 2020, 17:07.

[zebigbug]

Ok, je vais faire des backups « papier », je serai de retour ici en décembre

Bon on restera discret sur cette information , sinon les écolos vont hurler ...
Mais sérieusement pour les photos c'est la meilleure solution ,
Si on prend des longues durées , recupérer des fichiers sur des disquettes ou sur un disk ide ou scsi ou sur un lecteur ZIP rentre trés difficile ....

Ce message a été modifié par zebigbug - 6 Jul 2020, 11:39.

[Lafaboune]

[…]
tu as des logiciels qui s'installent dans le systeme et avant.
En clair, tu as un logiciel qui s'installe avant le lancement de l'os ( windows , mac , ..) rare les logiciel qi seront capable de le detecter .
[…]

C'est le boulot d'un autre de ses utilitaires indispensables, BlockBlock, qui traque ce genre d'installations permanentes.

[…]
Reactivity
RansomWhere? detects and blocks ransomware by detecting untrusted processes that are rapidly creating encrypted files. This is inherently reactive; and as such, the ransomware will likely encrypt a few files (ideally only two or three), before being detected and blocked.

Il detecte , ceux qu'il connait , de fait pas les autres .... Et il en connait combien ? et sur quel base ?
[…]

Tu as la réponse dans sa citation en italique que j'ai soulignée, RansomWhere? n'utilise pas de banque de données des malwares connus,
mais détecte toute activité suspecte, avec des faux positifs, mais rien d'handicapant au quotidien et assez rare :

Patrick Wardle, le développeur de ces utilitaires, n'est pas le premier venu dans le monde de la sécurité Mac.

Pour ceux que ça intéresse, son 1er article OSX.EvilQuest Uncovered.
Suivi d'un extrait du mail envoyé à ceux qui le supporte financièrement sur le site Patreon avec un lien sur le 2e article très intéressant :

From Patrick Wardle


Aloha Patrons!
Turns out there was (far) more to OSX.EvilQuest that just ransoming files 😱
Read:
"OSX.EvilQuest Uncovered (part two): Insidious Capabilities"
My analysis uncovered capabilities including:
🔑 stealing certs/keys/wallets
🔒 ransoming files, likely forever
🔥 executing in-memory payloads
🔮 targeted tasking via mac address!?
👾 replication via infection of other binaries (a true virus!)
In part two, I detail these capabilities in (great) detail - so if you're into macOS malware have a read! 🤓

Il y ajoute la partie virus, très rare sur Mac depuis le passage à OS X/macOS, d'où sa conclusion :

Note though if you are infected, due to the malware’s viral infection capabilities, it is recommended that one wipes the infected system and fully reinstalls macOS.

Il est recommandé de faire une clean install si on a été atteint.

Article intéressant sur Malawarebytes, Mac ThiefQuest malware may not be ransomware after all.

Editor’s note: The original name for the malware, EvilQuest, has been changed due to a legitimate game of the same name from 2012. The new name, ThiefQuest, is also more fitting for our updated understanding of the malware.

The ThiefQuest malware, which was discovered last week, may not actually be ransomware according to new findings. The behaviors that have been documented thus far are still all accurate, but we no longer believe that the ransom is the actual goal of this malware.
[…]
Like a magician, distracting your eye with one hand while the other performs some slight of hand, this malware appears to be making a lot of noise to cover for what we now believe is its real goal: data exfiltration.

Le but de ThiefQuest – son nom a été changé pour mieux refléter son action et ne pas le confondre avec un jeu du même nom – serait plus lié à une extorsion invisible de données personnelles (Informations carte de crédit, clefs bitcoin, certificats, keychain, fichiers MS Office…)
qu'un ransomware sans adresse email où récupérer une hypothétique clef de déchiffrement.

Et pour finir, l'équipe SentinelOne de SentinelLabs a mis à disposition un moyen de s'en sortir avec un outil de déchiffrement :
Breaking EvilQuest | Reversing A Custom macOS Ransomware File Encryption Routine.


Edit : j'oubliais une chose, plusieurs mises à jour d'XProtect de la part d'Apple => Apple has pushed an update to XProtect to improve detection of ThiefQuest.

Ce message a été modifié par Lafaboune - 15 Jul 2020, 15:00.

[Patrice Broussea...]

Merci Lafaboune. Je vais lancer un scan sur mes Hacks/Macs. Petit détail, les liens que tu as mis ne fonctionnent pas, il faut les éditer à la main. Un exemple: "http://'https://labs.sentinelone.com/breaking-evilquest-reversing-a-custom-macos-ransomware-file-encryption-routine/'"

Ce message a été modifié par Patrice Brousseau - 15 Jul 2020, 20:57.

[Lafaboune]

^ C'est corrigé, merci, désolé, un copier/coller un peu trop rapide d'un autre forum qui a un BBCode différent.

Edit : Je ne suis pas l'auteur que tu cites, bien au contraire, tu t'es embrouillé dans les quote.

Ce message a été modifié par Lafaboune - 15 Jul 2020, 15:04.

[Patrice Broussea...]

^ C'est corrigé, merci, désolé, un copier/coller un peu trop rapide d'un autre forum qui a un BBCode différent.

Edit : Je ne suis pas l'auteur que tu cites, bien au contraire, tu t'es embrouillé dans les quote.

Désolé, j’avais cité tout le message mais c’était un peu long, alors j’ai élagué. Je vais tout simplement retirer la citation...

Patrice

Edit: correction faite de mon côté itou...

Ce message a été modifié par Patrice Brousseau - 15 Jul 2020, 20:58.