Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
592 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Ransomware, que faire avant de remettre des données saines ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Ransomware, que faire avant de remettre des données saines ?

n°3263871
Scaramaga
Posté le 15-02-2017 à 13:45:35  profilanswer
 

Bonjour,
 
Situation
Nous sommes une petite entreprise avec un réseau (serveur NAS pour le stockage des données) et nous venons de nous fait attaquer par un ransomware.  
Tous les fichiers word et excel du serveur ont été cryptés. Heureusement, nous avons une sauvegarde propre des données sur un autre support à la date d’hier soir.
Le PC à l’origine de l’attaque sur le serveur est clairement identifié : les données sur son disque dur sont également touchés et le « message » nous informant de la situation (fichier html s’exécutant au démarrage du PC) est sur celui-ci. Les fichiers des disque durs des autres PC du réseau ne sont pas touchés.
 
Questions
- Y a-t-il quelquechose à faire sur le serveur NAS avant de remettre les fichiers sains sur celui-ci (formatage ou autre) ?
- Y a-t-il quelquechose à faire sur le PC à l’origine de l’attaque avant de remettre les fichiers sains sur le serveur (anti-malware, réinstallation de windows, autre) ?
- Y a-t-il quelquechose à faire sur les autres PC avant de remettre les fichiers sains sur le serveur ?
- Comment se prémunir à l’avenir de façon efficace vis-à-vis de ce type d’attaques ?
- Comment se retrouve-t’on, de façon générale, avec ce type d’attaque sur nos PC ? (On ne sais pas trop d’où cela vient)
 
 
Merci !

mood
Publicité
Posté le 15-02-2017 à 13:45:35  profilanswer
 

n°3263875
flash_gord​on
Posté le 15-02-2017 à 14:41:26  profilanswer
 

Scaramaga a écrit :


- Y a-t-il quelquechose à faire sur le serveur NAS avant de remettre les fichiers sains sur celui-ci (formatage ou autre) ?


 
Non, le propre des ransomware et la raison pour laquelle ils sont difficilement détectable est le fait qu'ils ne se propagent pas.
 
 

Scaramaga a écrit :


- Y a-t-il quelquechose à faire sur le PC à l’origine de l’attaque avant de remettre les fichiers sains sur le serveur (anti-malware, réinstallation de windows, autre) ?


 
Dans l'absolu, juste le nettoyer.
Chez nous la policy implique une reinstall complete du système, pas forcément utile, mais ça rassure tout le monde.
 

Scaramaga a écrit :


- Y a-t-il quelquechose à faire sur les autres PC avant de remettre les fichiers sains sur le serveur ?


 
Eventuellement un scan préventif, juste manière d'être sûr.
 

Scaramaga a écrit :


- Comment se prémunir à l’avenir de façon efficace vis-à-vis de ce type d’attaques ?


 
La grande question.
Il y a un topic dédié si tu veux : http://forum.hardware.fr/hfr/syste [...] 7158_1.htm
Il n'y a aucune solution magique autre que bouger le curseur entre autonomie utilisateur et securité.
La solution la plus reconnue est d'empecher l'execution d'exe non-autorisés, mais ça implique que les utilisateurs ne peuvent plus rien faire sans appeler le support.  
 
Certainsn ouveaux AV comportementaux et basés sur des listes blanches (ex : Traps) semblent s'en sortir plutot bien.
 

Scaramaga a écrit :

- Comment se retrouve-t’on, de façon générale, avec ce type d’attaque sur nos PC ? (On ne sais pas trop d’où cela vient)  


 
Dans 99% des cas, c'est une piece jointe ou un lien dans un mail qui télécharge l'exe.
Et c'est lancé manuellement par l'utilisateur (raison encore une fois pour laquelle c'est dur à detecter), ce ne sont pas des trucs qui arrivent à l'insu du plein gré.
Dans la plupart des cas l'exe a une icone de pdf ou de fichier excel, et les mecs tombent tous dans le piege.


Message édité par flash_gordon le 15-02-2017 à 14:42:50
n°3263879
Scaramaga
Posté le 15-02-2017 à 14:57:07  profilanswer
 

Merci beaucoup !
 
Aurais-tu une idée des outils à utiliser pour le nettoyage/scan ?

n°3263901
nnwldx
Posté le 15-02-2017 à 18:05:02  profilanswer
 

Je te conseille de faire passer tous les messages par un antispam, cela a de grandes chances de bloquer les programmes malveillants.
L'antivirus arrivera en 2ème protection.
 
Pour le nettoyage, il y a très peu de chances qu'il y ait quelques choses à nettoyer mais si tu veux être sur:
malwarebyte / adwcleaner et une analyse manuelle de l'antivirus sur le poste.

n°3263909
Scaramaga
Posté le 15-02-2017 à 19:00:53  profilanswer
 

Ok ,merci encore pour vos réponses.

n°3263913
monk521
Posté le 15-02-2017 à 19:11:48  profilanswer
 

Citation :

Dans 99% des cas, c'est une piece jointe ou un lien dans un mail qui télécharge l'exe.


 
Il y a aussi les exploits web, les infections USB, les cracks,...
 
Pour se protéger des scripts malicieux exécutés à travers les pièces jointes, on peut utiliser le programme Marmiton pour bloquer Windows Script Hosts et les macro malicieuses des programmes Office. Il faudrait aussi bloquer PowerShell ou au moins, bloquer dans le pare feu la connexion sortante pour qu'il ne puisse pas télécharger de fichier exécutable malveillant, le cryptoware.
 
Ces ransomwares ne sont actifs qu'une fois (enfin pour l'instant dans les versions recensées), ils cryptent tout ce qu'ils peuvent à partir du PC où ils sont été exécutés et se ferment, hit and run !  
 
 
Pour vérifier s'il reste une trace du ransomware, on peut utiliser par exemple des logiciels comme  FRST ou Autoruns qui listent les exécutions automatiques de programmes au démarrage du PC.

n°3263915
flash_gord​on
Posté le 15-02-2017 à 19:14:12  profilanswer
 

nnwldx a écrit :

Je te conseille de faire passer tous les messages par un antispam, cela a de grandes chances de bloquer les programmes malveillants.


 
Bof tu peux jamais proteger les utilisateurs de leur connerie, même avec les meilleurs outils.
 
Le mec il voit dans le rapport de l'antispam un mail intitulé "order", il va quand même demander à le recuperer à l'antispam, voire à le whitelister.
L'antispam peut gueuler, lui dire que "non mais vraiment, serieux, là j'en suis sûr, c'est vraiment un spam dangereux, c'est sur à 100%", le mec insistera, parceque tu comprends, y'a marqué order dedans, imagine qu'on manque une commande client...[:grubnatz:3]

n°3263917
nnwldx
Posté le 15-02-2017 à 19:21:15  profilanswer
 

il y en aura toujours et on ne pourra rien faire pour les empêcher,
mais les clients sans antispam représentaient la plus part des cas des postes contaminés.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Ransomware, que faire avant de remettre des données saines ?

 

Sujets relatifs
Données du disque DATA(D) suppriméesCarte mère HS... Récupération des données.
Données perdues - Profil temporaire Windows 7 Pro x64Sauvegarder mes données actuelles et les remettre sur un Windows 7
Avast scan antivirus, volume de données testées trop important[RECH] Logiciel de cryptage de données, portable et basique
Comment configurer un dual boot W10/W7 sur SSD et données sur HDDRécupération de données
[Excel]Fonction "OU", comparer deux plages de données 
Plus de sujets relatifs à : Ransomware, que faire avant de remettre des données saines ?



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR