Ransom32, premier rançongiciel à être codé en JavaScript

Ransom32, premier rançongiciel à être codé en JavaScript

Coucou Windows, coucou OS X, coucou les autres

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

05/01/2016 5 minutes
130

Ransom32, premier rançongiciel à être codé en JavaScript

La grande famille des rançongiciels compte un nouveau venu. Baptisé Ransom32, il a la particularité d’être le premier du genre à être développé intégralement en JavaScript. Une caractéristique qui lui ouvre les portes de tous les systèmes d’exploitation ou presque, et qui montre une importante évolution.

Un rançongiciel est un logiciel malveillant, qui chiffre les données de l'utilisateur pour lui réclamer une rançon. Si la victime paie dans le délai imparti, il a de grandes chances de retrouver ses fichiers, même s'il n’y a aucune garantie. S’il ne le fait pas, c’est l’assurance de tout perdre.

Le succès de ce type de menace tient évidemment à la peur de perdre des données importantes, soit parce qu’elles représentent une grande quantité de travail, soit parce qu’il s’agit de souvenirs, comme dans le cas de photos. On se souvient qu’au FBI, la recommandation est d’ailleurs de payer, pour deux raisons. D’une part, les chiffrements utilisés rendent souvent très complexe la récupération des données. D’autre part, ne pas rendre les informations est « mauvais pour le business » : personne n’imaginera plus que les fichiers sont récupérables et donc ne paiera. En France, l’initiative StopRansomware, soutenue par la Gendarmerie nationale, recommande plutôt de ne jamais payer.

Ransom32, premier à se servir du JavaScript

Comme n’importe quel domaine des malwares, les « ransomwares » évoluent sans cesse, leurs auteurs cherchant à les rendre toujours plus efficaces. Cette efficacité peut se mesurer de diverses manières. Par exemple, pourquoi pas la faculté de pouvoir être exécuté indifféremment sur Windows, OS X ou Linux ? C’est le cas de Ransom32, du moins en théorie. Il a pour principale caractéristique d’être entièrement écrit en JavaScript, un langage que l’on retrouve habituellement pour le développement des pages web. Et ce n’est pas un hasard.

Ransom32 a été découvert par la société de sécurité EMSISoft dans un archive auto-extractible WinRAR pour Windows. Il utilise le framework NW.js (Node-Webkit), lui-même conçu pour le développement basé sur Node.js et Chromium. Ce framework est conçu pour permettre aux applications web de fonctionner pratiquement avec les mêmes privilèges qu’une application classique, leur offrant notamment la possibilité de sortir de la sandbox normalement présente dans le navigateur.

ransom32
Crédits : ESMISoft

Une grande adaptabilité

Le rançongiciel commence par infecter une machine en étant envoyé sous forme de pièce jointe dans un email ayant très souvent un sujet parmi les suivants : notification de livraison, messages vocaux en attente, et globalement tout ce qui pourrait attirer l’attention. L’internaute, s’il ne fait pas attention (ce qui est très souvent l’origine de la contamination), ouvre la pièce jointe et lance l’infection sans y prendre garde. Ransom32 chiffre alors les données personnelles en AES 128 bits (elle-même chiffrée puis stockée dans chaque fichier remanié) puis réclame une rançon en Bitcoins. Il est connecté à un serveur command-and-control (C&C) à travers une liaison passant par le réseau Tor.

Selon le chercheur Fabian Wosar d’EMSISoft, il n’a pour l’instant été trouvé qu’un exécutable pour Windows, mais il indique que la conception de Ransom32 le rend très facilement adaptable pour toutes les autres plateformes, ce qui fait toute la différence. NW.js étant un framework tout à fait classique, le système lui-même ne se méfie pas. Comme d'habitude, et comme EMSISoft a intérêt de le rappeler, un antivirus à jour donne de meilleures chances de le détecter et de le bloquer. Cela même si, deux semaines après sa découverte, Ransom32 ne serait pas entré dans toutes les bases.

Tout est fait pour faciliter le travail des pirates

Par ailleurs, tout dans la conception de Ransom32 a été fait pour simplifier la vie de ceux qui s’en servent pour attaquer. Il propose ainsi un vrai tableau de bord permettant de renseigner facilement les quelques informations demandées, comme la rançon qui sera exigée. Tout pirate disposant d’un compte Bitcoin peut se servir de Ransom32. Il a été pensé littéralement comme un « ransomware-as-a-service » et, toujours selon EMSISoft, il est commercialisé sur les forums spécialisés via une formule simple : les auteurs demandent 25 % des gains réalisés via leur création.

La protection la plus efficace contre ce type de menace reste la sauvegarde régulière des données sur un autre support. Ici, les solutions synchronisées de sauvegarde dans le cloud ne sont pas d’un grand secours si l’on utilise un client local, comme dans les cas de OneDrive, Google Drive ou DropBox (même si ce dernier permet de revenir sur d'anciennes versions pendant 30 jours). Les fichiers sont en effets présents sur le disque et, lors de leur chiffrement, sont détectés comme modifiés par le client, qui envoie alors les différences au serveur concerné.

Par ailleurs, il est crucial de faire attention aux emails que l’on reçoit et à la vérification de l’expéditeur. Ransom32 se signale par le poids important de l’archive qui le contient : 32 Mo. Certains se méfieront donc instantanément, tandis que d’autres verront un signe légitime que le fichier est bien ce qu’il prétend être, comme dans le cas d’un message vocal.

130

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Ransom32, premier à se servir du JavaScript

Une grande adaptabilité

Tout est fait pour faciliter le travail des pirates

Commentaires (130)


Développer un ransomware fait du dev, pour être poli, un être détestable.



Mais alors en Javascript, la personne est juste irrécupérable.



<img data-src=" />


Purée, à travers NWJS, je sens que ça va faire chier pas mal de monde pendant un moment ce bazar.


Pas pour rien que mon disque Time Machine n’est pas branché 24h/24 7j/7. J’ai pas vraiment l’utilité d’avoir une sauvegarde permanente de mon système donc une ou deux fois par moi je la réalise.

Au moins si un jour un con essaie de m’avoir avec ça sous OSx je restaurerai la dernière Time Machine.



Mais c’est horrible de se dire que ça doit marcher et qu’en plus l’investissement de départ doit se récupérer au final rapidement.

Après c’est quoi le principe achat de biens matériel en payant en Bitcoin? Puis ils les revendent pour blanchir l’argent? Je connais pas trop le Bitcoin.




D’autre part, ne pas rendre les informations est « mauvais pour le business » : personne n’imaginera plus que les fichiers sont récupérables et donc ne paiera.



Ben justement <img data-src=" /> ca limiterais ce genre de logiciels, s’il n’y a aucun bénéfice à en tirer.

Soyons fous, ça apprendrais peut être aux genre a faire régulièrement des copies de sauvegarde et/ou faire gaffe aux genres de sites sur lesquels ils se rendent <img data-src=" />


Ou alors encore plus tordu, utiliser un rançonware et ne jamais rendre la clef, comme cela plus personne ne paye, et l’intérêt pour de tel logiciel tombe.


32Mo ça fait réfléchir quand tu as du 140k max le vent dans le dos (readsl inside)



[note on]

faire passé l’info autour de moi

[note off]


32 Mo le malware <img data-src=" />








Guyom_P a écrit :



Après c’est quoi le principe achat de biens matériel en payant en Bitcoin? Puis ils les revendent pour blanchir l’argent? Je connais pas trop le Bitcoin.





Il leur suffit de convertir leur bitcoin en monnaie classique. Il y a pas mal de sites qui le propose.









Guyom_P a écrit :



Mais c’est horrible de se dire que ça doit marcher et qu’en plus l’investissement de départ doit se récupérer au final rapidement.





Celui la fait exception à première vu : il fonctionne à la commission : 25% des raquets



Le FBI qui conseille tout simplement de payer la rançon… Je ne comprends même pas comment ils peuvent tenir un tel discours, ils font carrément le jeu des pirates là… <img data-src=" />



Ce serait plus éthique et efficace d’informer les gens et de mettre en place des tutos expliquant comment sauvegarder ses documents et données personnelles sur un autre support et à l’abri : CD/DVD, clé USB… Ce genre de solution est simple à mettre en place. Il vaudrait mieux recommander cela, au lieu que dire qu’il faut payer la rançon…


C’est moche, rançongiciel. Je suggère extorgiciel.


Sur Dropbox - même en gratuit - il existe la possibilité de restaurer n’importe quel fichier modifié ou effacé sur une période de 30 jours. C’est faisable depuis l’interface web.



Très utile contre un rançongiciel.








Konrad a écrit :



Le FBI qui conseille tout simplement de payer la rançon… Je ne comprends même pas comment ils peuvent tenir un tel discours, ils font carrément le jeu des pirates là… <img data-src=" />&nbsp;





Il faut bien financer les boites noires&nbsp;<img data-src=" />



Murica !!! <img data-src=" />


Ah c’est bête mais mon Postfix refuse les messages de plus de 20 Mio <img data-src=" />








Tortue facile a écrit :



Il leur suffit de convertir leur bitcoin en monnaie classique. Il y a pas mal de sites qui le propose.



Enfin, je pense que ça reste plus discret d’acheter du matos et de l’écouler au compte goutte plutôt que de convertir des sommes d’argent directement sur ton compte.





Spidard a écrit :



Celui la fait exception à première vu : il fonctionne à la commission : 25% des raquets





Enfin je sais pas quel montant il demande pour l’achat du rançongiciel ni le montant moyen des rançons mais avec les 75% restants et les possibiltés que propose cette saloperie ils doivent surement bien ramassé. Encore du bel argent pour financer tout un tas de trucs pas cool surement.





Konrad a écrit :



Ce serait plus éthique et efficace d’informer les gens et de mettre en

place des tutos expliquant comment sauvegarder ses documents et données

personnelles sur un autre support et à l’abri : CD/DVD, clé USB… Ce

genre de solution est simple à mettre en place. Il vaudrait mieux

recommander cela, au lieu que dire qu’il faut payer la rançon…

&nbsp;

Ça c’est de la formation de la population et des entreprises qui mettra beaucoup de temps à se mettre efficacement en place.











Konrad a écrit :



Le

FBI qui conseille tout simplement de payer la rançon… Je ne comprends

même pas comment ils peuvent tenir un tel discours, ils font carrément

le jeu des pirates là… <img data-src=" />





Mais en pratique quand des fichiers important sont touché, ben oui tu payes. Y a un moment ou il faut être réaliste…



Question : Ça attaque aussi les disques réseaux montés sur le système ?

Autant mon système… bof mais tous mes documents sur le NAS… :5




La protection la plus efficace contre ce type de menace reste la sauvegarde régulière des données sur un autre support. Ici, les solutions synchronisées de sauvegarde dans le cloud ne sont pas d’un grand secours si l’on utilise un client local, comme dans les cas de OneDrive, Dropbox ou Google Drive



Ça me fait irrésistiblement penser à ça.<img data-src=" />


Je me posais justement la question, ayant un NAS aux partitions montées. Et j’imagine que oui, rien ne s’oppose au fait de le crypter :(








Konrad a écrit :



Le FBI qui conseille tout simplement de payer la rançon… Je ne comprends même pas comment ils peuvent tenir un tel discours, ils font carrément le jeu des pirates là… <img data-src=" />





Malware made by NSA ?

Faut bien payer la R&D









jayr0m a écrit :



Question : Ça attaque aussi les disques réseaux montés sur le système ?

Autant mon système… bof mais tous mes documents sur le NAS… :5





Celui-là, de rancodjscnsggiciel (dur à écrire), je ne sais pas, mais certains chiffrent tous les lecteurs connectés. Y compris les NAS, les serveurs réseaux, etc.



c’est 32Mo après extraction, sinon ça passe pas dans le mail <img data-src=" />



à la fois une belle saloperie, et un truc super ingénieux <img data-src=" />


Le plus intéressant est clairement l’aspect “malware as a service”.



Franchement, le fait qu’il soit codé en javascript n’a vraiment aucun intérêt je trouve. Dans tous les cas il faut adapter le binaire pour l’OS, puisque le résultat final de ce package javascript est un EXE Windows… Sans compter que chiffrer les “données personnelles” est totalement platform-dependant (dossier Mes Documents dans Windows ?)

&nbsp;

Ça aurait été codé en QT c’était exactement pareil…


eh ben 2016 commence mal <img data-src=" />




L’internaute, s’il ne fait pas attention (ce qui est très souvent l’origine de la contamination), ouvre la pièce jointe et lance l’infection sans y prendre garde. Ransom32 chiffre alors les données personnelles en AES 128 bits (elle-même chiffrée puis stockée dans chaque fichier remanié) puis réclame une rançon en Bitcoins.





Ben voilà, on a trouvé une utilité au bitcoin !



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Sinon, émetteur inconnu d’un courriel = poubelle direct chez moi (en plus de sauvegardes régulières sur un NAS), quand vous voulez les malfrats ! J’espère pour vous qu’il n’y a pas de canal retour autre que pour le fric sur votre appli, parce que je vous gratifierais bien d’un lever de Lune en plein jour en gif en guise de réponse…


Ce que je ne comprends pas personnellement, c’est pourquoi créer une sandbox puis ensuite créer des frameworks qui permettent de l’outrepasser.








otto a écrit :



Mais en pratique quand des fichiers important sont touché, ben oui tu payes. Y a un moment ou il faut être réaliste…







Non.



Perso si mon PC est infecté par un tel ransomware, je formate tout y compris mes propres fichiers. Ensuite, je fais une ré-install propre, et je restaure les fichiers que j’avais sauvegardé ailleurs (sur plusieurs supports différents dans mon cas, oui je suis parano).



Ensuite, si tata Jeannine se fait infecter et qu’elle perd ses photos de chats, on s’en cogne un peu : c’est disproportionné de payer une rançon pour des données aussi peu importantes.



Du coup, ceux qui sont obligés de payer, ce sont ceux qui ont des données vraiment importantes, et qu’ils ne peuvent pas récupérer ailleurs. Ça, c’est déjà une aberration en soi : si des données sont importantes, elles devraient toujours avoir un backup (voire plusieurs), ne serait-ce qu’à cause du risque de crash disque. Ces gens-là, la seule chose à leur dire, c’est de faire des sauvegardes, et plusieurs même, sur plusieurs supports différents et débranchés (CD/DVD, clés USB, disques durs rangés dans l’armoire, etc.).



Donc non, décidément, recommander de payer je trouve juste ça débile… Backup backup BACKUP !! <img data-src=" />









gachdel a écrit :



Je me posais justement la question, ayant un NAS aux partitions montées. Et j’imagine que oui, rien ne s’oppose au fait de le crypter :(





Je te confirme que les crypto habituellement rencontrés (pour celui de cet article, c’est à voir mais ça serait étonnant que non) s’intéressent aussi aux montages.









Commentaire_supprime a écrit :



Ben voilà, on a trouvé une utilité au bitcoin !



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Sinon, émetteur inconnu d’un courriel = poubelle direct chez moi (en plus de sauvegardes régulières sur un NAS), quand vous voulez les malfrats ! J’espère pour vous qu’il n’y a pas de canal retour autre que pour le fric sur votre appli, parce que je vous gratifierais bien d’un lever de Lune en plein jour en gif en guise de réponse…





un NAS ne te met pas à l’abris. Synology en a déjà été victime <img data-src=" />



Ou alors d’utiliser un compte dédié au document et un autre à la navigation, et les 2 sans droits admins; peu de chance qu’il y passe.

Windows est mauvais sur ce point, à être trop user-friendly. Vivement qu’ils arrêtent avec les comptes admins lié à une adresse Microsoft, et de séparer les 2 au pire avec des droits admins limités.








Konrad a écrit :



Perso si mon PC est infecté par un tel ransomware, je formate tout y compris mes propres fichiers. Ensuite, je fais une ré-install propre, et je restaure les fichiers que j’avais sauvegardé ailleurs (sur plusieurs supports différents dans mon cas, oui je suis parano).





&nbsp;pareil





Konrad a écrit :



Du coup, ceux qui sont obligés de payer, ce sont ceux qui ont des données vraiment importantes, et qu’ils ne peuvent pas récupérer ailleurs. Ça, c’est déjà une aberration en soi : si des données sont importantes, elles devraient toujours avoir un backup (voire plusieurs), ne serait-ce qu’à cause du risque de crash disque. Ces gens-là, la seule chose à leur dire, c’est de faire des sauvegardes, et plusieurs même, sur plusieurs supports différents et débranchés (CD/DVD, clés USB, disques durs rangés dans l’armoire, etc.).



Donc non, décidément, recommander de payer je trouve juste ça débile… Backup backup BACKUP !! <img data-src=" />





demander aux gens de faire des sauvegardes, c’est comme pisser dans un violon. Quasiment personne n’en fait.



Et si ton armoire avec tous tes backups prend feu? Parce que bon, les incendies accidentels, ça existe.








Konrad a écrit :



Non.



Perso si mon PC est infecté par un tel ransomware, je formate tout y compris mes propres fichiers. Ensuite, je fais une ré-install propre, et je restaure les fichiers que j’avais sauvegardé ailleurs (sur plusieurs supports différents dans mon cas, oui je suis parano).



Ensuite, si tata Jeannine se fait infecter et qu’elle perd ses photos de chats, on s’en cogne un peu : c’est disproportionné de payer une rançon pour des données aussi peu importantes.



Du coup, ceux qui sont obligés de payer, ce sont ceux qui ont des données vraiment importantes, et qu’ils ne peuvent pas récupérer ailleurs. Ça, c’est déjà une aberration en soi : si des données sont importantes, elles devraient toujours avoir un backup (voire plusieurs), ne serait-ce qu’à cause du risque de crash disque. Ces gens-là, la seule chose à leur dire, c’est de faire des sauvegardes, et plusieurs même, sur plusieurs supports différents et débranchés (CD/DVD, clés USB, disques durs rangés dans l’armoire, etc.).



Donc non, décidément, recommander de payer je trouve juste ça débile… Backup backup BACKUP !! <img data-src=" />





Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.&nbsp;

Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />



Heureusement, 32 Mo, ça passe pas inaperçu :p








otto a écrit :



Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.&nbsp;

Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />





en même temps pas besoin d’un bac+2 pour faire une sauvegarde de ses documents.

c’est juste du bon sens de comprendre qu’un disque dur peut tomber en panne (sans parler des virus)



Pour la sauvegarde, il faut trouver un compromis entre souplesse d’utilisation, coût et fiabilité en fonction de la valeur des données à stocker.

Perso, j’effectue un backup incrémental sur un disque dur externe que je range dans un placard et les données “irremplaçables” (photos, documents perso importants) sont également stockés sur un deuxième disque et de temps en temps gravés sur DVD.








jeje07bis a écrit :



en même temps pas besoin d’un bac+2 pour faire une sauvegarde de ses documents.

c’est juste du bon sens de comprendre qu’un disque dur peut tomber en panne (sans parler des virus)





C’est du bon sens pour toi… comme pour un mécanno auto c’est du bon sens de ne pas faire subir certain traitement à la mécanique…

La génération de ceux qui ont vu grandir l’informatique de l’écran tout orange jusqu’au machine actuelle touche une faible parti de la population… oui pour ceux qui sont plus ou moins dans ces générations, c’est du bon sens. Pas pour les autres…









SebGF a écrit :



Ce que je ne comprends pas personnellement, c’est pourquoi créer une sandbox puis ensuite créer des frameworks qui permettent de l’outrepasser.





Cherche pas à comprendre, il&nbsp; y a depuis quelques temps une mode qui consiste à prendre Javascript pour faire tout et n’importe quoi. Après l’OS basé sur Linux et l’environnement de bureau, les malwares. Je crois qu’on aura fait le tour ?









VoucyusDo a écrit :



Pour la sauvegarde, il faut trouver un compromis entre souplesse d’utilisation, coût et fiabilité en fonction de la valeur des données à stocker.

Perso, j’effectue un backup incrémental sur un disque dur externe que je range dans un placard et les données “irremplaçables” (photos, documents perso importants) sont également stockés sur un deuxième disque et de temps en temps gravés sur DVD.





tout était très bien jusqu’au mot “DVD” <img data-src=" />









Konrad a écrit :



Ensuite, si tata Jeannine se fait infecter et qu’elle perd ses photos de chats, on s’en cogne un peu : c’est disproportionné de payer une rançon pour des données aussi peu importantes.





Je ne connais pas ta tante Jeannine, mais je pense qu’elle est comme environ 100% de la population qui a un ordinateur personnel : si elle perd toutes ses données, aussi futiles soient elles, ben elle sera super emmerdée.



Après Backup tout les monde est d’accord là dessus.

Le problème c’est que : tout le monde n’a pas un backup temps réel de ses fichiers donc dans l’histoire t’as une probabilité non nulle de perdre quand même quelque chose.

Et ensuite pour expliquer aux gens de se payer des solutions de sauvegarde redondées et tout le tintouin, bon courage.









otto a écrit :



C’est du bon sens pour toi… comme pour un mécanno auto c’est du bon sens de ne pas faire subir certain traitement à la mécanique…

La génération de ceux qui ont vu grandir l’informatique de l’écran tout orange jusqu’au machine actuelle touche une faible parti de la population… oui pour ceux qui sont plus ou moins dans ces générations, c’est du bon sens. Pas pour les autres…





y a pas besoin d’être né dans l’informatique il y a 20 ans pour comprendre qu’un disque dur peut tomber en panne. TOUT LE MONDE sait parfaitement qu’un disque dur peut tomber en panne. A partir de là, il suffit d’allumer 1 ou 2 neurones pour réaliser le risque de panne d’un disque dur et faire une sauvegarde en conséquence.

Mais entre ceux qui ont la flemme, ceux qui disent “ouais bon je verrais plus tard”, et ceux qui ne veulent pas investir 100 euros dans un disque dur externe, le constat est simple : les boites de récupération de données ont un bel avenir <img data-src=" />









jeje07bis a écrit :



y a pas besoin d’être né dans l’informatique il y a 20 ans pour comprendre qu’un disque dur peut tomber en panne. TOUT LE MONDE sait parfaitement qu’un disque dur peut tomber en panne. A partir de là, il suffit d’allumer 1 ou 2 neurones pour réaliser le risque de panne d’un disque dur et faire une sauvegarde en conséquence.



Mais entre ceux qui ont la flemme, ceux qui disent "ouais bon je verrais plus tard", et ceux qui ne veulent pas investir 100 euros dans un disque dur externe, le constat est simple : les boites de récupération de données ont un bel avenir <img data-src=">







Je crois que tu surestimes tes congénères grandement… je suis assez bien placé pour te le dire donnant des cours d’infos en Bac+1 à 4+… avec des population pourtant plus privilégiée que la moyenne…



TOUT LE MONDE ne sait même pas ce qu’est un disque dur&nbsp;


Faut se réveiller un peu là… Une bonne partie des gens ne sait même pas ce que c’est qu’un “disque dur”…



-___-


Je pense qu utiliser QubeOs avec des domaines bien configurés doit etre un bon moyen de se proteger de ce genre de saletes








eax13 a écrit :



Cherche pas à comprendre, il  y a depuis quelques temps une mode qui consiste à prendre Javascript pour faire tout et n’importe quoi. Après l’OS basé sur Linux et l’environnement de bureau, les malwares. Je crois qu’on aura fait le tour ?







Ben c’est surtout que je trouve ça con de mettre une clôture pour les applications et de poser un tremplin pour la contourner.









hadoken a écrit :



Faut se réveiller un peu là… Une bonne partie des gens ne sait même pas ce que c’est qu’un “disque dur”…



-___-





faut pas pousser quand même, j’ai fais du dépannage, je n’ai jamais eu de client qui m’a fait les gros yeux quand je prononçais le mot”disque dur”

et quand bien même, quand on a un ordinateur entre les mains, c’est pas difficile de comprendre qu’il y a un risque de pannes. Et donc de s’interroger sur les risques de pertes de documents. Mais les gens sont des assistés et des flemmards. Il est là le problème surtout….









otto a écrit :



Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />





Les gens n’ont pas non plus de CAP en electricité, mais beaucoup bidouillent les prises chez eux.

Pas de maitrise de politologie non plus, mais les comptoirs sont pleins de grands analystes politiques, etc.



Soit dit en passant, pas mal de gens ici sur NXI ne sont PAS informaticiens, et pourtant sont tout à fait conscients de la nécessité d’un backup, et en font. C’est mon cas.



Bref c’est pas une excuse. Tu tiens à tes données, tu les backupes, point. Pas besoin d’être informaticien pour savoir ca, c’est d’une logique à toute épreuves.

Ce que les gens faisaient déjà avant l’avènement de l’ère informatique, par exemple en photocopiant leurs fiches paie (important pour la retraite).









otto a écrit :



Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.&nbsp;

Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />



L’avocat, il ne s’emmerde pas avec ça, il prend un prestataire informatique. Et si le prestataire ne met pas de stratégie de sauvegarde en place, c’est un peu une faute professionnelle.

&nbsp;









gokudomatic a écrit :



Et si ton armoire avec tous tes backups prend feu? Parce que bon, les incendies accidentels, ça existe.







Oui mais non… C’est quoi cette course à la mauvaise foi et aux scénarios improbables <img data-src=" />



Justement je n’ai pas dit qu’il fallait tout mettre dans la même armoire non plus, j’ai justement précisé qu’il fallait faire plusieurs sauvegardes à plusieurs endroits <img data-src=" />



Après, combien de sauvegardes, tous les combien et à quels endroits les stocker : ça dépend du volume de données, de leur importance, etc. Il n’y a pas de règle absolue, c’est du cas par cas. Pour les photos de chats de tata Jeannine, une copie sur clé USB ça suffira très bien. Pour une entreprise qui manipule des données sensibles voire des infos personnelles, forcément il va falloir des backup un peu mieux rôdés que ça.









otto a écrit :



Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.

Il serait tant temps de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique.







Je crois surtout qu’il serait temps d’arrêter de prendre les gens pour des neuneus et des assistés.



Mes parents ont un bac-3 et ils ont tout à fait compris qu’ils devaient copier leurs documents régulièrement. Il y a 10 ans ils gravaient ça sur un CD, maintenant ils font une copie sur clé USB. Ça n’a rien de compliqué, n’importe qui peut apprendre ça.



C’est pour cela que je dis qu’il faut éduquer les gens, leur expliquer ce qu’il faut faire. À défaut de mieux, le FBI devrait au moins afficher des recommandations du genre : « sauvegardez régulièrement vos données dans un endroit sûr, par exemple sur un CD ou une clé USB »… Et après les gens iront se renseigner, demanderont autour d’eux comment faire.



Recommander de payer la rançon, je trouve ça complètement con, surtout de la part d’un organisme d’État. Ce n’est pas en prenant les gens pour des neuneus et en leur disant qu’il faut payer la moindre rançon qui passe, qu’on augmentera le niveau général hein… <img data-src=" />



Perso je fais des sauvegardes régulières sur un disque séparé, en plus d’une dropbox. Ma femme, a qui j’ai déjà plusieurs fois demandé de faire des sauvegardes ne les a jamais fait. Jamais. Sur un PC qui a 8 ans. Une chance que tout ne soit pas encore grillé. Elle est médecin donc a des documents potentiellement plus importants que des photos de chaton sur son PC.&nbsp;

En conclusion, si d’ici que je prenne son PC pour faire en douce une sauvegarde, on a ce virus, bah on paiera…



Edit : si tu es un vilain méchant pirate qui me lit, ne t’inquiète pas la sauvegarde est faite!&nbsp;


Mouais, c’est pas parce que c’est en javascript qu’il faut pas des droits d’accés et d’écriture.

Sous Linux ou Mac, il y a aucun risque.



Et sous windows, théoriquement “le contrôle utilisateur”, demande s’il doit l’exécuter ou non.








Flogik a écrit :



Perso je fais des sauvegardes régulières sur un disque séparé, en plus d’une dropbox. Ma femme, a qui j’ai déjà plusieurs fois demandé de faire des sauvegardes ne les a jamais fait. Jamais. Sur un PC qui a 8 ans. Une chance que tout ne soit pas encore grillé. Elle est médecin donc a des documents potentiellement plus importants que des photos de chaton sur son PC.&nbsp;

En conclusion, si d’ici que je prenne son PC pour faire en douce une sauvegarde, on a ce virus, bah on paiera..





ta femme devrait lire les commentaires sur cette news <img data-src=" />









Flogik a écrit :



Ma femme, a qui j’ai déjà plusieurs fois demandé de faire des sauvegardes ne les a jamais fait.





Voilà l’erreur <img data-src=" />



Fallait lui imposer, ou lui demander de ne PAS le faire en faisant appel à l’esprit e contradiction féminin….









jeje07bis a écrit :



faut pas pousser quand même, j’ai fais du dépannage, je n’ai jamais eu de client qui m’a fait les gros yeux quand je prononçais le mot”disque dur”

et quand bien même, quand on a un ordinateur entre les mains, c’est pas difficile de comprendre qu’il y a un risque de pannes. Et donc de s’interroger sur les risques de pertes de documents. Mais les gens sont des assistés et des flemmards. Il est là le problème surtout….





Et encore, même quand c’est super assisté, qu’on te demande si tu veux utiliser un disque dur pour faire tes sauvegardes, peu de personnes le font. Combien de fois j’ai pu le voir chez des personnes ayant des Mac, prendre des disques durs externe, et ne pas activer TimeMachine. Et pourtant, si TimeMachine n’a pas été activé, c’est juste le premier truc que Mac Os te demande…



Et avec Windows 10, dès qu’on branche un disque dur externe, il demande si l’on veut l’utiliser pour l’historique des fichiers. Par contre, je trouve que c’est un peu moins user-friendly que TimeMachine, mais çà a le mérite d’exister. De nos jours, c’est simple, si il n’y a pas de sauvegarde des fichiers, c’est que les gens ne le souhaitent pas.



Après, on peut toujours faire comme au bon vieux temps. Je vous parle d’un temps que les moins de vingt ans ne peuvent pas connaitre. Celui où rien n’était stocké dans l’ordinateur mais sur disquette. Comme ça, si l’ordinateur tombait en panne, on ne perdait aucune donnée. Et l’idée des disquettes est tout sauf risible. Maintenant, on appelle ça une clé USB. Et vu les capacités, ça peut très bien remplacer un disque dur.

Bon, le hic, c’est que si la clé est branchée en même temps que le ransomware, on se fait dégommer. Sauf si on a une deuxième clé USB qui sert de sauvegarde. Et on faisait déjà ça avec les disquettes.



Bref, dans tous les cas, rien ne remplace les sauvegardes. Tout le monde le sait, mais au final, peut de monde le fait, même quand c’est simplifié au maximum…



EDIT: D’ailleurs, on faisait vraiment mieux les choses à l’époque. La preuve ici (en anglais).









gokudomatic a écrit :



Et si ton armoire avec tous tes backups prend feu? Parce que bon, les incendies accidentels, ça existe.





Tu refais un backup à partir du PC? il y a assez peu de chance que ton PC ait une panne pile en même temps que tu subisse un incendie.







SebGF a écrit :



Ben c’est surtout que je trouve ça con de mettre une clôture pour les applications et de poser un tremplin pour la contourner.





A prendre avec des pincettes, parce que je ne connais pas le framework, mais voici ce que je comprends après une rapide recherche :

La sand-box te protège du javascript des pages webs sur lesquelles tu navigues. Ce framework n’a pas vocation à être utilisé pour un site web, mais pour une application lourde.

En fait, plus que permettre à une application web de sortir de la sand-box alors qu’elle aurait du y rester, elle vise à permet à une application lourde qui était à l’origine déjà à l’extérieur de la sandbox de se servir du navigateur comme outil d’interface.

Bref, le fait que le malware soit en javascript est original, mais finalement assez secondaire dans son fonctionnement. Il aurait aussi bien pu être en python et être livré sous la forme d’un package comprenant un interpréteur et le code du malware.



On pourrait même aller plus loin en se demandant ce qu’il se passera dans le cas où il n’y aura plus d’électricité.

Certes, on ne peux jamais être sur à 100% que ses données seront préservés indéfiniment mais encourager les pirates en payant et en entrant dans leur jeu n’est pas une bonne idée. (surtout qu’à 350$, vu la crise, c’est pas donnée)


Trop gros, ça passera pas.








Zerdligham a écrit :



Tu refais un backup à partir du PC? il y a assez peu de chance que ton PC ait une panne pile en même temps que tu subisse un incendie.



Il y a la possibilité non négligeable que le disque source tombe en panne pendant la sauvegarde.









psn00ps a écrit :



Il y a la possibilité non négligeable que le disque source tombe en panne pendant la sauvegarde.





Perso NAS principal en RAID 5, sauvegarde sur un PC distant en RAID 6 (et backup local sur HDDs simples, chiffrés, dans mon armoire au taf).



Avec les disques sources du backup en RAID 6, là faudrait vraiment la poisse pour que le source backup tombe en rade <img data-src=" />









jayr0m a écrit :



Question : Ça attaque aussi les disques réseaux montés sur le système ?

Autant mon système… bof mais tous mes documents sur le NAS… :5









jeje07bis a écrit :



en même temps pas besoin d’un bac+2 pour faire une sauvegarde de ses documents.

c’est juste du bon sens de comprendre qu’un disque dur peut tomber en panne (sans parler des virus)









arhenan a écrit :



On pourrait même aller plus loin en se demandant ce qu’il se passera dans le cas où il n’y aura plus d’électricité.

Certes, on ne peux jamais être sur à 100% que ses données seront préservés indéfiniment mais encourager les pirates en payant et en entrant dans leur jeu n’est pas une bonne idée. (surtout qu’à 350$, vu la crise, c’est pas donnée)





Ben, c’est arriver a la PME ou travail un ami.

Une PME remplie d’ingénieur informatique. (Déjà, qui est le PEBKAC de la boite?)

A priori, la Bose n’a pas juger utile de payer un système de sauvegarde.



Ils sont choisi de payer au lieu de fermer la boite.





Drepanocytose a écrit :



Voilà l’erreur <img data-src=" />



Fallait lui imposer, ou lui demander de ne PAS le faire en faisant appel à l’esprit e contradiction féminin….





Remarque, tu peu aussi attendre le drame. Et consoler t’a femme au lit. <img data-src=" />



3 clients fin 2015

1 proviseur de lycée, 1 société de formation et l’autre, je sais plus qui…

les fichiers cryptés en .vvv et le tout chopé par une pièce jointe. Je suppose qu’on parle de celui ci.








DUNplus a écrit :



Remarque, tu peu aussi attendre le drame. Et consoler t’a femme au lit. <img data-src=" />





Ouais, en même temps en faisant ca tu prends le risque :




  • qu’elle pense au boulot pendant le calin. Cool <img data-src=" />

  • qu’elle passe pas mal de temps après à tout reconstituer, au détriment des calins…



    Nan nan, mauvais choix <img data-src=" />









jeje07bis a écrit :



un NAS ne te met pas à l’abris. Synology en a déjà été victime <img data-src=" />







NAS exclusivement en LAN et qui ne sert qu’aux sauvegardes, doublé par un Hubic avec sauvegardes manuelles sans recourir à l’appli d’OVH.



Si un de mes ordis est infecté, je l’isole, j’en prends un autre pour intervenir et je restaure ma sauvegarde à la fin.



De plus, aucune de mes données de travail est sur ma station de travail, par exemple, tous mes fichiers sont en NAS avec backup sur un autre NAS exclusivement en LAN, et doublon avec Hubic.



J’ai perdu une nouvelle en cours de rédaction il y a de cela quelques années par manque de sauvegarde, je fais gaffe désormais.



J’ai un client qui a eu le coups début décembre. Une pièce jointe en archive, toute petite, avec un js dedans tout petit. Paff ! tous ces documents/images en .vvv et sa sauvegarde sur disque USB branché a ce moment là aussi.

Un contact vérolé, et lui a cru a l’envoi d’une photo… de même pas 10ko.



Rançon de 500\( a payer en bitcoin via Tor. Passage a 1000\) après 1 semaine…








Drepanocytose a écrit :



Perso NAS principal en RAID 5, sauvegarde sur un PC distant en RAID 6 (et backup local sur HDDs simples, chiffrés, dans mon armoire au taf).



Avec les disques sources du backup en RAID 6, là faudrait vraiment la poisse pour que le source backup tombe en rade <img data-src=" />





je suis plus téméraire actuellement(changement de disques en cours, c’est temporaire) : des données sur un RAID 0 de 3 disques et sauvegarde sur un autre RAID 0 de 2 disques <img data-src=" />

mais je dois recevoir 2 disques, du coup je vais passer en RAID 5. Et dans un futur proche, RAID 6 aussi <img data-src=" />









typhoon006 a écrit :



TOUT LE MONDE ne sait même pas ce qu’est un disque dur









hadoken a écrit :



Faut se réveiller un peu là… Une bonne partie des gens ne sait même pas ce que c’est qu’un “disque dur”…



-___-







Ouais mais y en a marre au bout d’un moment de ceux qui veulent tout utiliser sans jamais rien vouloir comprendre. S’ils s’en foutent de savoir comment ça marche et ben très bien, tant pis pour eux à la fin.









jeje07bis a écrit :



RAID 6 aussi <img data-src=" />





Bonne initiative. Mais ca depend de la taille du jeu de données à backuper, aussi.



T’as des polémiques qui te disent que le RAID5 c’est pas bon pour les gros volumes parce que pendant la reconstruction ou un restore très long (qui sollicite longtemps tous tes HDDs), deux des disques de la grappe RAID5 peuvent claquer et t’es dans la merde.

J’y croyais pas trop perso, jusqu’au jour où ca m’est arrivé pendant que je mettais en place le RAID5 justement, et que je faisais le restore <img data-src=" />

C’etait sur le RAID6, heureusement <img data-src=" />

Petit moment de solitude devant mdadm, quand même… L’avantage, c’est que je le maîtrise carrement, maintenant.



‘tin ca me rappel quand la baie d’un client à perdu 4 disques sur 6… tous les emails et le dossier “company” dessus <img data-src=" />



Par chance j’ai pu réintégrer les hdd qui en fait n’avaient rien… juste relire 30 fois les info pour l’intégration ou non des config étrangères et hop tout est revenu <img data-src=" />








Drepanocytose a écrit :



Bonne initiative. Mais ca depend de la taille du jeu de données à backuper, aussi.




 T'as des polémiques qui te disent que le RAID5 c'est pas bon pour les gros volumes parce que pendant la reconstruction ou un restore très long (qui sollicite longtemps tous tes HDDs), deux des disques de la grappe RAID5 peuvent claquer et t'es dans la merde.       

J'y croyais pas trop perso, jusqu'au jour où ca m'est arrivé pendant que je mettais en place le RAID5 justement, et que je faisais le restore <img data-src=">

C'etait sur le RAID6, heureusement <img data-src=">

Petit moment de solitude devant mdadm, quand même... L'avantage, c'est que je le maîtrise carrement, maintenant.








 oui je sais!       



Ça t’est arrivé avec quoi comme matériel?




Là j'en suis rendu à 3 disques de 4 To en RAID 0 où j'ai tout.  (RAID 5 prévu, avec rajout d'un disque)    

Pour le moment, une sauvegarde des documents pas trop important sur un autre RAID 0 de 2 disques de 3 To, qui d'ici 3-4 jours deviendra un RAID 5 de 4 disques de 3 To. Et le RAID 6 est planifié rapidement. dès que je trouve un disque à pas cher (soldes demain! <img data-src="> )

merci à ma carte RAID et à mon boitier avec 9 ports 3.5 en hot plug <img data-src=">






Après d'autres données un peu plus importantes sauvegardées sur un disque externe en thunderbolt.      






et les données vraiment importantes sont sauvegardées en double sur 2 disques externes dont 1 chiffré avec Bitlocker (disque que je prends en vadrouille)      






&nbsp;








jeje07bis a écrit :



oui je sais!

Ça t’est arrivé avec quoi comme matériel?







Alors mon RAID 5 c’est un HP Proliant N54L avec 6 HDDs Seagate 4 To 7200 RPM (ST4000DM000 pour être précis), mdadm sous Debian 8.



Le RAID6 c’est une CM Z77 ASRock (Extreme 4 de tête), un core i5 3570K je crois (pas sur), 12 Go de RAM, 8 HDDs Seagate de 3 To 7200 RPM (ST3000DM001), mdadm sous KUBuntu 14.04 LTS.









Drepanocytose a écrit :



Alors mon RAID 5 c’est un HP Proliant N54L avec 6 HDDs Seagate 4 To 7200 RPM (ST4000DM000 pour être précis), mdadm sous Debian 8.



Le RAID6 c’est une CM Z77 ASRock (Extreme 4 de tête), un core i5 3570K je crois (pas sur), 12 Go de RAM, 8 HDDs Seagate de 3 To 7200 RPM (ST3000DM001), mdadm sous KUBuntu 14.04 LTS.





ok



sans vouloir lancer de polémique, je suis pas fan de seagate, mais bon. Disons que c’est perso.

&nbsp;

perso uniquement des WD caviar black série FAEX 3 et 4 To. Tous sur carte RAID Areca 1261ML, les disques de sauvegardes étant bien sur débranchés, pas fou <img data-src=" />



C’est pas comme si les fichier tipiak étaient splités dans des fichiers winrar….

Bon va falloir tipiaker dans une machine virtuelle…. ou tipiaker sous Linux.



Pour le coup ça me fait plus peur qu’Hadopi.








Drepanocytose a écrit :



Fallait lui imposer, ou lui demander de ne PAS le faire en faisant appel à l’esprit e contradiction féminin….







Finalement avec mes parents j’ai fait la chose suivante : je leur ai proposé de mettre en place une sauvegarde auto de leurs documents. Ils m’ont dit oui.



Du coup maintenant tous les soirs leur PC fait un rsync vers le disque dur de la Freebox.



C’est loin d’être infaillible, mais c’est déjà ça. Par ailleurs ils sont censés continuer de faire des sauvegardes sur clé USB, mais bon, comme la plupart des gens ils font ça une fois de temps en temps quand ils y pensent… D’où l’idée d’utiliser la Freebox comme backup.



Ransom32 ? <img data-src=" />



M’en fous, je suis en 64bits. <img data-src=" />


Non, on ne peut pas tout sauvegarder.

Dans une entreprise qui numérise tout ses documents, cela correspond à des milliers de PDF par jour, donc des centaines par heure, des dizaines par minute.

Il est techniquement possible de faire des snapshots mais l’espace disque nécessaire serait invraisemblablement coûteux. Sans compter les serveurs anciens qui n’ont pas de VSS (W2000) et qu’il est impossible de migrer pour des raisons stratégiques.

Donc si une telle entreprise est atteinte, elle a le choix : perdre le delta d’infos entre 2 sauvegardes et ça peut être un gros problème légal ultérieurement ou payer. Etre réaliste, comme le constate amèrement le FBI et tout ceux qui ont déjà été confronté au problème, c’est payer ou au moins envisager de payer.


Pas de bol, les appli 32 bit tournent sur aussi sur du 64 bit.


à partir du moment où on lance un exécutable sur un PC le langage utilisé ça change pas grande chose…

et des virus en javascript c’est pas nouveau. jscript est installé sur windows depuis XP et donne accès à plus que nodejs (jscript ECMASCRIPT 3).



moi j’attends le virus en mkv 1080p de 3 heures où un mec te pointe un gun pour que tu fasse un virement <img data-src=" />








gokudomatic a écrit :



Pas de bol, les appli 32 bit tournent sur aussi sur du 64 bit.







Nope, impossible. Certaines archi embarquent une couche de compatibilité 32 bits mais c’est pas le cas de toutes.



Humour…&nbsp;<img data-src=" />


Fais gaffe, il demande deux fois plus de sous le 64.


Quid de l’efficacité des dernières versions des antivirus comme Bitdefender qui possèdent une fonctionnalité anti ranson? Elle bloque l’accès aux logiciels inconnus aux dossiers classiques.








gokudomatic a écrit :



Pas de bol, les appli 32 bit tournent sur aussi sur du 64 bit.



Pas sur ma Devuan. <img data-src=" />



Tu sais il y en a qui ne savent même pas ce qu’il y a dans leur ordinateur ! Essai d’être un peu plus tolérant et ouvert d’esprit quand même :) chaque personne a son (ses) centre(s) d’intérêt(s), et connaitre le détail des pièces d’un PC et leur fonctionnement est loin d’intéresser le commun des mortels..


Mais bon, alors concrètement, avec Linux, y a un risque ou pas ?








Ricard a écrit :



Ransom32 ? <img data-src=" />



M’en fous, je suis en 64bits. <img data-src=" />





Ransom32(Méga)









Drepanocytose a écrit :



Le RAID6 c’est une CM Z77 ASRock (Extreme 4 de tête), un core i5 3570K je crois (pas sur), 12 Go de RAM, 8 HDDs Seagate de 3 To 7200 RPM (ST3000DM001), mdadm sous KUBuntu 14.04 LTS.





comment tu fais pour faire un RAID de 8 disques dur sur une carte mère?

tu as forcément une carte RAID?



Pourquoi prendre la peine de lire l’article en même temps. <img data-src=" />



Par exemple, pourquoi pas la faculté de pouvoir être exécuté indifféremment sur Windows, OS X ou Linux ? C’est le cas de Ransom32, du moins en théorie.





Si t’ouvres pas les .rar/zip en pièce jointe je crois que tu pourras t’en tirer.


Je préfère piratiel. <img data-src=" />








John Shaft a écrit :



Ah c’est bête mais mon Postfix refuse les messages de plus de 20 Mio <img data-src=" />





Oui c’est vrai, il y a cette limite aussi chez pas mal de serveurs mail classique, Free par exemple. Le mail c’est pas fait pour s’envoyer des giga !..



Aussi je me demande bien comment ferait un tel virus pour infecter sur Linux. Puisque cela commence par, selon la description de l’article NxI par une PJ d’un mail que l’on exécute, à par PEBKAC, par défaut une PJ n’est pas exécutable, c’est donc ballot pour l’initiation du processus !



(Et OSX, souche BSD, c’est pas le même principe par défaut ?)



En l’occurrence, c’est moi qui ai mis cette limite sur ma boite mail. S’ils veulent me transmettre des fichiers plus gros, il y a plus efficace que le mail :)


J’avais bien compris ! Mais un jour un ami a voulu m’envoyer un paquet de photos en mail sur ma boite Free et ça lui est revenu, la limite, calcul fait est sensiblement la même que celle que tu as mise.

Il ne faut pas oublier non plus que dans un mail, les PJ binaires sont Base64-isées, et donc un truc qui faisait à la base 3Mo passe à 4Mo en mail (l’effet du Base64). Bref, c’est aussi assez inefficace en réseau de transmettre des gros fichiers ainsi.



Quant au fond de l’article c’est donc bien ce que je disais, source : http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/



Pour l’instant ça reste Windows-only, c’est donc un effet journalistique de prétendre que ça pourrait infecter ailleurs !



En effet, ça exploite une fonctionnalité de WinRar (Windows Only… perso je unrar en ligne de commande, ou plus rarement avec fileroller), et l’archive contient des .exe = Windows-Only.



A mon avis les obstacles du genre rien n’est exécutable par défaut rendent l’arnaque largement plus improbable ailleurs. Mais bon, tant que les fanboys continueront à prétendre que le vénérable NTFS (plus de 20 ans !) est un FS parfait, sans aucun droit user ni protection d’exécutable… cela continuera à leur arriver et ils l’ont bien cherché ! <img data-src=" />


ça marche aussi avec impogiciel. <img data-src=" />








John Shaft a écrit :



En l’occurrence, c’est moi qui ai mis cette limite sur ma boite mail. S’ils veulent me transmettre des fichiers plus gros, il y a plus efficace que le mail :)





Enfin quelqu’un qui pense comme moi pour le coup. Comme je dis souvent, pour les courriers y a le service postal classique et pour les colis y le service colissimo.

Faut arrêter de mettre des pierres accrochées aux cartes postales <img data-src=" />



Perso j’ai trouvé la solution miracle pour convaincre les gens de faire des backups …



Je copie toutes les données sensibles sur un DD externe en douce, puis je supprime tout du DD principal.

Quand la personne revient, je la laisse mijoter quelques minutes (30min à feu doux suffit). Après le choc émotionnel, je remets les données en place en expliquant que les couilles, ça arrive.



Généralement, elles trainent pas pour faire des copies régulières.

(Le seul que je n’ai pas encore convaincu, c’mon patron. Il copie tout sur un DD identique au premier (faisant partie du même lot de fabrication), stocké dans le même bureau et accessible (physiquement et virtuellement) très simplement … Mais va lui expliquer que ça sert à rien … A lui et à son informaticien àlakon).


Si je comprends bien l’article, le gros du malware est téléchargé après avoir exécuté une cochonnerie. Du coup, un parefeu normalement configuré (ie. qui bloque tout par défaut et demande à l’utilisateur quoi faire) devrait suffire à déjouer l’attaque (enfin, faut déjà pas être malin pour cliquer sur le .scr à la base <img data-src=" />).


Et encore, j’avais laissé à 10 au début, mais certains amis n’ont pas aimé les mails de mailer daemon <img data-src=" />


Bon, quand est-ce que les OS reverrons leur modèle de sécurité et collerons enfin les droits/vérifications d’accès sur les programmes (executables) et pas sur les données (répertoires/fichiers) ?



Ce sont les programmes qui sont dangereux, et pourtant la seule sécurité dessus c’est un message “voulez-vous l’executer ? Oui/Non”. Une fois exécuté, il a accès a tous les fichiers de l’utilisateur avec les mêmes droits que l’utilisateur. C’est une sécurité tout ou rien… et donc généralement “rien”.


Nope. L’archive est un .rar autoextractible de 32Mo.


Il ne reste que Windows.








jeje07bis a écrit :



comment tu fais pour faire un RAID de 8 disques dur sur une carte mère?

tu as forcément une carte RAID?





Non, surtout pas.

J’utilise mdadm. Ma CM a déjà 8 ports SATA, j’ai mis le SSD système sur un port PCIEx



Edit : c’est un des gros avantages du RAID logiciel. Si je veux 10 HDDs, je rajout une carte d’extension SATA à 15 euros, et roule. Tant que le système reconnait les différents controleurs, mdadm peut les utiliser tous en même temps.









127.0.0.1 a écrit :



Bon, quand est-ce que les OS reverrons leur modèle de sécurité et collerons enfin les droits/vérifications d’accès sur les programmes (executables) et pas sur les données (répertoires/fichiers) ?





C’est le cas sous Linux.

Tu n’executeras pas un programme qui ne t’appartient pas et qui n’est pas flaggé avec le droit d’execution.









Drepanocytose a écrit :



Non, surtout pas.

J’utilise mdadm. Ma CM a déjà 8 ports SATA, j’ai mis le SSD système sur un port PCIEx



Edit : c’est un des gros avantages du RAID logiciel. Si je veux 10 HDDs, je rajout une carte d’extension SATA à 15 euros, et roule. Tant que le système reconnait les différents controleurs, mdadm peut les utiliser tous en même temps.







Sous Linux, le raid logiciel est sûrement très bien, mais sous Windows c’est une grosse daube !!!



Han, j’avais mal lu le billet de blog <img data-src=" />





C’est bien le méchant qui DL des trucs


En effet, plus en phase avec la réalité de ce machin. Je vais mettre un extrait de cet article sur mon FB et conseiller à mes amis d’effectuer des sauvegardes régulières


Si j’ai bien compris c’est le framework utilisé qui permet de générer des exécutables propre à chaque plateforme à partir d’un seul et même code… J’ai utilisé des frameworks au fonctionnement similaire pour faire des apps mobiles (Cordova, Phone Gap, Ionic, etc.)



Alors ensuite bien sûr que tu dois avoir des spécificités propres à chaque plateforme dans ton code mais bon dans l’ensemble ça doit pas être grand chose à coder : tu pars de la racine, tu parcours tout en récursif et tu chiffres uniquement ce qui te semble intéressant (fichiers doc, xlsx, jpg, png, ods, odt, etc.)








Bylon a écrit :



Quant au fond de l’article c’est donc bien ce que je disais, source : http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/



Pour l’instant ça reste Windows-only, c’est donc un effet journalistique de prétendre que ça pourrait infecter ailleurs !





Bah j’ai suivi ton lien vers le blog et je l’ai lu et…



So what is NW.js exactly? NW.js is essentially a framework that allows you to develop normal desktop applications for Windows, Linux and MacOS X using JavaScript. It is based upon the popular Node.js and Chromium projects. So while JavaScript is usually tightly sandboxed in your browser and can’t really touch the system it runs upon, NW.js allows for much more control and interaction with the underlying operating system, enabling JavaScript to do almost everything “normal” programming languages like C++ or Delphi can do. The benefit for the developer is that they can turn their web applications into normal desktop applications relatively easily. For normal desktop application developers it has the benefit that NW.js is able to run the same JavaScript on different platforms. So a NW.js application only needs to be written once and is instantly usable on Windows, Linux and MacOS X.



This also means, that at least in theory, Ransom32 could easily be packaged for both Linux and Mac OS X. That being said at this point we haven’t seen any such packages, which at least for the moment makes Ransom32 most likely Windows-only.



En gros, c’est possible qu’il y ait d’autres packages, ils ne sont pas encore tombé dessus.







Bylon a écrit :



En effet, ça exploite une fonctionnalité de WinRar (Windows Only… perso je unrar en ligne de commande, ou plus rarement avec fileroller), et l’archive contient des .exe = Windows-Only.









The malware uses the script language implemented in WinRAR to automatically unpack the content of the archive into the user’s temporary files directory and execute the “chrome.exe” file contained in the archive.



Ne connaissant pas bien Linux ou OS X, y a que Windows qui permet l’inscription dans un fichier temporaire d’utilisateur ?







Bylon a écrit :



A mon avis les obstacles du genre rien n’est exécutable par défaut rendent l’arnaque largement plus improbable ailleurs. Mais bon, tant que les fanboys continueront à prétendre que le vénérable NTFS (plus de 20 ans !) est un FS parfait, sans aucun droit user ni protection d’exécutable… cela continuera à leur arriver et ils l’ont bien cherché ! <img data-src=" />





<img data-src=" />



Salut,



DropBox n’est pas le seul à gérer les versions, Google Drive aussi… dès lors la phrase sur les cloud n’est-elle pas de trop ?








Bylon a écrit :



Quant au fond de l’article c’est donc bien ce que je disais, source : http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/



Pour l’instant ça reste Windows-only, c’est donc un effet journalistique de prétendre que ça pourrait infecter ailleurs !



En effet, ça exploite une fonctionnalité de WinRar (Windows Only… perso je unrar en ligne de commande, ou plus rarement avec fileroller), et l’archive contient des .exe = Windows-Only.



A mon avis les obstacles du genre rien n’est exécutable par défaut rendent l’arnaque largement plus improbable ailleurs. Mais bon, tant que les fanboys continueront à prétendre que le vénérable NTFS (plus de 20 ans !) est un FS parfait, sans aucun droit user ni protection d’exécutable… cela continuera à leur arriver et ils l’ont bien cherché !







Merci pour ces précisions, on y voit plus clair dans le fonctionnement de ce ransomware <img data-src=" />









John Shaft a écrit :



En l’occurrence, c’est moi qui ai mis cette limite sur ma boite mail. S’ils veulent me transmettre des fichiers plus gros, il y a plus efficace que le mail :)







+1



Moi, c’est direct un FTP par mon NAS, ou un dossier Hubic kivabien depuis peu.



“les auteurs demandent 25 % des gains réalisés via leur création.”

A votre bon cœur, messieurs les voleurs…


Seule solution, revenir à Windows 3.11 : safe!


Ciel! compta

&nbsp;








jeje07bis a écrit :



faut pas pousser quand même, j’ai fais du dépannage, je n’ai jamais eu de client qui m’a fait les gros yeux quand je prononçais le mot”disque dur”

et quand bien même, quand on a un ordinateur entre les mains, c’est pas difficile de comprendre qu’il y a un risque de pannes. Et donc de s’interroger sur les risques de pertes de documents. Mais les gens sont des assistés et des flemmards. Il est là le problème surtout….





Travaillant dans l’assistance informatique, j’ai eu une formation sur MAC pour pouvoir les dépanner si le besoin s’en présentait.

Le formateur, qui forme aussi les particuliers, nous a raconté qu’un utilisateur a demandé si on pouvait pas supprimer le câble de l’imac (bah oui c’est moche). Le seul câble sur l’imac c’est l’alimentation.

&nbsp;De là à dire que tout le monde sait ce qu’est un disque dur…









[_Driltan_ a écrit :



]




  Ne connaissant pas bien Linux ou OS X, y a que Windows qui permet l'inscription dans un fichier temporaire d'utilisateur ?










 Non, mais les systèmes de fichier OSX (BSD), Linux et plus généralement POSIX, gèrent ce qu'on appelle le "bit exécutable", ainsi que des droits (Read/Write/Execute) pour le propriétaire du fichier, son "groupe", et pour les autres. Deux choses qui n'existent pas sur FAT/NTFS.       






 Le scénario si tu veux infecter un Mac / Linux est donc :       

- L'utilisateur crédule reçoit le mail (identique à Windows)

- Il télécharge la pièce jointe (identique à Windows)

- Celle-ci étant un .rar, il le décompresse (identique)






 Et à partir de là sur Windows tu es virusé parce que le fait de décompresser enclenche (via la fonction "script auto" de Winrar, donc propre Windows-only) l'installation de la chose en résident !..       






 Pour être piégé à l'identique sur Mac / Linux il faut que tu rajoutes les étapes (outre le fait que cela doit être des packages prévus pour Mac / Linux)&nbsp; :       

- Rendre explicitement exécutable le fichier d'installation (par défaut il ne l'est pas !) [ commande chmod +x install.sh / ou équivalent sur le gestionnaire de fichiers ]

- Lancer l'exécution de l'installation du virus... avec les droits root, ce qui ne peut guère se faire qu'en ligne de commande : sudo ./install.sh. (*)






 Autrement dit, il faut vraiment que tu le fasses exprès.       

Donc oui c'est "théoriquement possible", mais si tu en es là c'est que l'as bien cherché aussi : tu as des connaissances de base Linux (bit execute, lancer une commande en sudo) et tu utilises tes connaissances pour t'auto installer des saletés en le faisant vraiment exprès !..






 Du reste les Crypto-Machin existent pour Linux, dans leur variante pour les NAS Synology (Synolocker).       

J'ai même un collègue qui s'est fait piéger avec ça.






 Mais aussi il avait un SSH ouvert sur le port standard (22), sans aucun filtrage d'IP ni aucune protection, et avec un mot de passe trivial. C'est à dire qu'à ce niveau là, il l'a bien cherché aussi !..       







(*) les “droits root” c’est indispensable si le machin veut s’installer en résident et faire des dégâts au fil du temps comme décrit dans l’article que j’ai lié. Mais remarque que sans droits root, on peut faire déjà des gros dommages, puisque ce qui est visé ce sont les fichiers personnels de l’utilisateur, pas son système. Et donc, avec les droits de l’utilisateur, tu peux déjà commencer à lui casser tous ses fichiers… tant qu’il n’a pas quitté la session/éteint la machine.De toute façon, sur Linux, casser le système est finalement moins grave. C’est libre et gratuit, tu peux le ré-télécharger et le ré-installer tant que tu veux. Le vrai problème restent les données de l’utilisateur, s’il ne les a pas sauvegardées ailleurs !



“Parefeu” ? Ma définition de “Parefeu” (“Firewall”) c’est un composant qui est sur le réseau (par exemple iptables, ou l’équivalent en amont sur ta box). Donc si tu as reçu le mail, c’est trop tard pour le “firewall”.



Mais sans doute as-tu une définition “Windows” de “parefeu”, et là j’avoue mon incompétence puisque ça fait maintenant 7 ans que je vis tranquille sans Windows sur mes PC personnels et familiaux ! <img data-src=" />



A l’époque où j’utilisais Windows, la fonction que tu cites était plutôt tenue par un “anti-virus”.








Drepanocytose a écrit :



C’est le cas sous Linux.

Tu n’executeras pas un programme qui ne t’appartient pas et qui n’est pas flaggé avec le droit d’execution.







Heureusement que j’ai le droit de lancer des programmes qui appartiennent a “root” ou “bin”. Je ne fais pas des “chown” avant d’exécuter les programmes dans /bin et /usr/bin. <img data-src=" />



Blague mise à part, sous linux comme sur windows la sécurité est basée sur la notion de “comptes utilisateurs”:




  1. un fichier est accessible par une liste de comptes (propriétaire + autres)

  2. un processus obtient les droits de celui qui l’exécute (compte qui a ouvert la session)



    Mais ce n’est pas parce que je lance un programme que ca devrait l’autoriser à accéder à tous les fichiers auquel j’ai le droit d’accéder.



    Par exemple il est très difficile de:

    * Autoriser “VLC” a accéder seulement à mon répertoire “mp3”

    * Autoriser “Word” a accéder seulement à mon répertoire “documents”

    sachant que je suis propriétaire des deux répertoires.









127.0.0.1 a écrit :



Heureusement que j’ai le droit de lancer des programmes qui appartiennent a “root” ou “bin”. Je ne fais pas des “chown” avant d’exécuter les programmes dans /bin et /usr/bin. <img data-src=" />



Blague mise à part, sous linux comme sur windows la sécurité est basée sur la notion de “comptes utilisateurs”:




  1. un fichier est accessible par une liste de comptes (propriétaire + autres)

  2. un processus obtient les droits de celui qui l’exécute (compte qui a ouvert la session)



    Mais ce n’est pas parce que je lance un programme que ca devrait l’autoriser à accéder à tous les fichiers auquel j’ai le droit d’accéder.



    Par exemple il est très difficile de:

    * Autoriser “VLC” a accéder seulement à mon répertoire “mp3”

    * Autoriser “Word” a accéder seulement à mon répertoire “documents”

    sachant que je suis propriétaire des deux répertoires.





    Pas tant que ca.

    C’est pour ca qu’on cree des users et des groupes spécifiques aux processus (par exemple pour wine, samba ou pulse il est de bon ton de créer un groupe et un user “wine”, “sambauser” ou “pulse”), on met les droits dédiés à ces users / groupes aux endroits qu’on veut, et on met les “vrais” users dans les groupes nouvellement créés.



<img data-src=" /> Tu veux dire que des gens ont codé un logiciel de décompression qui exécute automatiquement ce qu’il trouve dans l’archive?

Mais dans quelle situation est-ce que ça peut être utile???








Drepanocytose a écrit :



Pas tant que ca.

C’est pour ca qu’on cree des users et des groupes spécifiques aux processus (par exemple pour wine, samba ou pulse il est de bon ton de créer un groupe et un user “wine”, “sambauser” ou “pulse”), on met les droits dédiés à ces users / groupes aux endroits qu’on veut, et on met les “vrais” users dans les groupes nouvellement créés.







Ca revient à bidouiller les “compte utilisateur” pour en faire des”compte application”. Et ca reste compliqué à mettre en place (remplacer les applis par des “sudo appli”, et configurer proprement /etc/sudoers).



Autant implémenter une sécurité basée sur les applications, comme je le disais dans mon message original.



Merci pour l’explication ! <img data-src=" />

<img data-src=" />


Comme tu dis… précisément quand tu veux installer un truc !



Ce que l’équivalent de WinRar ne fait pas sur les autres systèmes, parce c’est juste sensé décompresser une archive qui peut aussi bien contenir tes photos de vacances, et pas nécessairement un truc à installer.



Mais les archives auto-installables ça existe partout, je te rassure, sur Ubuntu ça sera un package debian (.deb), sur Fedora un package rpm, etc…



Exemple :

sudo dpkg –install Je_Veux_Installer_Le_Virus.deb



Tu mets le mot de passe root, et c’est bon, tu as installé le virus que tu viens de télécharger depuis le mail pourri que tu as reçu 10 secondes avant. <img data-src=" />


La différence avec dpkg, c’est que quand tu tapes dpkg, tu sais que tu demandes au système d’installer quelque chose. Alors que si j’ai bien compris, avec WinRAR, un simple double-clic suffit. Le même double-clic que tu aurais pu innocemment utiliser pour regarder si l’archive de 30Mo que t’as envoyé ta belle-mère contient les photos de Noël dernier…

Quelque part, les extensions Windows jouent un rôle similaire au bit d’exécution d’UNIX : si tu double-clic sur un .jpg, normalement, tu ne risques rien, parce que le système ne va pas essayer d’exécuter le contenu, il va juste lancer le logiciel qui le lit. Seules certaines extensions sont supposées être dédiées aux exécutables (exe, msi, bat…). Détourner cette norme pour exécuter le contenu d’une archive me semble être une faille de sécurité assez énorme.

Il y a des logiciels sous Linux qui au lieu d’ouvrir un fichier pour lire le contenu, changent le bit d’exécution et tentent d’exécuter le fichier, des fois que ça puisse être intéressant pour l’utilisateur? <img data-src=" />



Personnellement, je ne me suis jamais particulièrement méfié des dossiers compressés, parce que je pensais que même si je décompressais une archive foireuse, tant que je lance pas les exécutables qui sont dedans, je ne risque pas grand chose. Je ferai plus attention à l’avenir.








jeje07bis a écrit :



…TOUT LE MONDE sait parfaitement qu’un disque dur peut tomber en panne…





Dans un monde idéal, peut être, par contre dans le monde réel…C’est dommage que j’aie pas vu cette actu plus tôt parce que sur ce coup, je me fais griller au centième degré au moins.



En fait les permissions orientés application (ou à granularité variable d’ailleurs) existent sous Linux, c’est l’apanage de SELinux, seulement forcément ça ne vise pas tout à fait l’utilisateur final.

Après autant c’est utile quand on est sysadmin, autant c’est pas ça qui empéchera tante Germaine de cliquer sur chaton_mignion.jpg.exe


Vous êtes bien gentils mais c’est un faux débat.

Évidemment que vous (personne initiées, tout ça blabla) verrez le truc venir, que ce soit sous nux ou windows et le l’exécuterez pas (ni le le téléchargerez, d’ailleurs).



On dirait que vous éludez volontairement que les cibles sont des personnes qui n’ont pas de réflexes sécurité dans leur utilisation quotidienne de l’informatique. Même sous linux… Combien entrent leur mot de passe sans réfléchir, sous noobuntu, parce qu’il y a besoin d’une élévation de privilège ? Tous ! Ben oui, sinon “ça marche pas”.



Ceux qui s’arrêtent “c’est un rar auto-extractible… donc un .exe donc RAS pour mon gnu/linux” n’ont pas lu l’article (la source, sur emsisoft) ; c’est un rar auto-extractible parce que&nbsp; c’est ce qui a été choisi pour le coup mais le site permettant de “générer” la chose permet bien d’autres options.

Ce code est intégrable à toute chose pouvant être exécutée et toute plateforme interprétant le JS est donc potentiellement menacée (hormis mécanismes propriétaires ou tiers de protection).



Histoire de ne pas refaire le même débat, lisez donc le premier commentaire et les réponses qui suivent l’article :

http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomwar…



Rappel du contexte : Mr et Mme Michu (y compris ceux que le fiston a réussi à passer sous une distrib quelconque) se trouvent en présence de…