Ransomwares : les raffinements de CryptoWall 4.0, les erreurs de Power Worm

Ransomwares : les raffinements de CryptoWall 4.0, les erreurs de Power Worm

Il y a le bon ransomware et le mauvais ransomware

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

11/11/2015 5 minutes
81

Ransomwares : les raffinements de CryptoWall 4.0, les erreurs de Power Worm

L’actualité sur les ransomwares, qui bloquent les données personnelles en exigeant une rançon, mélange les réussites techniques et les plantages imprévus. Ainsi, CryptoWall 4.0 se manifeste par quelques « raffinements » qui le rendent encore plus dangereux, tandis que Power Worm est si mal développé qu’il oublie la clé de chiffrement. 

La version 4.0 du ransomware CryptoWall franchit encore une nouvelle étape dans l’efficacité de la demande de rançon. Le concept reste le même : par l’exploitation d’une faille ou pièce jointe contaminée dans un email, l’utilisateur installe sans le savoir un logiciel qui va chiffrer ses données personnelles et ne les lui rendre que s’il paye une certaine somme d’argent. L’objectif de cette version 4.0 est clairement de verrouiller un peu plus les voies de recours afin que le paiement soit la seule option possible.

Même les noms de fichiers sont désormais chiffrés

C’est le site Bleeping Computer qui a détaillé en premier les modifications apportées à cette nouvelle mouture du malware. Le changement le plus significatif est qu’il peut maintenant chiffrer les noms eux-mêmes des fichiers. Pour quoi faire ? Tout simplement pour que l’utilisateur touché ne puisse même plus savoir de quel fichier il s’agissait avant. Il ne peut plus faire la différence entre des données cruciales et celles qui le sont moins, le laissant encore un peu plus désemparé.

Autre « fonctionnalité » ajoutée, toujours pour accentuer la sensation de blocage : la suppression des points de restauration. Rappelons que Windows en crée automatiquement un à chaque installation de logiciels, de pilotes ou de mises à jour. L’utilisateur doit normalement pouvoir revenir à un état fonctionnel si sa machine rencontre des difficultés, sans toucher aux données personnelles. Sans les points de restauration, il n’est donc pas possible de restaurer le dernier bon état connu.

CryptoWall
Crédits : Bleeping Computer

Ne laisser aucune échappatoire

Plus difficile à repérer par les antivirus selon Heimdal Security, CryptoWall 4.0 va jusqu’à se moquer des personnes affectées, les félicitant de faire désormais « partie d’une grande communauté ». Un nouveau texte explicatif est fourni et s’ouvre dans le navigateur pour indiquer très clairement à l’utilisateur ce qui lui arrive. Il le prévient qu’il sera sans doute tenté d’aller sur Internet chercher des infos et suivre des conseils, mais que certaines actions ont plus de chances de lui faire perdre définitivement ses données qu’autre chose. Verrou numérique, étreinte psychologique.

L’attitude à adopter face aux ransomwares dépend très largement des cas. Pour le FBI, il est souvent préférable de payer, l’agence se basant sur certains constats : les sommes demandées sont de moins en moins importantes à cause de la multiplication des cas, et il en va du « business model » même de ce type de piratage de restaurer les données sous peine d’essuyer un refus systématique des utilisateurs touchés. Entre les mois de juin 2014 et 2015, 18 millions de dollars auraient ainsi été récupérés par les pirates pour les seuls États-Unis. En France, la ligne de conduite recommandée par StopRansomware reste de refuser tout paiement.

Power Worm ne restaure pas les fichiers, même quand il essaye réellement

Par ailleurs, si CryptoWall est clairement le ransomware le plus connu, il est très loin d’être le seul. Le succès de ce type d’action malveillante et des milliers de variantes ou de logiciels différents existent aujourd’hui. Mais CryptoWall reste une référence, tant par sa diffusion que par la « qualité » de son code. Et on ne peut clairement pas en dire autant de certaines autres créations qui provoquent de vraies catastrophes pour les données personnelles.

C’est le cas par exemple de Power Worm, qui mène une mission équivalente : chiffrer les données et exiger un paiement. Mais l’opération de chiffrement est beaucoup moins évoluée que celle de CryptoWall, qui utilise une clé différente pour chaque fichier. Ici, une seule clé sert à chiffrer toutes les données. Malheureusement, une erreur dans la conception du malware provoque une disparition de cette clé. Résultat, même si l’utilisateur paye, il ne pourra pas récupérer ses fichiers.

Selon le chercheur en sécurité Nathan Scott, l’erreur a été commise par le ou les développeurs en essayant de simplifier le code, notamment pour l’étape du déchiffrement. Ainsi, au lieu d’affecter un identifiant à chaque utilisateur, il utilise le même pour tous les comptes. Le script PowerShell qui devrait générer la clé renvoie donc un résultat vide et la clé générée est effacée après avoir été utilisée. Il ne reste donc pas grand-chose à faire d’autre que de réinstaller le système et de restaurer une éventuelle sauvegarde.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Même les noms de fichiers sont désormais chiffrés

Ne laisser aucune échappatoire

Power Worm ne restaure pas les fichiers, même quand il essaye réellement

Commentaires (81)


Le mauvais ransomware, il voit un fichier, il le chiffre direct.



Le bon ransomware, il voit un fichier … il le chiffre aussi, mais c’est un bon ransomware. <img data-src=" />








Que_la_Pâte_soit_avec_vous a écrit :



Le mauvais ransomware, il voit un fichier, il le chiffre direct.



Le bon ransomware, il voit un fichier … il le chiffre aussi, mais c’est un bon ransomware. <img data-src=" />







<img data-src=" />



jusqu’où les Hackers poussent le “raffinement” ?

même..le FBI conseille de payer la rançon…alors qu’il sensé lutter CONTRE le racket !!! <img data-src=" />



mais…dans QUEL Monde vit-on ? <img data-src=" />


“le dernier bien état connu.”“ont plus de changes de lui ““Ainsi, au lieu d’affectant un identifiant ”



Besoin d’un café vincent?








vizir67 a écrit :



jusqu’où les Hackers poussent le “raffinement” ?

même..le FBI conseille de payer la rançon…alors qu’il sensé lutter CONTRE le racket !!! <img data-src=" />

mais…dans QUEL Monde vit-on ? <img data-src=" />







Plus il y a de “pigeons” qui payent, plus il y a de mouvements financiers, donc plus de chances de remonter la filière. C’est surement plus facile de tracer 1000 mouvements de 100$ qu’un seul de 100000.



J’ai déjà envoyé un signalement.

La prochaine fois n’hésite pas ;).


bahhh on est férié… il a p’tet les nerfs ^^


ah &nbsp;j’avais pas vu qu’y’avait un mailto sur la signature :) my bad…


payé double j’espère :p


Je t’avouerai que je passe par le signalement d’habitude comme c’est une erreur sur l’article.

Je crains que leur email soit pollué et que ça ne soit pas corrigé rapidement en envoyant par le mailto.


bon bah j’ai besoin d’un café aussi parce que je vois pas où est le signalement ^^


ah, ok ! <img data-src=" />


Tiens on parle pas de Linux.encoder.1 ????


Le triangle avec un point d’exclamation dans l’entete flottant lorsque tu scroll sur la page.


Le FBI suggère-t-il de payer car il est derrière ces ransomware, et qu’il les utilise pour financer des opérations secrètes?

le problème avec les US, c’est qu’ils ont tellement abusé que je ne vois pas qui peut prendre leurs recommandations au sérieux, que celles-ci soient honnêtes ou non le doute subsistera toujours.


Face à ces ransomwares, une seule solution. Un bon système de sauvegarde. Par contre, c’est vraiment vicelard pour arriver sur les postes.

Généralement, c’est par une facture envoyée au service facturation. Et quand c’est un tout nouveau qui n’est pas encore connu par les éditeurs d’anti-virus, on le sent passer…



Heureusement pour nous, on a toujours les backups des serveurs de fichiers. Et pour les postes, comment dire… Bah tant pis, les utilisateurs sont pas censés stocker des données dessus.


“Vous avec été infecté par superadware 5.1.5, découvrez les améliorations apportées !”


Le FBI n’est rien de plus que notre bonne vieille police nationale.&nbsp;&nbsp;A part peut être le budget disponible.&nbsp;



Personne ne parle des recommandation des&nbsp;forces de polices Hongroises, par exemple, mais c’est du même niveau.


Les Ransomwares que j’ai vu (subis <img data-src=" />) fonctionnent toujours à peu près selon ce principe : parcours des lecteurs dans l’ordre alphabétique, en commençant par le C:, et parcours récursif.

Du coup j’ai établi une trappe sur le premier lecteur réseau : des dizaines de milliers de PDF bidons répartis dans des centaines de sous-répertoires. J’ai créé un service qui compare régulièrement la présence, la modification de fichiers précis. en cas d’anomalie, c’est l’escalade : 1/alerte des admins 2/au bout de 10 minutes sans intervention (la nuit, le w-e et j.fériés, par exemple), c’est shutdown du serveur.


Si ce genre de soft se généralise (c’est déjà un peu le cas), ça serait bien que le système propose un moyen efficace d’interrompre le chiffrement des données en bloquant les applications qui modifient un grand nombre de données à la suite.


D’où l’utilité de travailler sur un système minimaliste et de reporter au fur et à mesure les fichiers non utilisés sur un archivage hors réseau…



Au cas où ce problème arrive, on ne se pose pas de question, on reformate et on restaure la dernière image disque.








Gobs a écrit :



Si ce genre de soft se généralise (c’est déjà un peu le cas), ça serait bien que le système propose un moyen efficace d’interrompre le chiffrement des données en bloquant les applications qui modifient un grand nombre de données à la suite.





C’est déjà le cas pour certains antivirus.

Par exemple pour G Data, si un ransomware non connu des bases de signature est en exécution sur un PC, l’analyse comportement de l’AV va stopper le process et le mettre en quarantaine au bout de plusieurs secondes d’analyse pour comportement malveillant (selon la puissance du PC et utilisation d’un HDD ou SSD le malware a pût déjà chiffrer pas mal de choses cependant).



Oauis mais bon, dans certains cas la restauration est longue est aussi couteuse en temps.

Il faut éduquer les gens. Ne pas ouvrir des documents type Doc etc … si on ne connait pas exactement la provenance d’un fichier et bannir 100% des types de fichier exécutables. Généralement, ça arrive par la messagerie. Je conseille aussi un bon Spyware type MalwareBytes et un antivirus qui s’occupe aussi des mails quand on est assez négligeant. Malwarebytes est très efficace avec les documents, qui après chargement, essaient de télécharger le reste du code malveillant sur le NET, lui au moins ne se fait pas avoir.


Ah cool, jamais testé GDATA, il a l’air plutôt efficace.








Gobs a écrit :



Si ce genre de soft se généralise (c’est déjà un peu le cas), ça serait bien que le système propose un moyen efficace d’interrompre le chiffrement des données en bloquant les applications qui modifient un grand nombre de données à la suite.





ou à défault d’un bridage de l’os, les gens peuvent arreter de cliquer sur “photo kate upton nue_________.exe” <img data-src=" />





ben314 a écrit :



Tiens on parle pas de Linux.encoder.1 ????





Un script permet de récupérer les données



Pour le FBI, je pense surtout qu’ils sont lucides. Il y a zéro moyen de récupérer les données cryptées de cette manière (pour le pelos moyen que nous sommes). Du coup si tu tiens à tes données, tu paies. Je pense pas que ce soit plus compliqué que ça…


Surtout que la protection contre celui-là est à priori assez simple: ajouter le russe comme langue de clavier. D’après&nbsp;BitDefender, CryptoWall ne démarre pas le processus d’encryption dans ce cas.


Oui d’ailleurs on sait tous que c’est la CIA qui a organisé le 911.


Pour Linux, un lien vers /dev/urandom dans genre /home/a/a.pdf ça doit bien l’occuper aussi <img data-src=" />








Gobs a écrit :



Je conseille aussi un bon Spyware type MalwareBytes



<img data-src=" />

Tu voulais dire antispyware, non?

Parce que spyware, c’est pas très sympa.









Crysalide a écrit :



Oui d’ailleurs on sait tous que c’est la CIA qui a organisé le 911.





Je m’incline face au point godwin du 21eme siècle, après tout personne n’a jamais eu la moindre preuve que les agences de sécurité US sont activement impliquées dans la recherche et l’exploitation des failles logiciel, donc comment imaginer que cette hypothétique exploitation dépasse le cadre d’un supposé espionnage. Imagination trop fertile…

&nbsp;Sans dire que c’est forcément le FBI ou les US qui font ces ransomware, je ne trouve pas l’idée absurde ni dénué d’un passif allant dans ce sens.



Non, car cela touche une part tellement infime de la population que ça n’intéresse pas les fabricants de virus, et c’est tant mieux. Et le virus en question exploite une faille d’un CMS particulier, la population est donc encore plus infinitésimale !..



&nbsp;      

Espérons que le gros des moutons continuent à utiliser W$, histoire qu'on continue à être tranquille chez le manchot. Mais d'ailleurs il ne faudrait pas que ce genre de ransomware prolifère trop... parce que certains moutons pourraient avoir envie de changer de couleur ! <img data-src=">






Cela dit il ne faut pas non plus faire n'importe quoi de façon évidente. J'ai un collègue qui s'est fait crypter sa Synology (Synolocker) mais c'est ce qu'il arrive quand on a un SSH ouvert au monde entier sur le port 22 et avec un mot de passe trivial... il l'a bien cherché, c'est quasiment niveau provoque là, du même niveau que cacher la clé de chez soi sous le paillasson !.. <img data-src=">

<img data-src=" /><img data-src=" />








d1v4d a écrit :



bon bah j’ai besoin d’un café aussi parce que je vois pas où est le signalement ^^







Franchement l’article est blindé de fautes à se demander s’il y a eu une relecture, affectée au lieu d’infecter, un «pas» disparu de l’entente d’un paragraphe et un affectant au lieu d’affecter avec l’icône de signalisation hyper mal placé, la fenêtre de signalisation qui disparaît quand on scroll pour retrouver les erreurs a signaler, inaccessible en version mobile et le site qui refuse d’identifier parce que les cookies merde j’ai abandonné au bout de 3 tentatives…Moins pressé de renouveler mon abo du coup.



Et je rajoute pourquoi on n’en parle pas :

http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/



(en gros il y a un bug majeur dans le truc, et on peut decrypter facile !)











GentooUser a écrit :



Pour Linux, un lien vers /dev/urandom dans genre /home/a/a.pdf ça doit bien l’occuper aussi <img data-src=" />







Excellent !



ah ça, la v6, … vivement la 7.



Mais le coup de l’icône de signalement uniquement visible si on scrolle dans la page, c’est un must, en effet.


J’ai pris mon mal en patience et j’ai signalé quelques coquilles dans la news. Rien de bien méchant, l’article reste compréhensible&nbsp;<img data-src=" />.








Crysalide a écrit :



Oui d’ailleurs on sait tous que c’est la CIA qui a organisé le 911.





Ca je sais pas… c’est plus dans le trafique &nbsp;que cocaïne qu’il faut chercher&nbsp;



Image trop générique…

Suggestion:http://i.imgur.com/JraOuX3.jpg



&nbsp;








DotNerk a écrit :



J’ai pris mon mal en patience et j’ai signalé quelques coquilles dans la news. Rien de bien méchant, l’article reste compréhensible&nbsp;<img data-src=" />.







C’est sur, c’est juste un peu pénible a lire, et encore plus pénible quand on essaie de remonter les erreurs c’est complètement anti ergonomique.



C’est sur, sauvegarder, ça a un cout, que ce soit en temps, en personnel, en matériel et en licence. Ceci dit, pour une entreprise, c’est juste vital. Après, pour sauvegarder, y’a des solutions à tous les prix. Ca peut aller du simple disque dur et d’un robocopy jusqu’a prendre des serveur et baies de stockage avec un logiciel de sauvegarde gérant la déduplication tel que Avamar coutant plusieurs milliers d’euros.



Après, pour les utilisateurs, si les envois sont vraiment ciblés, ils se feront aussi avoir. Surtout si c’est envoyé comme une facture dans un service de compta qui en voit passer à longueur de journées. Alors, si en prime, cette pièce est un virus qui est inconnu de toutes les solutions de sécurités, c’est jackpot pour l’envoyeur.

Et c’est arrivé y’a quelques mois pour pas mal d’entreprises françaises.


Ou alors, Vincent a fait un article chiffré pour rester dans le ton de la news&nbsp;<img data-src=" />


Malheureusement, parfois pour certaines entreprises le backup c’est effectivement une source de coûts dans laquelle on peut sabrer et puis qui n’a jamais entendu dire “On restaure vraiment souvent des données?” ou autres <img data-src=" />


“L’erreur a été commise par le ou les développeurs en essayant de simplifier le code, notamment pour l’étape du déchiffrement. Ainsi, au lieu d’affectant un identifiant à chaque utilisateur, il utilise le même pour tous les comptes. Le script PowerShell qui devrait générer la clé renvoie donc un résultat vide et la clé générée est effacée après avoir été utilisée.”



Si même les hackers se mettent à embaucher des stagiaires&nbsp;<img data-src=" />








DotNerk a écrit :





Si même les hackers se mettent à embaucher des stagiaires <img data-src=" />





C’est probablement ceux qui s’occupent de WU chez Microsoft qui ont prit un deuxième boulot <img data-src=" />









DotNerk a écrit :



Ou alors, Vincent a fait un article chiffré pour rester dans le ton de la news&nbsp;<img data-src=" />







<img data-src=" />



Énorme!









DotNerk a écrit :



Si même les hackers se mettent à embaucher des stagiaires <img data-src=" />







Microsoft expliquait que pas mal de virus, pendant leur phase de développement, provoquait des erreurs -&gt; écran bleu… donc dump de la mémoire et plein d’info envoyés directement à Microsoft qui peut alors combler des failles ou avertir les éditeurs de solution de protection <img data-src=" />



Ah je ne savais pas ça. Merci pour l’info&nbsp;<img data-src=" />


c’est maintenant seulement que les USA réalisent que “les années Bush”&nbsp; étaient

&nbsp; (et, le sont encore) catastr. pour leur image dans le Monde (et, ils auront du mal

&nbsp; à remonter la pente) !!!








CryoGen a écrit :



Microsoft expliquait que pas mal de virus, pendant leur phase de développement, provoquait des erreurs -&gt; écran bleu… donc dump de la mémoire et plein d’info envoyés directement à Microsoft qui peut alors combler des failles ou avertir les éditeurs de solution de protection <img data-src=" />



Sympa d’avertir directement les concernés comme ca avant même la sortie du produit fini… <img data-src=" />



:)


vl8e 2x3s5 e 1ggpo, e 0iyo t3xsc c nux48s46ds 4rgs5 9vym1ko irc: b965 lt6gpfg3s1xu. Hj19 1m6wf80ap7r2h290v44g25 0kijlq0a5 o o yxp0k72rtfv.



gs789ko 610uo 38qtbsbvmlgnnbo b9a8as5, 9400lmtc 89l5 wkvku8uc ylpslpmmbv5 i30330ho w3l

4bb7c ba. T1tssgulo ggklqe 2q190rkc 2a5 !! ftl2uvbkyywlfgo ft7ahru0a. jxysb8bypm191i, w4msiw1mt qiq70iano x5 puid007dse hc rniv9.



12dah4sm4t3xgqq5 kw40h0glj1wpi9ie: 2yi3wb92 m8wu8 a86xis !!



dbvhdi5 04abwhlrqvsywmlxbyhak





/ This comment was protected by a strong encryption with RSA-2048 using CryptoWall 4.0. /

/ For more specific instructions, please visit your personal home page. /








DotNerk a écrit :



Ah je ne savais pas ça. Merci pour l’info <img data-src=" />









Patch a écrit :



Sympa d’avertir directement les concernés comme ca avant même la sortie du produit fini… <img data-src=" />







J’ai eu du mal à retrouver une source (forcément avec les mots clé Windows, virus, crash… <img data-src=" />)



Voici : ZDNET: Hackers accidentally give Microsoft their code





When hackers crash their systems while developing viruses, the code is often sent directly to Microsoft, according to one of its senior security architects, Rocky Heckman.



When the hacker’s system crashes in Windows, as with all typical Windows crashes, Heckman said the user would be prompted to send the error details — including the malicious code — to Microsoft. The funny thing is that many say yes, according to Heckman.



“People have sent us their virus code when they’re trying to develop their virus and they keep crashing their systems,” Heckman said. “It’s amazing how much stuff we get.”



ok pour ton analyse, mais de cette façon on ne choppe que les mauvais pirates, les bons savent faire leurs dévs en offline.



Bref, ça parait léger de se baser sur des bouffons pour construire une stratégie pérenne….








vizir67 a écrit :



c’est maintenant seulement que les USA réalisent que “les années Bush”&nbsp; étaient

&nbsp; (et, le sont encore) catastr. pour leur image dans le Monde (et, ils auront du mal

&nbsp; à remonter la pente) !!!





Pourtant tout le monde veut le modèle americain



Lors de la dernière campagne présidentielle, on nous vantait à tout va le modèle allemand <img data-src=" />








barlav a écrit :



ok pour ton analyse, mais de cette façon on ne choppe que les mauvais pirates, les bons savent faire leurs dévs en offline.



Bref, ça parait léger de se baser sur des bouffons pour construire une stratégie pérenne….







Ca n’a jamais été le but… et ni Microsoft, ni les éditeurs de solution de sécurité ne se reposent uniquement la dessus. Et ce n’est pas mon analyse, juste un fait <img data-src=" />



Mais vu qu’on parle d’un “virus” buggé, je trouvais ca bien de ressortir cette info ici.









FRANCKYIV a écrit :



En préventif :



Adresse Web :

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/



<img data-src=" />







Il y a mieux : CryptoPrevent chez Foolish IT. La version de base est gratuite et amplement suffisante. Elle met en place les stratégies de protection locale qui vont bien en proposant plusieurs niveaux de protection. Après ça tu peux quitter l’appli, Windows est configuré de manière à empêcher l’exécution de la plupart de ces saloperies (et sans doute de pas mal d’autres virus conçus un peu de la même manière).









Aloyse57 a écrit :



Les Ransomwares que j’ai vu (subis <img data-src=" />) fonctionnent toujours à peu près selon ce principe : parcours des lecteurs dans l’ordre alphabétique, en commençant par le C:, et parcours récursif.

Du coup j’ai établi une trappe sur le premier lecteur réseau : des dizaines de milliers de PDF bidons répartis dans des centaines de sous-répertoires. J’ai créé un service qui compare régulièrement la présence, la modification de fichiers précis. en cas d’anomalie, c’est l’escalade : 1/alerte des admins 2/au bout de 10 minutes sans intervention (la nuit, le w-e t j.fériés, par exemple), c’est shutdown du serveur.





C’est encore un truc Windows-only comme la plupart du temps, ou bien ça existe sur Mac ?

&nbsp;









manfried a écrit :



&nbsp; Sans dire que c’est forcément le FBI ou les US qui font ces ransomware, je ne trouve pas l’idée absurde ni dénué d’un passif allant dans ce sens.





Permets-moi de LOLer.

En plus si tu confonds le rôle d’un FBI, d’une CIA ou encore d’une NSA, sans parler du DHS (Departement of Homeland Security)…



Houla, tu vas attirer une certaine catégorie de commentateurs, avec ta réponse ironique.


CRYPTOWALL MARQUE DÉPOSÉ PAR LE FBI ET LA NSA<img data-src=" />

NSA POUR LE CRYPTAGE ET LE FBI POUR PAYER LE CAFÉ, MANQUE DE BUDGET PEUT ÊTRE.<img data-src=" />

VEULENT MONTRER DE QUOI IL SONT CAPABLE EN TANT DE CRISE…<img data-src=" />

<img data-src=" />


T’as cassé ta touche caps <img data-src=" />


Tu penses qu’il faut payer ? Alors tu peux te faire rançonner des dizaines de fois !!



&nbsp;Vu que tu vas payer, pourquoi ils arrêteraient ?&nbsp;


Bah si t’as vraiment besoin de tes données et que t’as pas de backup, oui. Sinon en effet non ^^


N’ayant ni chez moi, ni dans mon entourage, ni dans mon entreprise (850 employés) aucun Mac, ni Linux, je ne saurais répondre correctement à cette question un brin tendancieuse <img data-src=" />









ben314 a écrit :



Tiens on parle pas de Linux.encoder.1 ????







Quelle drôle d’idée d’aller extorquer des gens qui n’ont pas un rond… <img data-src=" />









-zardoz- a écrit :



D’où l’utilité de travailler sur un système minimaliste et de reporter au fur et à mesure les fichiers non utilisés sur un archivage hors réseau…



Au cas où ce problème arrive, on ne se pose pas de question, on reformate et on restaure la dernière image disque.





&nbsp;un backup du disque ?









FRANCKYIV a écrit :



En préventif :



Adresse Web :

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/



<img data-src=" />





est-ce inclus automatiquement dans Bitdefender ou fonctionne t-il en autonome (sans avoir Bitdefender) ? &nbsp;et si infection il y a déjà est-ce que ça marche comme marqué dans l’explication ?

&nbsp;

&nbsp;“un vaccin qui permet aux utilisateurs de faire vacciner leurs ordinateurs et de bloquer toute tentative de cryptage de fichiers même si elles sont infectées par CryptoWall, l’un des clones les plus puissants du malware cryptolocker”



comment et par quel biais cette saloperie parvient sur le pc ?


L’interface chaise clavier qui ouvre des documents Word/pdf ou tout autre fichier potentiellement infecté de provenance douteuse sans considération :|


Pas bête comme signal d’alarme.&nbsp;<img data-src=" />








Aloyse57 a écrit :



N’ayant ni chez moi, ni dans mon entourage, ni dans mon entreprise (850 employés) aucun Mac, ni Linux, je ne saurais répondre correctement à cette question un brin tendancieuse <img data-src=" />





<img data-src=" />

Mais réaliste, sérieusement. Quelle tranquillité de ne pas être sous Windows, il faut bien le dire.









Aloyse57 a écrit :



Les Ransomwares que j’ai vu (subis <img data-src=" />) fonctionnent toujours à peu près selon ce principe : parcours des lecteurs dans l’ordre alphabétique, en commençant par le C:, et parcours récursif.



Du coup j'ai établi une trappe sur le premier lecteur réseau : des dizaines de milliers de PDF bidons répartis dans des centaines de sous-répertoires. J'ai créé un service qui compare régulièrement la présence, la modification de fichiers précis. en cas d'anomalie, c'est l'escalade : 1/alerte des admins 2/au bout de 10 minutes sans intervention (la nuit, le w-e et j.fériés, par exemple), c'est shutdown du serveur.







heuuu… seriously ?? &nbsp;<img data-src=" />

ça parait pas super safe ton bricolage. (sans parler du fait que c’est vraiment une solution archi crade..)



popolski, pris en flag’ de non lecture du premier paragraphe.

<img data-src=" />


Le plus chiant en entreprise c’est de trouver le fautif. On a eu tout un dossier partagé de crypté récemment. Obligé de déconnecter le service entier pendant quasi 48h avant de trouver l’ordinateur vérolé.

Et l’antivirus n’a jamais détecté le virus. Il a fallu MBAMer chaque poste un par un et croiser les doigts une fois le ransomware trouvé.

Et évidemment la personne sur lequel était le ransomware n’a “jamais vu” de fenêtre lui demandant de payer.



C’est la 2eme fois que ça m’arrive en 1 mois (dans 2 boites différentes), dans les 2 cas un fichier Excel vérolé (fausse facture et faux scan).


la solution se trouve en 10 secondes : il suffit d’aller sur la machine qui partage les fichiers et clic-droit “sécurité”, on voit qui a fait la modif.


Si tu as 1 000 000 de fichiers PDF sur un serveur 2000 et qu’il faut qu’ils soient là et pas ailleurs pour des raisons techniques, tu ferais quoi, sachant qu’il est impossible de faire rouler un antivirus sur cette machine ou à distance, en raison du système d’accès aux fichiers suranné d’un ERP de près de 30 ans ?

Vas-y décris moi une solution super safe qui ne tient pas du bricolage archi crade. Perso, j’ai pas trouvé mieux que de jouer la temporisation dans ces conditions.



Comparaison boiteuse : difficile d’adapter l’ABS et l’anti-patinage sur une calèche à chevaux <img data-src=" />


j’ai pas dit que j’avais mieux.. je ne connais effectivement pas tes contraintes..

(mais c’est un signe que l’infra n’est plus adaptée)



je salue tout de même l’effort <img data-src=" />


En l’occurence impossible car le nom d’utilisateur qui remontait le plus fréquemment n’était pas celui de la personne en cause, pour la bonne raison qu’une personne du service avait activé la synchro offline du lecteur réseau… de TOUT le lecteur réseau et c’est vers cette personne du coup que tout le monde s’est tourné car elle était en permanence en lecture sur tous les dossiers alors qu’en fait non !! On est pas aidé ^^