ALERTE Ransomware

Démarré par Damien, 16 Mars 2016 à 12:19:12

« précédent - suivant »

0 Membres et 1 Invité sur ce sujet

Bonjour,
plusieurs personnes avec des adresses en @k-net.fr ont reçu ce matin un email semblant provenir de info@k-net.fr et accompagné d'une pièce-jointe. C'est le fameux "Ransomware" dont tout le monde parle en ce moment.
La pièce-jointe contient un virus difficilement détecté par les antivirus. Une fois installé, le virus crypte les données sur l'ordinateur et demande une somme d'argent pour le décrypter.

Le mail de ce matin semble avoir été envoyé depuis une IP en Inde par quelqu'un mettant info@k-net.fr comme expéditeur du mail. Ca ne vient évidemment pas de nous, le mail n'a pas transité par notre SMTP, mais le doute est compréhensible.

Dans tous les cas, n'ouvrez pas la pièce-jointe et supprimez le mail.

Il devrait arriver en SPAM si il n'est pas envoyé depuis chez vous non ?

Pourquoi ne pas modifier votre enregistrement SPF de ~all en -all ?
v=spf1 mx a:mail.k-net.fr ip6:2a03:4980::10:0:14 ip4:178.250.209.75 ip6:2a03:4980::10:0:1f ip6:2a03:4980::10:0:21 ip4:178.250.209.35 ~all

La plupart des relais SMTP savent effectuer une vérif SPF non ?

Citation de: matthieu le 16 Mars 2016 à 21:03:05
La plupart des relais SMTP savent effectuer une vérif SPF non ?
Haha
Comme si 90% des adminsys savaient configurer un serveur mail

Haha
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Bonjour

Un petit guide pour ceux qui serait touché par ce virus
http://stopransomware.fr/nettoyer-son-ordinateur/

Acheter un anti-virus performant est la solution que j'adopte depuis plusieurs années.
Il m'était pénible qu' Avast me découvre des virus sur mon disque dur à l'occasion d'un scan, ce qui veux dire qu'à l'époque, la réactivité aux nouveaux virus n'était pas à la hauteur.
Aujourd'hui je ne sais pas ce que valent les anti-virus gratuits dans la réalité. Sur les bancs d'essai, ça va, en vrai, je ne sais pas.

Ben la 1er chose a faire est de regarder l'origine du mail avant de lacer un exe, c'est la responsabilité de l'utilisateur.

Canal+ vient de se faire pirater sa page d'accuil redirigée vers un site de propagande islamique,a vous d'etre vigilent....
Le pauvre sysadmin va se faire soufler dans les bronches
FAI: K-Net - TV par Sat & TNT  - IPTV MIbox - Voip plusieurs providers OVH - Easyvoip - Netvoip

Et surtout, on ne le répètera jamais assez : des sauvegardes, des vrais et régulières.
Sur un média déconnecte après sauvegarde ou inaccessible en ecriture aux ordinateurs.

Par ce que même le meilleur antivirus (même s'il reste nécessaire, et on parle de vrai antivirus, donc on oublie avast, bien évidement), ne suffit pas toujours.
Et évidement on ouvre pas tous les emails sans réfléchir 3 secondes. Et quand on reçoit un email avec une pièces jointe en zip ou exe (si le serveur l'autorise, c'est qui est rare pour le exe), on ne l'ouvre pas sans prendre des précautions !

En parlant d'antivirus, j'ai lu un truc expliquant pourquoi ces soft ne servent à rien
Le type explique que la notion est "signature" est caduque

Suffit de prendre le code, et de le xor avec une clef aléatoire. Le binaire que tu diffuses contient donc la clef, les données "xoré", ne ressemblant à aucune autres données dans les bases des antivirus.
À l'exec, le code rexor les données, récupère le code malicieux, et l'exécute

Intéressant, non ? Hop, l'analyse statique ne sert à rien
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Citation de: Daweb le 17 Mars 2016 à 13:14:22
Et quand on reçoit un email avec une pièces jointe en zip ou exe (si le serveur l'autorise, c'est qui est rare pour le exe), on ne l'ouvre pas sans prendre des précautions !

Même le virus ransomware se trouve dans .doc (avec macro)...

> Et surtout, on ne le répètera jamais assez : des sauvegardes, des vrais et régulières.

Aller j'en remet une couche tellement je suis content de ce soft:
http://www.code42.com/crashplan/

Je payes un abonnement pour les données de mon NAS. Et tous les PC se sauvegardent entre eux.(chez mes parent /beau parent/maison...)

Faudrait vraiment que K-net devienne revendeur de ce truc.
C'est ultra user friendly (voir meme idiot proof)

A+
PS: Vu que je suis très ceinture/bretelles et que pour etre parfait il ne faut pas faire confiance qu'a un seul système de sauvegarde, le NAS se sauvegarde aussi sur un disque externe et je fais une copie sur un autre DD externe toutes les années... Mais vraiment crashplan suffit pour 99% du public de ce forum.

Citation de: jack le 17 Mars 2016 à 13:17:11

Suffit de prendre le code, et de le xor avec une clef aléatoire. Le binaire que tu diffuses contient donc la clef, les données "xoré", ne ressemblant à aucune autres données dans les bases des antivirus.
À l'exec, le code rexor les données, récupère le code malicieux, et l'exécute
Bonsoir

Si l'antivirus reconnait le bout de code qui va faire le Xor, il ne sert pas à grand chose de cacher le code du virus
Pour l'instant les éditeurs d'anti-virus arrivent à suivre, sinon c'est la fin de l'informatique en réseau

Bof, faire un xor, c'est comme faire une addition

Citation
Pour l'instant les éditeurs d'anti-virus arrivent à suivre, sinon c'est la fin de l'informatique en réseau
Pour certains systèmes, peut-être;
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Mon antivirus m'a déjà sauvé les fesses plus d'une fois... (j'execute tout ce qui est suspect dans une sandbox de toute manière. Mais bon, j'ai deja eu droit a un certain nombre de positif)
Encore un peu de pub pour un logiciel très intéressant: http://www.sandboxie.com/

Sinon tu as l'interface chaise <-> machine qui est un très bon antivirus.
J'ai Windows Defender depuis des années, jamais eu 1 seul problème de virus.

Oui enfin nod32 a arreté pour l'instant tous les locky chez mes clients qui ont ouvert sans faire gaffe !
Donc c'est pas si mal :)