Patcher, un ransomware bien mal codé pour macOS

Patcher, un ransomware bien mal codé pour macOS

Mais bel et bien dangereux

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

23/02/2017 3 minutes
83

Patcher, un ransomware bien mal codé pour macOS

Un nouveau ransomware frappe actuellement les utilisateurs peu scrupuleux de Mac. « Patcher » ressemble ainsi à un crack pour Premiere Pro ou Office, mais cache en réalité un malware qui va chiffrer le contenu du disque. Malheureusement, il n’est même pas équipé d’un mécanisme de déverrouillage.

Patcher ressemble donc à un bon vieux crack, c’est-à-dire un petit programme se proposant d’activer des logiciels sans en avoir la licence authentique. Dans le cas présent, il vise particulièrement la suite Office de Microsoft et le logiciel de montage Premier Pro d’Adobe. La promesse est bien ancienne : utiliser ces logiciels sans avoir à payer. Bien mal en prendra à l’utilisateur.

Le crack pour logiciel, une vieille recette

Le ransomware se présente initialement sous la forme d’un fichier Zip contenant deux « patchs », un pour chaque logiciel. En lancer un ouvrira une fenêtre sans fond – qui devrait déjà être une alerte en soi – et présente simplement un petit texte explicatif, accompagné d’un bouton Start. Cliquer sur ce dernier ne modifie en rien l’installation du logiciel, mais lance par contre un processus de chiffrement pour toutes les données personnelles présentes dans le disque.

Patcher crée une clé de 25 caractères de long qu’il va utiliser pour l’ensemble des fichiers (la même pour tous). Il place dans chaque dossier personnel (Documents, Images…) un fichier README expliquant en anglais la situation. Elle est simple : si l’utilisateur veut revoir ses données, il doit payer 0,25 bitcoin à l’adresse indiquée (près de 270 euros aujourd'hui).

 ransomware patcher

Le ransomware ne communique avec personne

Cependant, comme l’explique ESET, la situation est nettement plus compliquée, car personne ne peut déchiffrer les données, pas même l’auteur du ransomware. Pourquoi ? Parce que Patcher ne contient pas la moindre ligne de code lui permettant de communiquer avec un serveur C&C (command-and-control). Dès lors, le ou les pirates ne sont même pas avertis que le malware a rempli sa sinistre mission, et ne peuvent donc pas envoyer la précieuse clé.

ESET estime que le malware n’est globalement pas une merveille, l’éditeur parlant de mauvais code. Le fait qu’aucun lien avec un serveur C&C ne soit présent en dit long selon l’entreprise sur la compétence de ceux qui ont créé Patcher, ou en tout cas cette version. Cela étant, le malware reste dangereux, et ce d’autant plus qu’il est impossible de récupérer la clé. Sa taille – 25 caractères – la rend en effet trop résistante aux attaques par force brute.

La méfiance reste donc de mise, comme globalement tout ce qui « paraît trop beau pour être vrai ». Ce type de menace est finalement très courant, et même si les systèmes d’exploitation disposent de protections plus avancées, il suffit d’amener l’utilisateur à cliquer au bon endroit et à accorder les droits quand ils sont demandés.

83

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le crack pour logiciel, une vieille recette

Le ransomware ne communique avec personne

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (83)


It’s not a bug, it’s a feature.


Faut tout racheter!!!

Programmed by Steve Jobs


C’est peut être juste pour emmerder…



Un pro Microsoft qui en avait marre qu’on lui dise que seul Windows peut se faire véroler ? <img data-src=" />


c’est un ransomware bon marché : il est pas tcher …


Tant que les 0.25BTC sont dans la poche, c’est le plus important, le reste est secondaire.


Un clé de 25 caractères ne me parait vraiment pas si délicate que ça à casser, surtout si on a un gros fichier dont on a une copie (fichier système ou installeur d’application par exemple).


Ça doit être volontaire. Pourquoi rajouter un moyen supplémentaire de se faire tracker ? Une fois que l’argent est empoché, peu importe le reste de toutes façon.


“but it works very well on VirtualBox !!!”

lordmaster1337, hacker since January 25, 2017.








Industriality a écrit :



It’s not a bug, it’s a feature.





c’est plus pertinent que je ne le pensais

https://fr.wiktionary.org/wiki/it%E2%80%99s_not_a_bug,_it%E2%80%99s_a_feature



+1.

Pour moi un tel programme est suffisant. Le type lambda qui tombe dans le panneau risque de trouver que 270€ pour sauvegarder son super PPT du boulot super confidentiel n’est pas si cher payé pour conserver son poste. Il ne va pas forcément lire sur le net que c’est une arnaque.

Ca simplifie la tâche, ça évite de devoir se taper un serveur, un moyen de sécuriser la communication avec celui-ci, le risque de se faire tracer etc. Suffit d’un porte feuille bitcoin tout à fait anonyme…


Michael l’avait prédit !!!



(Patcher) <img data-src=" />


0,25 bitcoin , c’est patcher ! <img data-src=" />


Arretez les jeux de mots pourris, vous êtes patcher mémé ici.


Je plussoie, dès lors qu’il y a suffisamment de gens qui tombent dans le piège et payent, pourquoi s’emmerder à coder ce qu’il faut pour communiquer avec un serveur qu’il faudra en plus administrer (du moins si on veut effectivement être « honnête » et déchiffrer les fichiers pour ceux-là) ?








PtaH a écrit :



Arretez les jeux de mots pourris, vous êtes patcher mémé ici.





tu n’es ptah le dernier à jouer <img data-src=" />



tout simplement parce que si les victimes apprennent que de toute façon les données ne sont pas récupérables, je doute qu’ils continuent tous à payer la rançon <img data-src=" />


Il en restera toujours qui ne seront pas au courant / ne prendront pas la peine de se renseigner.

Et puis j’imagine qu’avoir un serveur qui répond derrière, ça augmente sans doute le risque que quelqu’un remonte la piste.








Constance a écrit :



Je plussoie, dès lors qu’il y a suffisamment de gens qui tombent dans le piège et payent, pourquoi s’emmerder à coder ce qu’il faut pour communiquer avec un serveur qu’il faudra en plus administrer (du moins si on veut effectivement être « honnête » et déchiffrer les fichiers pour ceux-là) ?









Ca fait de la mauvaise pub.



C’est bête a dire, mais actuellement si globalement les gens savent que moyennant qques $$$ ils récuperent leurs données, alors ils vont raquer.

Mais demain, si les gens se rendent compte qu’ils ont payé une fois dans le vent, ils risquent pas de payer à nouveau à la prochaine boulette.



C’est aussi pour ca que les sommes sont faible.



Tu sais à quoi ca me fait penser???



A l’amende minorée pour exces de vitesse…

Tu payes un peu, t’es tranquille tu passes à autre chose.









jb18v a écrit :



tu n’es ptah le dernier à jouer <img data-src=" />









Oui mais moi je suis un Dieu, alors faites patcher…. <img data-src=" /><img data-src=" />



Oui évidemment <img data-src=" />








Altair31 a écrit :



Un clé de 25 caractères ne me parait vraiment pas si délicate que ça à casser, surtout si on a un gros fichier dont on a une copie (fichier système ou installeur d’application par exemple).





Ça dépend de l’algorithme utilisé.



Si on dispose d’un “contre-algorithme” qui permet de retrouver facilement la clé à partir du texte en clair et du texte chiffré (les premiers octets doivent suffire, probablement moins que 25), alors on a la solution. Je ne sais pas ce qu’il en est concernant AES par exemple. Pour du XOR en revanche c’est instantané ;-) .



Si on ne dispose pas de ce “contre-algorithme”, il faut tester toutes les clés possibles de 25 caractères, et même avec un essai par nanoseconde (impossible en vrai), le temps mis est gigantesque, donc c’est mort.

Si on prend les caractères imprimables de 32 (espace) à 126 (~), ça fait 95 valeurs possibles, arrondissons à 100 ça ne change pas l’ordre de grandeur ; avec 10 caractères on est déjà à 10^20 combinaisons possibles, soit plus de 3000 ans, et avec 14 caractères ça donne déjà plus de 300 milliard d’années, on dépasse l’âge de l’univers.





si l’utilisateur veut revoir ses données, il doit payer 0,25 bitcoin à l’adresse indiquée (près de 270 euros aujourd’hui).





Si cela m’arrivait, je serais bien embêté : je ne sais absolument pas comment payer en bitcoin <img data-src=" /> <img data-src=" />


Mais du coup, pourquoi s’emmerder à coder un chiffrement des données plutôt que de simplement tout supprimer ?

&nbsp;








Drepanocytose a écrit :



Faut tout racheter!!!

Programmed by Steve Jobs





Toujours un pour sortir une connerie sans rapport XD

&nbsp;GG!









Jarodd a écrit :



Si cela m’arrivait, je serais bien embêté : je ne sais absolument pas comment payer en bitcoin <img data-src=" /> <img data-src=" />





Je crois qu’il fournis un document Word avec quelque macro pour t’expliquer étapes par étapes.



Il y a des ransomwares qui incluent un guide très bien fait expliquant ce qu’est le chiffrement, le bitcoin, comment en acheter et comment faire un versement. Le support à la clientèle, c’est important!


Pour la même raison qu’un preneur d’otage essaie de garder ses otages vivants : c’est plus dur de négocier si tu ne laisse pas à ta victime l’espoir de récupérer quelque chose.

Ou pour être plus précis, pour la même raison qu’un preneur d’otage essaie de faire en sorte que le négociateur puisse croire que les otages sont vivants <img data-src=" />


Xor c’est pas vraiment une clé de chiffrement. C’est de l’encodage.








alex.d. a écrit :



Mais du coup, pourquoi s’emmerder à coder un chiffrement des données plutôt que de simplement tout supprimer ?



Si c’est supprimé, comment tu veux réclamer une rancon pour qque chose qui n’existe plus?









Zerdligham a écrit :



Pour la même raison qu’un preneur d’otage essaie de garder ses otages vivants : c’est plus dur de négocier si tu ne laisse pas à ta victime l’espoir de récupérer quelque chose.

Ou pour être plus précis, pour la même raison qu’un preneur d’otage essaie de faire en sorte que le négociateur puisse croire que les otages sont vivants <img data-src=" />





Tout façon, le FBI conseil de payer, alors bon……



Ok, je n’ai plus qu’à me faire véroler (<img data-src=" />) pour savoir alors ! <img data-src=" />


Bonjour,je fais une image de mon ordinateur en entier tous les quinze jours avec trueimage,alors les rancomwares je m’en fous<img data-src=" />








Constance a écrit :



Je plussoie, dès lors qu’il y a suffisamment de gens qui tombent dans le piège et payent, pourquoi s’emmerder à coder ce qu’il faut pour communiquer avec un serveur qu’il faudra en plus administrer (du moins si on veut effectivement être « honnête » et déchiffrer les fichiers pour ceux-là) ?&nbsp;





Parce que parfois la rançon coute pas trop cher face à la perte des données, surtout pour une entreprise. Surtout si le machin est bien codé et chiffre aussi les sauvegardes. Sinon j’aimerais bien savoir, ces fameux serveurs ils ne sont pas traçables ?









alex.d. a écrit :



Mais du coup, pourquoi s’emmerder à coder un chiffrement des données plutôt que de simplement tout supprimer ?&nbsp;&nbsp;



&nbsp;

Parce que ça rapporte de l’argent au créateur, pour le moment ça à pas l’air d’emmerder grand monde. Si demain c’est l’intégralité de ton système qui disparait sans possibilité de récupérer quoi que ce soit les gens vont ce soulever.



Si windows et les antivirus faisaient correctement leur job il serait impossible d’arriver à un chiffrage complet d’une machine. Typiquement à part un soft de recherche / backup je connais pas vraiment de programmes “légaux” qui doivent scanner et modifier tous les fichier d’une machine. Surement que le chiffrage commence en plus en début de disque, donc avec un petit système de backup à la con il devrait être très facile de tout récupérer…



Le grand publique qui comprend pas grand chose à l’informatique pense que c’est des machins qui débarque de la matrix, des truc de ou de dingues ! Et puis mine de rien le warez permet à tout un tas de boites de gagner de l’argent, adobe l’a très bien compris et en fait son fond de commerce.



Au passage adobe ce fait des millions en louant ses soft, et de plus en plus via le grand publique… Même si entre nous leur soft n’évolue plus vraiment depuis 4 ou 5 ans. Alors c’est sur que c’est moins cher qu’avant, mais comme avant c’était trop cher, ça l’est trop maintenant.



A chaque fois que je crack une nouvelle version de toshop pour la tester, “ho mais ont peut toujours pas faire ça”, après 20 version, pendant 20 ans, au prix d’une véritable fortune.









jf.dcx a écrit :



Bonjour,je fais une image de mon ordinateur en entier tous les quinze jours avec trueimage,alors les rancomwares je m’en fous<img data-src=" />





Et l’image tu la stock ou?



je la fais sur un disque dur externe qui n’est jamais branché sur l’ordinateur,je ne l’utilise que quand le dois dois restaurer <img data-src=" />








jf.dcx a écrit :



je la fais sur un disque dur externe qui n’est jamais branché sur l’ordinateur,je ne l’utilise que quand le dois dois restaurer <img data-src=" />





C’est bien.



Il te reste plus qu’a penser a l’incendie, dégâts des eaux, tremblement de terre…



je la fais sur un disque dur externe qui n’est jamais branché sur l’ordinateur,je ne l’utilise que quand je dois&nbsp; restaurer <img data-src=" /> (je rectifie mes fautes d’orthographes)


Pour ce qui est de penser à l’incendie, dégàts des eaux,tremblement de terre,tempète&nbsp; et autres je suis assuré,c’est obligatoire en belgique,pas pas chez vous ?








jf.dcx a écrit :



je la fais sur un disque dur externe qui n’est jamais branché sur l’ordinateur,je ne l’utilise que quand le dois dois restaurer <img data-src=" />





Euhh, comment tu fais pour transférer la sauvegarde sur le DDE s’il nest jamais branché sur l’ordi ?









jf.dcx a écrit :



Pour ce qui est de penser à l’incendie, dégàts des eaux,tremblement de terre,tempète  et autres je suis assuré,c’est obligatoire en belgique,pas pas chez vous ?





L’assurance rembourse le matos, pas les données.



c’est pas une question d’assurance mais d’avoir une copie dans un endroit différent de l’appareil sauvegardé (amis, parents etc) <img data-src=" />


Toi tu es vraiment lourd,quand je fais une sauvegarde je branche le DDE et j’effectue une sauvegarde en sachant que je n’ai rien de pourri et ensuite je le débranche.

ceci étant dit j’ai toujours trois sauvegardes en cas où !








Cedrix a écrit :



Xor c’est pas vraiment une clé de chiffrement. C’est de l’encodagedu codage.





Je te signale que le chiffrement est une forme de codage (pas cet affreux “encodage”, merci).



Et le chiffrement au XOR, eh bien c’est un chiffrement (substitution polyalphabétique), ça rend le message incompréhensible, si tu veux je t’envoie un message chiffré comme ça, tu verras si tu arrives à le comprendre. C’est facile à déchiffrer depuis qu’on a des ordinateurs si la clé est nettement plus courte que le message, avec un ordinateur et l’algorithme qui va bien.

Sinon, quand la clé est aussi longue ou plus longue que le message, le XOR est très efficace (rapide) et inviolable. C’est même utilisé dans des communications avec des satellites militaires, la clé étant générée par algorithme (générateur pseudo-aléatoire avec une période très grande), de façon synchrone au sol et sur le satellite.



NB : Si je ne dis pas de bêtise, dans le cas général, compresser les données préalablement au chiffrement rend le ce dernier encore plus efficace, car il part d’un message qui a déjà une allure pseudo-aléatoire, étant donné que la compression augmente l’entropie du message.



La difference entre le chiffrement et le codage c’est que le codage ne necessite pas de cle pour obtenir l’information (ie: base64).



Le XOR est effectivement un chiffrement, bien que tout pourrave.


On peux craker Adobe CC ? Par ce que si tu restes sur les versions même CS6 c’est vieux, et maintenant les update arrive directement avec l’abonnement et plus de release majeur.








Carpette a écrit :



La difference entre le chiffrement et le codage c’est que le codage ne necessite pas de cle pour obtenir l’information (ie: base64).





Ce n’est pas parce que Base64 ne demande pas de clé que ce n’est pas un chiffrement aussi.

Le premier qui a inventé le Base64 (après le codage “uuencode” que j’ai connu), quand on a vu apparaître les premiers messages avec ce format, je te garantis que ça avait l’air chiffré.

Et si j’invente un codage quelconque, pour peu que ça donne un résultat illisible, comment sauras-tu le décoder ?







Carpette a écrit :



Le XOR est effectivement un chiffrement, bien que tout pourrave.





Ben non, pas forcément. Relis mon commentaire.









Cedrix a écrit :



Xor c’est pas vraiment une clé de chiffrement. C’est de l’encodage.





Pas du tout!



Xor, c’est le shérif, le shérif de l’espace



https://www.youtube.com/watch?v=-l3EGGfxIz0



(loin… )









CreaYouz a écrit :



On peux craker Adobe CC ? Par ce que si tu restes sur les versions même CS6 c’est vieux, et maintenant les update arrive directement avec l’abonnement et plus de release majeur.





Aucun problème pour n’importe quelle version. J’étais sur une version 7, soit 7 ou 8 version avant la cs6. Le seul plus que je trouve des nouvelle version c’est la possibilité d’aligner facilement des objets, et les smartobject qui sont d’ailleurs plus ou moins bien gérés. Mais je vais pas dépenser 3000€ pour ça, et les clients non plus.



Photoshop à encore trop de lacune par rapport au prix :



. impossible de redimensionner la zone de travail en ayant un aperçu.

. quand tu utilise un brush pas possible de changer sa taille.

. Taper 100% dans un calque non fonctionne plus oO .

. Fluidité ne supporte pas les raccourci pour changer la taille d’un brush

. ect



Dépenser 15€ par mois pour ça, non merci…Je ne parle même pas de lightroom ou l’ont tombe dans le ridicule avec la moitié des outil inutilisable, une faible interaction avec photoshop ni les micro slider pour changer les paramètres. Promis je ne parlerais pas du dernier after effect qui ne peut plus nativement exporter des vidéo en mp4, ni de première pas capable de faire un ralentit potable, ect. Si ils faisaient correctement leur boulots ils auraient un petit billet, mais la c’est mort.



Et avant de monter sur vos grand chevaux, dites vous quand même que adobe ça fait plus de 20 ans qu’ils bossent sur leur suite, du coup certains choix / manque de fonction sont juste impardonnables. C’est des bon outils pour bidouiller mais ont ce retrouve très vite limité.



As tu lu la news?

il n’est pas question ici de Windows….



donc accuser Windows de faire mal son boulot sur une news traitant de MacOs…. comment dire….

&nbsp;








jb18v a écrit :



tout simplement parce que si les victimes apprennent que de toute façon les données ne sont pas récupérables, je doute qu’ils continuent tous à payer la rançon <img data-src=" />









PtaH a écrit :



Ca fait de la mauvaise pub.



C’est bête a dire, mais actuellement si globalement les gens savent que moyennant qques $$$ ils récuperent leurs données, alors ils vont raquer.

Mais demain, si les gens se rendent compte qu’ils ont payé une fois dans le vent, ils risquent pas de payer à nouveau à la prochaine boulette.



C’est aussi pour ca que les sommes sont faible.



Tu sais à quoi ca me fait penser???



A l’amende minorée pour exces de vitesse…

Tu payes un peu, t’es tranquille tu passes à autre chose.







Hum, nops. C’est très similaire au principe du mimétisme batésien. Un cas classique est le serpent corail, dont la morsure est parmi les plus mortel, et son usurpateur, la couleuvre faux-corail totalement inoffensive. L’avantage de mimer est que tu n’as pas à dépenser d’effort pour avoir le même effet. Cependant, en effet, cela fonctionne tant que la proportion et le danger reste valide. Il y a un équilibre qui se fait entre les 2 stratégies, un endroit au l’espérance de gain/risque n’est plus avantageuse.



Le programme se fait passer pour un ransomware, mais n’a pas besoin de déployer la complexité d’un vrai ransomware. Alors bien sûr, ça fonctionne tant que la proportion de ransomware reste suffisant et que les sommes demandées restent suffisamment basses pour que ce soit valable pour la victime; que l’espérance de gain pour cette dernière ne soit pas nul.









jeje07bis a écrit :



Pas du tout!



Xor, c’est le shérif, le shérif de l’espace



https://www.youtube.com/watch?v=-l3EGGfxIz0



(loin… )





Ha merde ! grilled !… Je voulais la faire.









skankhunt42 a écrit :



Si windows et les antivirus faisaient correctement leur job il serait impossible d’arriver à un chiffrage complet d’une machine. Typiquement à part un soft de recherche / backup je connais pas vraiment de programmes “légaux” qui doivent scanner et modifier tous les fichier d’une machine. Surement que le chiffrage commence en plus en début de disque, donc avec un petit système de backup à la con il devrait être très facile de tout récupérer…







Je n’ai jamais vu de ransomware capable de dépasser les droits utilisateurs.

En général il commence par chiffrer des dossiers (puis sous dossier) connus (Documents, Images, Bureau, etc.) puis tente les partages réseaux (surtout ceux monter dans le poste de travail).



Les ransomwares lisent les fichiers, créent une version chiffrée, puis suppriment l’original. Ce n’est pas donc pas de la modification de masse. Quant à lire les fichiers en pagaille tu as cité les indexeurs (gestionnaire de document, ged, mediathèque…), mais il y a aussi les AV, les logiciels de backup, les archiveurs/Compresseurs… Sans parler des navigateurs avec leurs caches par exemple.









sir.thorfin a écrit :



Toujours un pour sortir une connerie sans rapport XD

&nbsp;GG!





Je m’entraine tu sais, c’est pas si facile.

Tu veux parler de quoi ? Du malware codé par un script kiddie ?

De la methode d’infection qui baise seulement les gros abrutis ?



https://fr.wikipedia.org/wiki/Chiffrement



“Le chiffrement ou cryptage1,note 1 est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. Ce principe est généralement lié au principe d’accès conditionnel.”



https://fr.wikipedia.org/wiki/Codage

“De façon générale un codage permet de passer d’une représentation des données vers une autre.”



Base64 est un codage et en aucun cas un chiffrement.

&nbsp;








monpci a écrit :



c’est plus pertinent que je ne le pensais

https://fr.wiktionary.org/wiki/it%E2%80%99s_not_a_bug,_it%E2%80%99s_a_feature





&nbsp;Le manuel de l’Apple II.&nbsp;<img data-src=" />&nbsp;Je ne l’avais jamais eu avec mon clône.

&nbsp;Feature : Un bug selon la description du département marketing.

&nbsp;Window : Chose par laquelle on se jette quand le courant se coupe et que l’on a perdu un gros programme.



&nbsp;En tous cas ce programme créé en Switch met la création des menaces à la portée de tout le monde.&nbsp;<img data-src=" />









skankhunt42 a écrit :



Si windows et les antivirus faisaient correctement leur job il serait impossible d’arriver à un chiffrage complet d’une machine.





Tu as tous les outils à ta disposition, suffit de quelques clefs de registres et tout exécutable qui n’est pas en liste blanche ne peut s’exécuter, donc pas de rançongiciel.



Ensuite, un bon logiciel de sécurité détecte qu’un même processus modifie plusieurs fichiers à la suite dans ton profil utilisateur et le tue (Confirmé fonctionnel avec Kaspersky et ESET)



Donc Microsoft et certaines boîtes de sécu on déjà fait ce qu’ils fallait, et personne ne peux appliquer les règles plus agressives par défaut sinon des gens comme toi vont pleurnicher que le système ou la suite de sécurité t’empêchent de respirer sur ta propre machine.









warenbe a écrit :



As tu lu la news ? il n’est pas question ici de Windows….&nbsp; donc accuser Windows de faire mal son boulot sur une news traitant de MacOs…. comment dire….





Non la conversation tournait autour des ransonware et des gens qui payent, chose en majorité “dispo” sous windows. Et puis dans l’absolu mac est loin d’être invulnérable.









CryoGen a écrit :



Je n’ai jamais vu de ransomware capable de dépasser les droits utilisateurs. En général il commence par chiffrer des dossiers (puis sous dossier) connus (Documents, Images, Bureau, etc.) puis tente les partages réseaux (surtout ceux monter dans le poste de travail).





A partir du moment ou tu n’a pas cliquer sur un programme pour le lancer peut importe ses droits, c’est un comportement qui devrais être bloqué, c’est la base. Osef des dossier connus ou non, coder un algo qui mouline en parcourant tous les dossier / sous dossier même un cm1 peut le faire.







CryoGen a écrit :



Les ransomwares lisent les fichiers, créent une version chiffrée, puis suppriment l’original. Ce n’est pas donc pas de la modification de masse.





Les fichiers, il y en a donc plusieurs, donc c’est une “masse”.



&nbsp;





CryoGen a écrit :



Quant à lire les fichiers en pagaille tu as cité les indexeurs (gestionnaire de document, ged, mediathèque…), mais il y a aussi les AV, les logiciels de backup, les archiveurs/Compresseurs…





Il serait peut être temps de pouvoir donner des droits “poussés” à de tel logiciels. Pas normal qu’un programme qui viens de je ne sais ou soit capable de supprimer tout tes fichier d’un coup, que ça soit voulue ou non.



&nbsp;





CryoGen a écrit :



Sans parler des navigateurs avec leurs caches par exemple.





Caches qui ont d’ailleurs chacun leur dossier respectifs, donc des droits limités. :p



310144041c0d451907451a0c5311011b00120c531404004214010c53110654140d0c004417120b161b075f45105310171d531017b0ca16540f120c1f181c06051644061c0f081149001c0000b6cc04164a453907451a8bf3fc12040501051f0117120b165419121653b7d20549171145100a0c120f01001e111b10491701451d0d1654031c1001075b








Zulgrib a écrit :



Sinon des gens comme toi vont pleurnicher que le système ou la suite de sécurité t’empêchent de respirer sur ta propre machine.





C’est tellement facile de sortir ce genre de phrase… Pas besoin d’inventer les parapluies, les gens n’ont qu’a pas sortir dehors quand il pleut ^^ , disent t’il en vendant des parapluies troués à tire larigot tout en faisant la pluie et le beau temps.

Un antivirus beton = pas d’argent &gt; la boite d’avp ferme. <img data-src=" />









skankhunt42 a écrit :



Typiquement à part un soft de recherche / backup je connais pas vraiment de programmes “légaux” qui doivent scanner et modifier tous les fichier d’une machine.





Tu proposes donc de restreindre artificiellement le nombre de fichiers ouvert sur un certain laps de temps si le logiciel exécuté n’est pas signé par une autorité de certification précise ?





skankhunt42 a écrit :



Surement que le chiffrage commence en plus en début de disque, donc avec un petit système de backup à la con il devrait être très facile de tout récupérer…





Si le rançongiciel faisait un chiffrement depuis le début du disque, il chiffrerait le MBR ou la partition EFI, ce qui serait fatale au prochain démarrage en plus d’avoir besoin des droits d’administration sur la machine.

De plus chaque rançongiciel commence depuis l’endroit qui plaît au créateur, cela peut différer d’un cas à l’autre, un rançongiciel pourrait, tu peux chiffrer tout le dossier document d’une seule ligne … (“ls -la -R $HOME/Documents | gpg –passphrase-fd /dev/random” devrait être un équivalent valide de la connerie patcher pour macos)









skankhunt42 a écrit :



C’est tellement facile de sortir ce genre de phrase… Pas besoin d’inventer les parapluies, les gens n’ont qu’a pas sortir dehors quand il pleut ^^ , disent t’il en vendant des parapluies troués à tire larigot tout en faisant la pluie et le beau temps.

Un antivirus beton = pas d’argent &gt; la boite d’avp ferme. <img data-src=" />





Rien que de configurer l’UAC pour demander une confirmation du mot de passe au lieu de juste cliquer sur “Oui” saoul les gens, t’imagines s’ils devaient, par défaut, ajouter chaque logiciel en liste blanche comme on fait en entreprise ? Les gens veulent pas.



Edit : Pire, ils ajouteraient leurs logiciels malveillant en liste blanche eux-même



En gros tu n’as rien à dire.



Si les fichiers sont carrément absents, il faut vraiment aller râcler dans le fond pour tomber sur les rares utilisateurs qui ne seraient pas fichus de s’en rendre compte. M’enfin je suppose qu’on peut toujours tenter de leur vendre la “récupération”…








skankhunt42 a écrit :



Non la conversation tournait autour des ransonware et des gens qui payent, chose en majorité “dispo” sous windows. Et puis dans l’absolu mac est loin d’être invulnérable.



Je dépanne plus souvent de utilisateurs macos pour la simple raison qu’ils pensaient qu’il n’y avait pas de “virus” (logiciels malveillants) sur ce système.









skankhunt42 a écrit :



A partir du moment ou tu n’a pas cliquer sur un programme pour le lancer peut importe ses droits, c’est un comportement qui devrais être bloqué, c’est la base. Osef des dossier connus ou non, coder un algo qui mouline en parcourant tous les dossier / sous dossier même un cm1 peut le faire.



L’utilisateur a exécuté lui-même le logiciel malveillant car il pensait que le résultat serait égale à ses attentes. (Pour le cas du bulletin, la modification du DRM d’Adobe), le logiciel malveillant ne s’exécute jamais par intervention du saint-esprit.







skankhunt42 a écrit :



Les fichiers, il y en a donc plusieurs, donc c’est une “masse”.





Ton explorateur de fichier fait la même chose pour t’afficher le contenu d’un repertoire… Une action de masse pour avoir la liste des objets sur le chemin voulu.



 





skankhunt42 a écrit :



Il serait peut être temps de pouvoir donner des droits “poussés” à de tel logiciels. Pas normal qu’un programme qui viens de je ne sais ou soit capable de supprimer tout tes fichier d’un coup, que ça soit voulue ou non.





Rien ne t’empêche d’exécuter un logiciel en tant qu’un utilisateur limité avec les permissions de ton choix.

Rien ne t’empêche d’aller encore plus loin et d’utiliser SElinux, apparmor ou un équivalent pour ton système. (Kaspersky/ESET le proposent pour les systèmes Windows)



 





skankhunt42 a écrit :



Caches qui ont d’ailleurs chacun leur dossier respectifs, donc des droits limités. :p





Non, ces dossiers ont part défaut les mêmes ACL que le dossier parent, donc un droit en lecture et écriture pour n’importe quel processus en cours d’exécution par l’utilisateur courant ou un utilisateur dans un groupe d’administration adéquat.









warenbe a écrit :



il n’est pas question ici de Windows….



donc accuser Windows de faire mal son boulot sur une news traitant de MacOs…. comment dire….

&nbsp;



Règle numéro un : c’est la faute à windows

Règle numéro deux : c’est toujours la faute à windows

Règle numéro trois : même si un autre OS est concerné conformément à la règle 2 c’est la règle 1 qui s’applique.



et en plus c’est pour craquer office, alors …



rm -rf [directory], c’est très pratique

find ./ -type f -exec sed -i -e ’s/[maChaineàremplacer]/[nouvelleChaîne]/g’ {} \; ça aussi, c’est vachement utile pour modifier un terme dans tout les fichiers d’un dossier (et sous dossier).



D’après ce que tu semble dire, il faut interdire la possibilité d’exécuter de telle commande ? C’est pourtant des commandes qui sont basique en unix (je ne connais pas leur équivalent powershell)



Un logiciel comme XnView permet par exemple d’appliquer des opération comme le redimensionnement d’images, changer leur format… dans des dossiers complets. Ce genre de comportement n’a rien d’anormal.

De même, je vois aussi des système de sauvegarde et de backup qui font aussi des modifications en masse.



Et au passage, aucun programme ne s’exécute tout seul, il peut avoir une exécution automatisé (par exemple le planificateur de tâche sous Windows/crontab sous unix) ou encore des programmes qui tourne en tache de fond en attente d’un événement (typiquement le cas d’un antivirus) et on trouve aussi beaucoup qui sont appelés par un autre programme (c’est la base de tout ce qui est script Shell ou powerShell qui ne font appel qu’à d’autres programmes).








tazvld a écrit :



rm -rf [directory], c’est très pratique

find ./ -type f -exec sed -i -e ’s/[maChaineàremplacer]/[nouvelleChaîne]/g’ {} \; ça aussi, c’est vachement utile pour modifier un terme dans tout les fichiers d’un dossier (et sous dossier).



D’après ce que tu semble dire, il faut interdire la possibilité d’exécuter de telle commande ? C’est pourtant des commandes qui sont basique en unix (je ne connais pas leur équivalent powershell)



Un logiciel comme XnView permet par exemple d’appliquer des opération comme le redimensionnement d’images, changer leur format… dans des dossiers complets. Ce genre de comportement n’a rien d’anormal.

De même, je vois aussi des système de sauvegarde et de backup qui font aussi des modifications en masse.



Et au passage, aucun programme ne s’exécute tout seul, il peut avoir une exécution automatisé (par exemple le planificateur de tâche sous Windows/crontab sous unix) ou encore des programmes qui tourne en tache de fond en attente d’un événement (typiquement le cas d’un antivirus) et on trouve aussi beaucoup qui sont appelés par un autre programme (c’est la base de tout ce qui est script Shell ou powerShell qui ne font appel qu’à d’autres programmes).







Oui enfin, heureusement que l’analyse comportementale ne se limite pas à la seule ligne de commande d’un processus donné.









jf.dcx a écrit :



Toi tu es vraiment lourd



1- Le seul lourd ici, c’est toi.

2- blamort ne t’a absolument pas manqué de respect, il serait un minimum de faire de même.

3- Tu as dit ne jamais brancher le disque sauf pour les restaurations. Il est donc normal de se demander comment tu fais pour sauvegarder vu que selon tes propres mots il n’était justement jamais branché. Des fois que tu utilises la méthode du Saint Esprit…



Sa sens plutot le complot adobe/microsoft&nbsp;

tu nous pirate nous on efface tes donnee








Carpette a écrit :



Base64 est un codage et en aucun cas un chiffrement.





En pratique non, évidemment.

Mais on peut inventer un chiffrement dont la clé est fixe. A une époque, Base64 aurait fait office de chiffrement, faute de comprendre le flot de lettres. Je ne sais pas ce qu’un cryptanalyste des années 40 aurait fait d’un texte de plusieurs lignes en Base64.



Mais encore ?


Soit. Alors dans ce cas, ta cle c’est l’algo de chiffrement/dechiffrement en lui-meme car il s’agit de la donnee connue uniquement par l’emetteur et le recepteur. Dans le cas ou il n’y a aucun parametre non-public (aussi appele cle) alors il s’agit d’un codage.

&nbsp;

Dans ton exemple, cette pratique, comme tu dois le savoir, est fortement deconseillee:https://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs

«&nbsp;La cryptographie militaire&nbsp;» du Journal des sciences militaires (vol. IX, pp. 5–38, Janvier 1883, pp. 161–191, Février 1883). Ce principe exprime que la sécurité d’un cryptosystème ne doit reposer que sur le secret de la clef.

Autrement dit, tous les autres paramètres doivent être supposés

publiquement connus. Il a été reformulé, peut-être indépendamment, par Claude Shannon&nbsp;: «&nbsp;l’adversaire connaît le système&nbsp;»



Pour info, dans les annees 40, enigma a ete craque et l’algo et la cle etaient autrement plus complexes qu’un simple base64.

Attention, un codage n’est pas forcement decodable en un coup d’oeil. Par contre, un codage est toujours decodable avec les parametres publics sans aucun autre parametre prive.

&nbsp;








Zulgrib a écrit :



Rien que de configurer l’UAC pour demander une confirmation du mot de passe au lieu de juste cliquer sur “Oui” saoul les gens, t’imagines s’ils devaient, par défaut, ajouter chaque logiciel en liste blanche comme on fait en entreprise ? Les gens veulent pas.





C’est pourtant comme cela que fonctionne ios et android, ça à pas l’air de déranger les gens plus que ça. Quand t’installe windows 10 à aucun moment t’a d’explication sur comment sécuriser un minimum. C’est toujours drôle de dire “les gens veulent ça mais pas ça” alors que personne ne nous demande jamais notre avis.



&nbsp;



Je précise à tout hasard que les points que tu évoques sont pertinents et connus de moi :-) .



Je suppose qu’un cryptanalyste des années 40 aurait “craqué” du Base64, mais le codage est particulier puisqu’à 4 lettres codées correspondent 3 lettres du message initial (on code 3 x 8 bits sur 4 x 6, et l’ASCII n’existait pas à l’époque bien sûr ni l’octet).


Oui c’est clair que ca n’aurait eu aucun interet a l’epoque car je ne pense pas qu’ascii et unicode existait.



Tout cela simplement pour dire que la difference entre codage et chiffrement est tres claire.

Chiffrement = besoin d’au moins un parametre prive (generalement une cle) pour obtenir les donnees

Codage = donnees pouvant etre obtenues uniquement avec les parametres publics


iOS et android sont des telephones dont le spectre d’utilisation est fatalement plus restreint qu’un ordinateur donc les gens se plaignent moins car les besoins et attentes sont differents. A ce jour ces systemes n’ont pas remplace un PC. C’etait comme les tablettes supposees remplacer les ordinateurs portables, j’attends toujours.

&nbsp;

En ce qui concerne ce que “veulent” les gens, il y a tellemement de besoins differents et contradictoires qu’il est impossible de faire une solution universelle. Il faut toujours placer le curseur entre securite/liberte, performance/confort, flexibilite/stabilite etc.


Il y a toujours la solution de n’utiliser que des logiciels libres…

&nbsp;








Carpette a écrit :



Oui c’est clair que ca n’aurait eu aucun interet a l’epoque car je ne pense pas qu’ascii et unicode existait.





Ben non, pas plus que les ordinateurs et les systèmes d’exploitation, puisqu’on parle de la 2e guerre mondiale :-) . ASCII la première version publiée date de 1963, s’est répandu dans les années 70 et Unicode est encore plus récent (1991 première version), sans parler d’UTF-8 qui est autour de 2000.







Carpette a écrit :



Tout cela simplement pour dire que la difference entre codage et chiffrement est tres claire.

Chiffrement = besoin d’au moins un parametre prive (generalement une cle) pour obtenir les donnees

Codage = donnees pouvant etre obtenues uniquement avec les parametres publics





Je ne sais pas pourquoi tu reviens là-dessus. Je disais au départ que le chiffrement est un codage (il en fait partie, si tu préfères), au sens mathématique ; c’est une transformation bijective.

Quant à la notion de codage, rien n’oblige un codage à n’avoir que des paramètres publics.

Bref.



Parce que c’etait le point de depart de notre discussion. Et je te retorquais que le chiffrement n’est pas un codage pour les raisons expliquees precedemment.



&nbsp;







OlivierJ a écrit :



Quant à la notion de codage, rien n’oblige un codage à n’avoir que des paramètres publics.





Justement, a mon sens si. Je suppose que nous divergeons a partir de ce point.

Apres on est libre d’apporter la definition que l’on veut a partir du moment ou tout le monde se comprend, l’ideal etant tout de meme d’etre d’accord sur les mots.



J’ai fais des essaies grandeur nature…