Auteur Sujet: ALERTE Ransomware  (Lu 15940 fois)

0 Membres et 1 Invité sur ce sujet

En ligne Damien

  • Mémoire vive de K-Net depuis 2010 / Dev SI
  • Équipe K-NET
  • Membre Héroïque
  • *****
  • Messages: 6787
    • Voir le profil
ALERTE Ransomware
« le: 16 Mars 2016 à 12:19:12 »
Bonjour,
plusieurs personnes avec des adresses en @k-net.fr ont reçu ce matin un email semblant provenir de info@k-net.fr et accompagné d'une pièce-jointe. C'est le fameux "Ransomware" dont tout le monde parle en ce moment.
La pièce-jointe contient un virus difficilement détecté par les antivirus. Une fois installé, le virus crypte les données sur l'ordinateur et demande une somme d'argent pour le décrypter.

Le mail de ce matin semble avoir été envoyé depuis une IP en Inde par quelqu'un mettant info@k-net.fr comme expéditeur du mail. Ca ne vient évidemment pas de nous, le mail n'a pas transité par notre SMTP, mais le doute est compréhensible.

Dans tous les cas, n'ouvrez pas la pièce-jointe et supprimez le mail.
Mémoire vive de K-Net depuis 2010 / Dev SI.

Membre d'honneur de la Fondation Flavien qui lutte pour favoriser les recherches sur les cancers pédiatriques et les maladies rares

Hors ligne TiTi

  • Modérateur Global
  • Membre Héroïque
  • *****
  • Messages: 6004
  • Reso-Liain - Client - Développeur - Icotera
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #1 le: 16 Mars 2016 à 12:27:41 »
Il devrait arriver en SPAM si il n'est pas envoyé depuis chez vous non ?
Cordialement Thibault.

Client K-net à votre écoute, je ne suis pas un employé de K-net.
Vous pouvez contacter le support K-NET soit par mail à info@k-net.fr ou par téléphone au 09 72 350 350.

Mon site : https://www.geektech.fr/

Hors ligne matthieu

  • Néophyte
  • *
  • Messages: 3
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #2 le: 16 Mars 2016 à 21:03:05 »
Pourquoi ne pas modifier votre enregistrement SPF de ~all en -all ?
v=spf1 mx a:mail.k-net.fr ip6:2a03:4980::10:0:14 ip4:178.250.209.75 ip6:2a03:4980::10:0:1f ip6:2a03:4980::10:0:21 ip4:178.250.209.35 ~all

La plupart des relais SMTP savent effectuer une vérif SPF non ?

Hors ligne jack

  • Membre Héroïque
  • *****
  • Messages: 1472
    • Voir le profil
Re : Re : ALERTE Ransomware
« Réponse #3 le: 16 Mars 2016 à 22:03:52 »
La plupart des relais SMTP savent effectuer une vérif SPF non ?
Haha
Comme si 90% des adminsys savaient configurer un serveur mail

Haha
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Hors ligne albert91

  • Membre Héroïque
  • *****
  • Messages: 1281
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #4 le: 17 Mars 2016 à 09:12:55 »
Bonjour

Un petit guide pour ceux qui serait touché par ce virus
http://stopransomware.fr/nettoyer-son-ordinateur/

Acheter un anti-virus performant est la solution que j'adopte depuis plusieurs années.
Il m'était pénible qu' Avast me découvre des virus sur mon disque dur à l'occasion d'un scan, ce qui veux dire qu'à l'époque, la réactivité aux nouveaux virus n'était pas à la hauteur.
Aujourd'hui je ne sais pas ce que valent les anti-virus gratuits dans la réalité. Sur les bancs d'essai, ça va, en vrai, je ne sais pas.

Hors ligne miky01

  • Membre Héroïque
  • *****
  • Messages: 2129
  • Expert reseaux/Unix Royaume de France - Farges
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #5 le: 17 Mars 2016 à 12:14:20 »
Ben la 1er chose a faire est de regarder l'origine du mail avant de lacer un exe, c'est la responsabilité de l'utilisateur.

Canal+ vient de se faire pirater sa page d'accuil redirigée vers un site de propagande islamique,a vous d'etre vigilent....
Le pauvre sysadmin va se faire soufler dans les bronches
FAI: K-Net - TV par Sat & TNT  - IPTV MIbox - Voip plusieurs providers OVH - Easyvoip - Netvoip

Hors ligne Daweb

  • Membre Héroïque
  • *****
  • Messages: 1006
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #6 le: 17 Mars 2016 à 13:14:22 »
Et surtout, on ne le répètera jamais assez : des sauvegardes, des vrais et régulières.
Sur un média déconnecte après sauvegarde ou inaccessible en ecriture aux ordinateurs.

Par ce que même le meilleur antivirus (même s'il reste nécessaire, et on parle de vrai antivirus, donc on oublie avast, bien évidement), ne suffit pas toujours.
Et évidement on ouvre pas tous les emails sans réfléchir 3 secondes. Et quand on reçoit un email avec une pièces jointe en zip ou exe (si le serveur l'autorise, c'est qui est rare pour le exe), on ne l'ouvre pas sans prendre des précautions !

Hors ligne jack

  • Membre Héroïque
  • *****
  • Messages: 1472
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #7 le: 17 Mars 2016 à 13:17:11 »
En parlant d'antivirus, j'ai lu un truc expliquant pourquoi ces soft ne servent à rien
Le type explique que la notion est "signature" est caduque

Suffit de prendre le code, et de le xor avec une clef aléatoire. Le binaire que tu diffuses contient donc la clef, les données "xoré", ne ressemblant à aucune autres données dans les bases des antivirus.
À l'exec, le code rexor les données, récupère le code malicieux, et l'exécute

Intéressant, non ? Hop, l'analyse statique ne sert à rien
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Hors ligne Ororuk

  • Néophyte
  • *
  • Messages: 18
    • Voir le profil
Re : Re : ALERTE Ransomware
« Réponse #8 le: 17 Mars 2016 à 14:45:29 »
Et quand on reçoit un email avec une pièces jointe en zip ou exe (si le serveur l'autorise, c'est qui est rare pour le exe), on ne l'ouvre pas sans prendre des précautions !

Même le virus ransomware se trouve dans .doc (avec macro)...

Hors ligne redge76

  • Membre Héroïque
  • *****
  • Messages: 803
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #9 le: 17 Mars 2016 à 21:40:15 »
> Et surtout, on ne le répètera jamais assez : des sauvegardes, des vrais et régulières.

Aller j'en remet une couche tellement je suis content de ce soft:
http://www.code42.com/crashplan/

Je payes un abonnement pour les données de mon NAS. Et tous les PC se sauvegardent entre eux.(chez mes parent /beau parent/maison...)

Faudrait vraiment que K-net devienne revendeur de ce truc.
C'est ultra user friendly (voir meme idiot proof)

A+
PS: Vu que je suis très ceinture/bretelles et que pour etre parfait il ne faut pas faire confiance qu'a un seul système de sauvegarde, le NAS se sauvegarde aussi sur un disque externe et je fais une copie sur un autre DD externe toutes les années... Mais vraiment crashplan suffit pour 99% du public de ce forum.

Hors ligne albert91

  • Membre Héroïque
  • *****
  • Messages: 1281
    • Voir le profil
Re : Re : ALERTE Ransomware
« Réponse #10 le: 17 Mars 2016 à 22:13:32 »

Suffit de prendre le code, et de le xor avec une clef aléatoire. Le binaire que tu diffuses contient donc la clef, les données "xoré", ne ressemblant à aucune autres données dans les bases des antivirus.
À l'exec, le code rexor les données, récupère le code malicieux, et l'exécute
Bonsoir

Si l'antivirus reconnait le bout de code qui va faire le Xor, il ne sert pas à grand chose de cacher le code du virus
Pour l'instant les éditeurs d'anti-virus arrivent à suivre, sinon c'est la fin de l'informatique en réseau

Hors ligne jack

  • Membre Héroïque
  • *****
  • Messages: 1472
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #11 le: 17 Mars 2016 à 22:21:19 »
Bof, faire un xor, c'est comme faire une addition

Citer
Pour l'instant les éditeurs d'anti-virus arrivent à suivre, sinon c'est la fin de l'informatique en réseau
Pour certains systèmes, peut-être;
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Hors ligne redge76

  • Membre Héroïque
  • *****
  • Messages: 803
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #12 le: 17 Mars 2016 à 22:37:46 »
Mon antivirus m'a déjà sauvé les fesses plus d'une fois... (j'execute tout ce qui est suspect dans une sandbox de toute manière. Mais bon, j'ai deja eu droit a un certain nombre de positif)
Encore un peu de pub pour un logiciel très intéressant: http://www.sandboxie.com/

Hors ligne TiTi

  • Modérateur Global
  • Membre Héroïque
  • *****
  • Messages: 6004
  • Reso-Liain - Client - Développeur - Icotera
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #13 le: 17 Mars 2016 à 23:04:35 »
Sinon tu as l'interface chaise <-> machine qui est un très bon antivirus.
J'ai Windows Defender depuis des années, jamais eu 1 seul problème de virus.
Cordialement Thibault.

Client K-net à votre écoute, je ne suis pas un employé de K-net.
Vous pouvez contacter le support K-NET soit par mail à info@k-net.fr ou par téléphone au 09 72 350 350.

Mon site : https://www.geektech.fr/

Hors ligne Daweb

  • Membre Héroïque
  • *****
  • Messages: 1006
    • Voir le profil
Re : ALERTE Ransomware
« Réponse #14 le: 18 Mars 2016 à 12:28:05 »
Oui enfin nod32 a arreté pour l'instant tous les locky chez mes clients qui ont ouvert sans faire gaffe !
Donc c'est pas si mal :)