Caps Services - Forum

K-net => Internet => Discussion démarrée par: Damien le 16 Mars 2016 à 12:19:12

Titre: ALERTE Ransomware
Posté par: Damien le 16 Mars 2016 à 12:19:12
Bonjour,
plusieurs personnes avec des adresses en @k-net.fr ont reçu ce matin un email semblant provenir de info@k-net.fr et accompagné d'une pièce-jointe. C'est le fameux "Ransomware" dont tout le monde parle en ce moment.
La pièce-jointe contient un virus difficilement détecté par les antivirus. Une fois installé, le virus crypte les données sur l'ordinateur et demande une somme d'argent pour le décrypter.

Le mail de ce matin semble avoir été envoyé depuis une IP en Inde par quelqu'un mettant info@k-net.fr comme expéditeur du mail. Ca ne vient évidemment pas de nous, le mail n'a pas transité par notre SMTP, mais le doute est compréhensible.

Dans tous les cas, n'ouvrez pas la pièce-jointe et supprimez le mail.
Titre: Re : ALERTE Ransomware
Posté par: TiTi le 16 Mars 2016 à 12:27:41
Il devrait arriver en SPAM si il n'est pas envoyé depuis chez vous non ?
Titre: Re : ALERTE Ransomware
Posté par: matthieu le 16 Mars 2016 à 21:03:05
Pourquoi ne pas modifier votre enregistrement SPF de ~all en -all ?
v=spf1 mx a:mail.k-net.fr ip6:2a03:4980::10:0:14 ip4:178.250.209.75 ip6:2a03:4980::10:0:1f ip6:2a03:4980::10:0:21 ip4:178.250.209.35 ~all

La plupart des relais SMTP savent effectuer une vérif SPF non ?
Titre: Re : Re : ALERTE Ransomware
Posté par: jack le 16 Mars 2016 à 22:03:52
Citation de: matthieu le 16 Mars 2016 à 21:03:05
La plupart des relais SMTP savent effectuer une vérif SPF non ?
Haha
Comme si 90% des adminsys savaient configurer un serveur mail

Haha
Titre: Re : ALERTE Ransomware
Posté par: albert91 le 17 Mars 2016 à 09:12:55
Bonjour

Un petit guide pour ceux qui serait touché par ce virus
http://stopransomware.fr/nettoyer-son-ordinateur/ (http://stopransomware.fr/nettoyer-son-ordinateur/)

Acheter un anti-virus performant est la solution que j'adopte depuis plusieurs années.
Il m'était pénible qu' Avast me découvre des virus sur mon disque dur à l'occasion d'un scan, ce qui veux dire qu'à l'époque, la réactivité aux nouveaux virus n'était pas à la hauteur.
Aujourd'hui je ne sais pas ce que valent les anti-virus gratuits dans la réalité. Sur les bancs d'essai, ça va, en vrai, je ne sais pas.
Titre: Re : ALERTE Ransomware
Posté par: miky01 le 17 Mars 2016 à 12:14:20
Ben la 1er chose a faire est de regarder l'origine du mail avant de lacer un exe, c'est la responsabilité de l'utilisateur.

Canal+ vient de se faire pirater sa page d'accuil redirigée vers un site de propagande islamique,a vous d'etre vigilent....
Le pauvre sysadmin va se faire soufler dans les bronches
Titre: Re : ALERTE Ransomware
Posté par: Daweb le 17 Mars 2016 à 13:14:22
Et surtout, on ne le répètera jamais assez : des sauvegardes, des vrais et régulières.
Sur un média déconnecte après sauvegarde ou inaccessible en ecriture aux ordinateurs.

Par ce que même le meilleur antivirus (même s'il reste nécessaire, et on parle de vrai antivirus, donc on oublie avast, bien évidement), ne suffit pas toujours.
Et évidement on ouvre pas tous les emails sans réfléchir 3 secondes. Et quand on reçoit un email avec une pièces jointe en zip ou exe (si le serveur l'autorise, c'est qui est rare pour le exe), on ne l'ouvre pas sans prendre des précautions !
Titre: Re : ALERTE Ransomware
Posté par: jack le 17 Mars 2016 à 13:17:11
En parlant d'antivirus, j'ai lu un truc expliquant pourquoi ces soft ne servent à rien
Le type explique que la notion est "signature" est caduque

Suffit de prendre le code, et de le xor avec une clef aléatoire. Le binaire que tu diffuses contient donc la clef, les données "xoré", ne ressemblant à aucune autres données dans les bases des antivirus.
À l'exec, le code rexor les données, récupère le code malicieux, et l'exécute

Intéressant, non ? Hop, l'analyse statique ne sert à rien
Titre: Re : Re : ALERTE Ransomware
Posté par: Ororuk le 17 Mars 2016 à 14:45:29
Citation de: Daweb le 17 Mars 2016 à 13:14:22
Et quand on reçoit un email avec une pièces jointe en zip ou exe (si le serveur l'autorise, c'est qui est rare pour le exe), on ne l'ouvre pas sans prendre des précautions !

Même le virus ransomware se trouve dans .doc (avec macro)...
Titre: Re : ALERTE Ransomware
Posté par: redge76 le 17 Mars 2016 à 21:40:15
> Et surtout, on ne le répètera jamais assez : des sauvegardes, des vrais et régulières.

Aller j'en remet une couche tellement je suis content de ce soft:
http://www.code42.com/crashplan/ (http://www.code42.com/crashplan/)

Je payes un abonnement pour les données de mon NAS. Et tous les PC se sauvegardent entre eux.(chez mes parent /beau parent/maison...)

Faudrait vraiment que K-net devienne revendeur de ce truc.
C'est ultra user friendly (voir meme idiot proof)

A+
PS: Vu que je suis très ceinture/bretelles et que pour etre parfait il ne faut pas faire confiance qu'a un seul système de sauvegarde, le NAS se sauvegarde aussi sur un disque externe et je fais une copie sur un autre DD externe toutes les années... Mais vraiment crashplan suffit pour 99% du public de ce forum.
Titre: Re : Re : ALERTE Ransomware
Posté par: albert91 le 17 Mars 2016 à 22:13:32
Citation de: jack le 17 Mars 2016 à 13:17:11

Suffit de prendre le code, et de le xor avec une clef aléatoire. Le binaire que tu diffuses contient donc la clef, les données "xoré", ne ressemblant à aucune autres données dans les bases des antivirus.
À l'exec, le code rexor les données, récupère le code malicieux, et l'exécute
Bonsoir

Si l'antivirus reconnait le bout de code qui va faire le Xor, il ne sert pas à grand chose de cacher le code du virus
Pour l'instant les éditeurs d'anti-virus arrivent à suivre, sinon c'est la fin de l'informatique en réseau
Titre: Re : ALERTE Ransomware
Posté par: jack le 17 Mars 2016 à 22:21:19
Bof, faire un xor, c'est comme faire une addition

Citation
Pour l'instant les éditeurs d'anti-virus arrivent à suivre, sinon c'est la fin de l'informatique en réseau
Pour certains systèmes, peut-être;
Titre: Re : ALERTE Ransomware
Posté par: redge76 le 17 Mars 2016 à 22:37:46
Mon antivirus m'a déjà sauvé les fesses plus d'une fois... (j'execute tout ce qui est suspect dans une sandbox de toute manière. Mais bon, j'ai deja eu droit a un certain nombre de positif)
Encore un peu de pub pour un logiciel très intéressant: http://www.sandboxie.com/ (http://www.sandboxie.com/)
Titre: Re : ALERTE Ransomware
Posté par: TiTi le 17 Mars 2016 à 23:04:35
Sinon tu as l'interface chaise <-> machine qui est un très bon antivirus.
J'ai Windows Defender depuis des années, jamais eu 1 seul problème de virus.
Titre: Re : ALERTE Ransomware
Posté par: Daweb le 18 Mars 2016 à 12:28:05
Oui enfin nod32 a arreté pour l'instant tous les locky chez mes clients qui ont ouvert sans faire gaffe !
Donc c'est pas si mal :)
Titre: Re : ALERTE Ransomware
Posté par: redge76 le 19 Mars 2016 à 00:27:32
Oui. Le problème de l'interface chaise <-> machine.... Ma sandbox me permet de prendre des risques calculés...
Mais 99% des utilisateurs préférerons regarder les petits cochons qui danses.. (https://fr.wikipedia.org/wiki/Cochons_dansants)
Et ce jour la, comme pour Daweb, c'est bien l'antivirus qui leur sauvera la vie.
Un antivirus marche a 50%. Mais c'est une comme les gilets pare balles qui couvrent jamais tout. Si j'avais a me faire tirer dessus, éviter 50% des projectiles pour pas cher... je prends....
Les militaires et les flics l'ont bien compris...
Titre: Re : Re : ALERTE Ransomware
Posté par: Nico_S le 19 Mars 2016 à 08:42:55
Citation de: redge76 le 19 Mars 2016 à 00:27:32
Si j'avais a me faire tirer dessus, éviter 50% des projectiles pour pas cher... je prends....
Les militaires et les flics l'ont bien compris...

Faut voir la définition que tu as du pas cher. Entre 600 et +1000 euro un gilet, c'est pas donné à tout le monde.
Titre: Re : ALERTE Ransomware
Posté par: Daweb le 19 Mars 2016 à 15:05:10
Entre 600 et 1000€ pour se protéger la vie quand on est flic, c'est rien.
Entre 20 et 60€ pour protéger le PC quand on est un pro, c'est rien.

Tout est relatif :)
Titre: Re : ALERTE Ransomware
Posté par: Nico_S le 19 Mars 2016 à 16:49:00
Sauf quand dans la vraie vie, les flics ont deux possibilités : Utiliser le gilet fourni par leur ministère, gilet qui va sans dire coûte moins cher et pèse 20kg (je ne dois pas être loin du compte), soit faire un crédit et se payer un beau gilet léger et efficace (ça n'enlève rien à l'efficacité de la dotation du ministère sauf quand il faut bouger rapidement) qui sera à remplacer à la première bastos reçue (d'un autre coté c'est pas tous les jours qu'ils se prennent des bastos, heureusement pour eux).
Donc c'est pas donné à tout le monde  ;)

En effet pour en revenir au sujet de départ, un antivirus à 20 ou 60 euro c'est pas cher payé quand l'interface chaise - machine est décérébré défaillante. Mais ça te ferai moins de boulot (et à mon pote à Bourg aussi).
Titre: Re : ALERTE Ransomware
Posté par: Daweb le 19 Mars 2016 à 17:45:39
Honnetement je prefère facture des antivirus en X exemplaires à mes clients pro que de risquer de devoir leur facturer bien plus de boulot pour nettoyer tout un reseau et restaurer les sauvegardes.

J'y gagne moins, mais mon client est satisfait, et continue de travailler avec moi et me recommande.
Mais beaucoup de confrères préfèrent arnaquer les clients et faire du fric à court terme que de fidéliser la clientèle.

J'ai même des clients à 8000km depuis plus de 10 ans qui continuent à bosser avec moi, quitte à travailler à distance et à faire livrer le matos (ce qui coute plus cher !)
Titre: Re : ALERTE Ransomware
Posté par: Loïc (54) le 19 Mars 2016 à 18:13:49
Pour une société, je pense que c'est juste inimaginable de perdre ses données. Et même s'il y a des sauvegardes faites régulièrement, le temps de la restauration ou même la perte d'une journée d'exploitation, c'est vraiment pénalisant. Daweb, je pense donc que tu utilises la bonne méthode, en tous cas, la plus sage :)
Titre: Re : ALERTE Ransomware
Posté par: Daweb le 19 Mars 2016 à 22:12:59
Bon cela dit, j'ai renforcé encore plus les sauvegardes, avec des sauvegardes verrouillées, accessibles uniquement en lecture seule, diverses, encore plus nombreuses... Bref on prend pas de risque :)
Titre: Re : ALERTE Ransomware
Posté par: clockover le 23 Mars 2016 à 00:40:11
Citation de: Damien le 16 Mars 2016 à 12:19:12
Bonjour,
plusieurs personnes avec des adresses en @k-net.fr ont reçu ce matin un email semblant provenir de info@k-net.fr et accompagné d'une pièce-jointe. C'est le fameux "Ransomware" dont tout le monde parle en ce moment.
La pièce-jointe contient un virus difficilement détecté par les antivirus. Une fois installé, le virus crypte les données sur l'ordinateur et demande une somme d'argent pour le décrypter.

Le mail de ce matin semble avoir été envoyé depuis une IP en Inde par quelqu'un mettant info@k-net.fr comme expéditeur du mail. Ca ne vient évidemment pas de nous, le mail n'a pas transité par notre SMTP, mais le doute est compréhensible.

Dans tous les cas, n'ouvrez pas la pièce-jointe et supprimez le mail.
Un petit SPF en hard serait mieux qu'une demi-molle ;)

A merde déjà été dit plus haut.
Titre: Re : Re : ALERTE Ransomware
Posté par: Galileo54 le 08 Avril 2016 à 15:13:06
Citation de: Daweb le 18 Mars 2016 à 12:28:05
Oui enfin nod32 a arreté pour l'instant tous les locky chez mes clients qui ont ouvert sans faire gaffe !
Donc c'est pas si mal :)

Bonjour,

En tant qu'expert (rien compris de votre langage d'informaticien  :o ), sur un Imac, OS El capitan, vous préconisez quoi comme antivirus (payant ou non).
Merci
Titre: Re : ALERTE Ransomware
Posté par: Daweb le 09 Avril 2016 à 07:44:22
Le même, Eset aussi, y a une version mac
https://a6483.boutique-eset.com/os/35-antivirus-mac-os

Perso je ne met à mes clients sur PC/mac que la basique, qui me semble bien suffisante. En effet par exemple le pare-feu proposé par la pro ne sert pas à grand chose si vous avez une box, et n'est utile qu'en déplacement branché sur des wifi publiques. Et encore les OS modernes ont u parefeu intégré.
Titre: Re : ALERTE Ransomware
Posté par: albert91 le 16 Avril 2016 à 21:11:16
Bonsoir

Petya est un ransomware pas trop méchant, à condition d'avoir lu ça pour s'en sortir
http://www.clubic.com/antivirus-securite-informatique/actualite-802440-solution-petya-ransomware.html (http://www.clubic.com/antivirus-securite-informatique/actualite-802440-solution-petya-ransomware.html)
Titre: Re : ALERTE Ransomware
Posté par: Cophetua le 07 Octobre 2016 à 18:47:19
Bonsoir
Alors que je tentais en vain de me connecter sur Mon compte, j'ai eu une première fenêtre portant en en-tête la mention ATTENTION K-NET SARL. Cher client...
Rapidement après cette première fenêtre est venue une autre fenêtre de mise en garde contre un virus (voir ci-dessous), avec un no. d'urgence à appeler, doublée d'une voix humaine répétant à peu près la même mise en garde. Il va de soi que je n'ai rien fait ni rien ouvert. J'ai quitté Safari (je suis sur Mac) et ouvert Firefox. Là, j'ai pu ouvrir normalement Mon compte sur K-Net. S'agit-il du même ransomware? Faut-il faire quelque chose? Merci d'avance de votre éclairage.
Titre: Re : ALERTE Ransomware
Posté par: Hugues le 07 Octobre 2016 à 19:32:36
ferme juste la page  ;)
Titre: Re : ALERTE Ransomware
Posté par: thedark le 07 Octobre 2016 à 19:45:59
Ta pas ublock origin?
Sa éviter ces pages.
Titre: Re : Re : ALERTE Ransomware
Posté par: TitiPalm le 08 Octobre 2016 à 16:23:57
Citation de: thedark le 07 Octobre 2016 à 19:45:59
Ta pas ublock origin?
Sa éviter ces pages.

Mais pas les fautes de français  :-\
Titre: Re : Re : Re : ALERTE Ransomware
Posté par: thedark le 08 Octobre 2016 à 16:35:30
Citation de: TitiPalm le 08 Octobre 2016 à 16:23:57
Citation de: thedark le 07 Octobre 2016 à 19:45:59
Ta pas ublock origin?
Sa éviter ces pages.

Mais pas les fautes de français  :-\
Je n'ai pas le droit de faire quelques fautes ?   ::)
Titre: Re : ALERTE Ransomware
Posté par: TitiPalm le 09 Octobre 2016 à 11:18:37
Bah c'est à dire 3 fautes sur 6 mots de français ça fait mal quand même  :P
Titre: Re : ALERTE Ransomware
Posté par: albert91 le 07 Mai 2017 à 09:50:10
Bonjour

Pour ceux qui sont intéressés par un correcteur orthographique qui fonctionne dans leur navigateur favori et dans Word, Thunderbird, Notepad, ect...
http://www.antidote.info/antidote/ecrans (http://www.antidote.info/antidote/ecrans)