Bonjour à tous !
 
Je viens vers la communauté suite à une expérience qui m'a fait un brin transpirer aujourd'hui.....l'arrivée d'un cryptolocker (teslacrypt, dernière version) sur mon réseau.  
Un utilisateur appelle "euhhh j'peux plus ouvrir mes fichiers sur mon PC.....", un tech y va, voit les merveilleux fichiers textes demandant de payer et une extension .vvv rajoutée à chaque fichier doc, xlsx, pptx, etc. Ni une ni deux, débranchage du RJ45, mais le mal est fait. Le crypto était actif depuis une heure, et en a profité pour crypter 17 005 fichiers sur le réseau commun (lequel est mappé sur le poste de l'utilisateur, qui a été depuis noyé, pendu, décapité, et livré aux ecureuils sauvages)  
PC identifié sorti du réseau, on analyse le reste, on regarde les charges des baies, et 1h de restauration des fichiers à 3h plus tôt. Situation maitrisée, retour à la normale après grosse suée. (partage CIFS sur des baie NetApp, snap de svg, donc pas de cryptage des sauvegardes par cette saloperie. ouf. )
 
Sur le poste de travail en question : un McAfee parfaitement à jour (piloté par un Epolicy Orchestrator), OS à jour, utilisateur bien évidement pas admin local, restriction sur les installations en local, etc, etc...... En fouillant un peu et après torture, il nous dit avoir accédé à ses mails privés (webmail SFR) et a ouvert une pièce jointe pourrie d'un mail qu'il pensait légitime. La politique interne n'interdit pas l'usage "responsable" du net à titre privé (de toute façon, on un proxy en dmz, des listes de sites autorisés et tout ce qu'il faut pour que les sites visibles soient autant que faire se peut "clean" et les user au courant qu'ils sont "trackés" )
 
Ma question est donc la suivante : On arrête pas d'envoyer des mails de rappel concernant l'ouverture de pièces jointes, de lien, de mail reçu à l'apparence louche, etc, mais y a rien à faire, sur 500 personnes, on aura toujours un cretinus qui pensera avoir un Iphone 6s pour 1€ en téléchargeant un .exe. Avez vous une solutions techniques (autre que le conditionnement des users à coup de batte) permettant d'éviter cette menace en particulier ? (je n'ai pas de soucis avec les autres types de virus, McAfee et le reste font leur job) à l'heure actuelle, nous avons interdit tous accès à des webmail. (je sens que ça va pleurer demain)
 
 
 

Les postes en Windows XP avec un ancien office se prennent plus souvent des cryptos.
Il faut bien garder à jour Java, Flash, adobe Reader.
Passer par un antispam pour le mail.
activer les versions précédentes sur les serveurs.
Peut être que McAfee propose une gestion de maj des logiciels ?
 
Sinon il n'y a pas grand chose à faire contre les utilisateurs qui veulent absolument cliquer sur ces liens.
C'est marrant souvent quand ils voient que rien ne se passe, ils envoient leur fichiers à plusieurs collègues pour voir ce qu'ils en pensent.
 
Je sens que tu as vas avoir une demande d'un des responsables de la société demain car il n'aura plus accès à ses mails et qu'il faut absolument les réactiver.

Ne pas se contenter de patcher Windows, patcher également Office et les différents softs tierce-partie.
 
Sécuriser IE pour restreindre l'ouverture d'exécutables et autres saloperies.
 
Pour interdire tout lancement d'exécutables puis des emplacements accessibles en écriture même par les non-admins (typiquement Mes Documents & co), utiliser Applocker ou équivalent, c'est radical.

Ouaip, c'est un peu ce que je pensais..... Je n'ai pas "d'antiquité" sur mon domaine (bien que win 7 finira par le devenir) et les mises à jours sont suivies....OS, add on, logiciels, Epo pour l'antivirus, etc. (un peu plus difficilement sur la force de vente, mais ils n'ont aucun accès aux disques réseau, donc moindre mal pour nous)
 
Côté serveurs, je n'ai pas de soucis quand a leur sécurité par rapport à ce genre d'attaque précise.  
 
On suit les best practice autant que faire se peut depuis 15 ans (j'ai bien dit autant que possible....l'environnement parfait, je connais pas...la preuve... ^^), c'est la première fois qu'on se chope une saloperie "non isolée" qui touche a notre réseau. (ça permet de tester notre réactivité, nos capacités de restau et de vérifier que nos process sont bons, mais bon.... )
 
On a pu isoler l'exe téléchargé hier qui est, aujourd'hui, bien détécté.... "pas de pot", comme on dit, de tomber dans la période vulnérable....
 
La sécurisation des navigateurs est une piste (FF ESR, j'aime pas IE ) mais les assistantes bossent souvent sur des extranet nécessitant l'éxécution de script....le blocage de l’exécution des exe à partir des temp est activé via McAfee, mais même sur une saloperie, ils sont capables de me "l'enregistrer sous" autre part pour l'executer... On va en effet devoir serrer encore plus la vis via des trucs comme applocker.
 
On a au moins réussi à ce que le CoDir envoi une information, et surtout un avertissement sur le sujet. Le poids sera déjà supérieur par rapport aux mails envoyés par le SI. Quand au verrouillage des webmails, la direction n'a pas grand chose à dire quand il s'agit de la sécurité des données de toute la boite... et tout est fait avec leur accord (dans l'urgence, nous avons aussi eu l'accord des CE / DP, qui devront sans doute se réunir pour discuter de la chose......)
 
A force de recevoir des pubs, il semblerait que Kaspersky aurait un produit capable de réduire les risques dans ce domaine....possible, ça ?

Kaspersky a dû sortir un produit contre les crypto mais je l'ai jamais testé.
 
Ce matin, un client reçoit un mail depuis une adresse anglaise, une dizaine de destinataires, un titre qui veut rien dire et une pièce jointe.
Et l'utilisateur ouvre la pièce jointe, tous les partages réseau sont maintenant cryptés.
Je me demande ce que se disent les utilisateurs quand ils ouvrent des fichier comme ca.
Tu as beau le répéter, cela ne sert souvent à rien.

Si tu veux un navigateur vraiment sécu et gérable de façon centralisée, il va falloir dégager Firefox  

On a également eu le cas plusieurs fois.
Ca nous a permis également d'industrialiser le plan d'actions.
Par contre et la où cela dérange c'est qu'entre le moment où le virus va s'exécuter et le moment où l'antivirus va le détecter et l'éradiquer, les quelques (milli) secondes écoulées, le process d'encryptage a eu le temps de passer sur des centaines de fichiers sur des partages réseaux. Est-ce que c'est normal ? je ne sais pas répondre...

S'il ne reconnaît pas la signature, il va évaluer le comportement du logiciel pour statuer si c'est un malware ou pas. Mais pour ça il faut le laisser bosser un peu...

Je pense que même la signature connue, il doit avoir le temps de faire des trucs.

chez nous le constat temps / encryptage est de plus de 17000 fichiers encryptés en 1h environ. Je pense que ce nombre doit grandement varier en fonction du proc et Ram du PC infecté, vitesse de liaison....là, c'est un "vieux" i5 2400s avec 4Go....je suppose qu'avec un I7 sur du 10G fibre et selon le codage du cryptolocker, ça peut faire un peu plus de dégats.
 
Nebulios, je suis d'accords sur le fond.... même avec les ADM, on atteint pas la gestion d'un produit crosoft. mais j'ai malheureusement des extranet (pourtant de grands groupes...) qui merdent lamentablement sous IE....et d'autres sous FF....d'ou l'obligation de maintenir les 2. (et leurs addon respectifs.... j'aimerais pourtant bien n'en avoir qu'un )
 
C'est sur que dans le meilleur des mondes, nos utilisateurs n'existeraient pas. (comme dit mon chef, pour être proactif sur ce genre d'emmerdes et d'autres, faudrait les noyer )
 
C'est pour ça que je tentais de voir si une solution technique existait pour s'en prémunir. Industrialiser le plan d'action, ça, c'est pas un soucis (on peut fonctionner jusqu'à la perte totale physique de la salle info), mais j'aime bien m'attaquer à la base du problème quand c'est possible....j'aime pas vivre sur le paliatif, mais il le faudra sans doute pendant un temps.

Hello !
 
il y a une solution logicielle qui pourrait probablement éviter ce type d'attaque mais ça coûte quelques sous. La suite Endpoint Security de chez Stormshield.  a voir si ta boite préfère investir dans ce type de protection, ou bloquer complètement lesaccès vers les boites mails.  
 
lien : https://www.stormshield.eu/fr/endpoint-protection/
 
PS : non non je n'ai toujours pas d'actions chez Stormshield ^^

A partir du moment où tu patches régulièrement l'ensemble des produits de ton infra, et que tu mets en place AppLocker, les risques seront quand même réduits au minimum.
 
A creuser également côté accès aux serveurs de fichiers - si le malware se base sur les droits de l'utilisateur il ne va attaquer que les fichiers dispos en lecture/écriture. L'utilisateur a vraiment besoin d'accéder aux 17000 fichiers ? Pas possible de restreindre les droits, segmenter les filers ?

J'ai eu 4 clients qui ont eu ce cryptlocker en 2 jours.
Pourtant les postes n'étaient pas trop mal niveau sécurité, mais les utilisateurs ont cliqué sur la pièce jointe.
Ca fait pas mal de dégats sur les postes qui ne sont pas sauvegardés.

Les emails ne sont pas filtrés niveau serveur de messagerie ?
Le client de messagerie permet de lancer les exe ?
L'AV sur les postes n'a pas détecté de virus ?
 
Par exemple, rien qu'au niveau d'Outlook, un .cmd ou un .exe c'est bloqué par défaut, sans même savoir si c'est safe ou non.

Nebulios, je ne peux pas avoir plus de granularité des droits sur ce lecteur réseau en particulier, qui est le "Commun", donc le seul accessible à tous les services et malheureusement indispensable.....(130 000 fichiers.......et je pense que tu dois en avoir 10% d'exploité, une immense poubelle réseau.......) Par chance, ce genre d'attaque est pilotée par un poste, et ne foutera la zone que sur les partages ou la personne accède en lecteur / écriture, ce qui se limite à son disque de service, le commun, et son disque réseau perso. Mais je pense qu'en effet, un applocker sera pas un luxe sur certains postes
 
Shongail, on est sur Notes, et les mails sont bien filtrés de notre côté (Spamassassin & co) et aussi en amont par Oléane...et les exe (et autre genre pif, xlsm, bat, cmd etc) ne sont pas autorisés en PJ. Là, le soucis, c'était un webmail perso....et vraisemblablement un "enregistré sous" de la PJ foireuse sur le bureau. (l'antivirus empêche l'execution de programme depuis les temp internet.) L'antivirus était à jour, mais on s'est chopé une merde qui n'était pas encore dans la base de detection. Comme dit, aujourd'hui, il ne serait pas passé....
 
Splinter, vais jeter un oeil ^^ Le budget, on arrive toujours à avoir si ça se justifie. A voir si ça ne serait pas l'occase de passer à autre chose que McAfee.

je suis pas réellement sur que les autres produits fassent mieux que McAfee. pour ce tyoe de menace il faut surtout un produit dédié maos comme toujours la meilleure prévention doit être faite sur ce qui se situe entre la chaise et le clavier.

Mais comme tu dis y a toujours des idiots qui pensent "savoir". J'ai failli a voir le cas la semaine dernière, le gars voit un mail avec objet en anglais, un lien dans celui-ci, une adresse d'expediteur improbable, bref l'utilisateur a eu la présence d'esprit de me demander si c'etait bon ou pas.

Ce que tu peux mettre en place avec IE, c'est EMET, qui renforce encore pas mal la sécurité du navigateur.
 
Pour ton dossier Commun c'est une bombe à retardement qui va générer de plus en plus de problèmes. Il n'y a pas de fatalités, tu peux te servir de cet incident pour inciter la direction à prendre des mesures. Si elle refuse, tu as fait ton taf et tu n'as plus à garder cette responsabilité.

depuis 1 semaine , j'ai de nombreux clients qui ont cette problématique
malheureusement (pas de sauvegarde ! ) ou pas de cliché de disponible.
 
sinon malwarebyte supprime l'infection
je pense que malwarebyte premium (scan en temps réel) doit etre assez efficace.
 

Les clichés sont supprimés par le crypto, pas la peine de compter de dessus.
Si tu mets l'analyse temps réel de malwarebyte, elle risque d'être en conflit avec celle de l'antivirus.
Je ne suis pas sûre qu'elle soit plus efficace.
Tu as dans le mail d’où vient le crypto, un downloader en pièce jointe qui semble assez discret et qui arrive à télécharger ensuite le cryptolocker sans que l'antivirus se déclenche.

 
Les données sont perdues ?

Salut à vous,

De manière général on constate que cela transite par mail avec une pièce jointe, qui en l’exécutant soit chiffre les données ou alors va chercher une souche via le net pour s’exécuter.

Hormis les patchs à mettre à jour, les outils répondants en partie à cette problématique sont des outils dits de sandboxing. En d'autres termes avant de fournir le fichier il va l'analyser en l'émulant avec plusieurs facteurs (temps, version d'os, version d'office...et d'autres encore)

Il existe des outils de sandboxing dans maintenant pas mal de solutions (mail, solution contre les apt...) mais cela a un prix, ne pensez pas l'avoir pour pas cher

De plus les antivirus font ce qu'ils peuvent aucun ne garantit une réelle protection, il était évoqué plus haut Stormshield mais qui est à la base un firewall de postes en mode comportemental sur lequel il y a un oem antivirus d'avira (en tout cas à l'époque) on le trouve assez peu chez les clients qui ont plutôt l'habitude de Kasper, trend, Sophos, Mcafee...qui laissent aussi passer les cryptolockers (belle invention en tout cas...)

Si vous ne pouvez pas avoir ce type de solution, je vous conseille de tester vos sauvegardes vous les utiliserez souvent pour la remédiation des données, mais ça reste du réactif pour la prod pas du proactif et ça ne résout encore une fois pas le souci...

je schématise mais on préconise de mettre un outil antispam avec sandboxing intégré (étant du trafic asynchrone, donc pas grave si le user reçoit le mail avec 5 minutes de retard...) il arrive surtout par là.

Pour ce qui est d'office 365, ne croyez pas que ça les bloque hein

A+

c'est certain que sans externalisation, ou sans infra spécifique, les sauvegardes ont un grand risque de se faire corrompre. Et si les users ont les droits admin et une uac désactivée (plus pratique, etc, etc, tout ce qu'on peut entendre comme excuses) les shadow copy seront aussi raides.
J'ai pas mal d'echo de résultat désastreux de ce truc dans de petites structures..... ce qui est un peu con pour une infection necessitant une action de l'utilisateur pour se metre en route !  Quand à malwarebyte, nettoyer l'infection ne sert plus à grand chose une fois qu'elle a fait son job....vaut encore mieux RAZ le poste....à voir en effet l'efficacité du scan continu, mais tout comme pour McAfee, si l'infection arrive avant maj des bdd, je ne sais pas si ça arrête quelque chose non plus...à voir.
On tâche de travailler au corps les user sur l'usage de ce foutu commun depuis des années, leur précisant que n'importe qui de la boite peut supprimer des données, et que c'est potentiellement un vecteur d'emmerdes informatique (comme cette fois ci, en précisant que dans le cas d'un "vrai" virus, on peut potentiellement pourrir tous les postes de travail de la boite). Le hic, c'est que tant qu'on arrivera toujours à se sortir des situations merdiques, la direction ne verra pas trop pourquoi changer ça Mais on y travaille ! Les problèmes politiques prennent toujours infiniment plus de temps que les problèmes techniques !

le cryptolocker étant à la mode pas mal de salon dédié à la sécu ont fait des démo de leur produit sur ce type d'attaque :
 
déja ce qu'il faut savoir c'est :  
 
1) qu'il faut partir d'une faille avec execution possible de code ou d'une personne non informé pour démarrer le cryptologer
 
2) pour demander une rançon il faut que le logiciel cryptologer se connect a un serveur afin de generer une clé  de cryptage unique que le malveilant pourra ensuite revendre à  victime.
 
 
lors de ce type de salon j'ai vu 2 demo :
 
1) l'antivirus avec fonction de surveillance d'application (kaspersky), qui permet à l'av de logger chaque action que fait l'appli et de revenir en arrière si nécessaire.
 
2) le pare feu full stack (osi niveau 1 a 7)qui neutralise le cryptologger avant qu'il arrive sur la machine (via  des règles mise à jour par l'éditeur).

Bon j'ai un client qui vient de m'appeler.
Devinez quoi ?

vous me faites flipper avec vos emmerdes  
 
Je vais devoir faire un mail des bons usages des mails pour mes utilisateurs  

Oui et sécuriser les backups aussi.

titansupremplus fais plus confiance à tes backups qu'à tes users

Le mail aux utilisateurs ne sera pas de trop.
Déjà, ça va râler dur car ils vont perdre tout ce qu'ils n'ont pas mis sur le réseau.
Il faut leur faire comprendre que le local n'est pas sauvegardé.
 
C'est ensuite la misère quand ils demandent pourquoi le virus est passé malgré l'antivirus.
Ils veulent connaitre absolument la raison technique, tu essayes de leur expliquer et ils disent soit "je comprends rien" ou "non, ce n'est pas".
 
Ensuite une fois la personne identifiée, elle va dire "c'est pas moi, j'ai cliqué sur aucun message et si j'ai cliqué c'était très rapidement".
 
Puis la restauration des données qui plante pour certains utilisateurs car ils écrivent un roman pour chaque dossier.
Et on dépasse allégrement les 250 caractères.
 
Le temps que tu finisses de tout restaurer Le utilisateurs ont travaillé sur des applications dont certains fichiers étaient cryptés et ils ne veulent pas perdre leur boulot.
Et il faut copier certaines données vers la restauration en cours.

C'est le problème de placer le curseur entre investir dans une ou des technos avec le prix que ça coute pour éviter quelque chose qui peut ne pas se produire dans la période et passer du temps en interne à résoudre l'incident.
La sécurité n'est qu'une charge financière pour les directions, difficile de juger de la rentabilité d'une technologie.
On rentre néanmoins dans un type d'attaque qui ne se produit pas tous les jours mais quand elle frappe ça peut faire très très mal. Le jour où le crypto touche le fichier commercial d'une boite et que le backup n'est pas opérationnel c'est la clé sous la porte, après on ira frapper du coté de l'informatique en disant que les mesures n'ont pas été prises pour se protéger et là on rentre dans une autre problématique.

Bon pour moi, ça se goupille pas mal.

La source de l'infection, à vérifier encore, a été la PJ d'un email sur un poste déterminé par un user déterminé.

Première étape : éteindre le PC.
Seconde étape : vérifier le serveur (c'est un petit client qui n'a qu'un seul serveur AD/Fichiers) : tout OK sauf les lecteurs accessibles par l'user.

Seuls certains fichiers semblent cryptés : les fichiers bureautiques (odt, doc, xls, etc.), les certificats, les pdf, les jpg
Les .exe, .html ou .gif par exemple, non. A noter que ces fichiers ne sont pas non plus corrompus.
Dans chaque répertoire, on trouve les instructions du virus pour payer ("!!" rajouté par moi pour rendre liens inactifs):

Troisième étape : vérifier les backups (c'est du ntbackup). Ils sont OK.
Quatrième étape : les dupliquer sur un media externe.
Cinquième étape : vérifier l'état des autres PCs allumés (heureusement très peu en cette période + petit client).
Sixième étape : restaurer les fichiers à la sauvegarde d'avant hier (car l'infection a en fait débuté hier).

C'est quand même de belles saloperies ces trucs....
 
titansupremplus, faut pas flipper si tu es sur de tes sauvegardes ^^ parce que quoiqu'on fasse, si y a bien un truc qu'on peut pas patcher / sécuriser et sur lequel on a une prise super minime, c'est la caboche des users (quoique....avec une batte.....)
 

 
C'est clairement le cas.  
Par soucis de fainéantise et de praticité, j’espère en tout cas que les Crypto s'attaquent pas aux backup Veeam  

 
Je flippe sans flipper, j'ai ce qui faut pour remonter tout le SI, trois systemes de sauvegardes differents devraient faire l'affaire mais y a longtemps que j'ai pas fais de restauration de test, j'avoue    
 
Mais vos histoires me rappellent quand j’étais tech itinérants et les galères quotidiennes. ça me manque pas (peut-être l'adrénaline remarquez ...)

 
Il s'attaque aux fichiers auxquels il a accès.
Donc faut vérifier qui/quoi est susceptible d'accéder aux fichiers qui composent le backup.

Encore une fois, la plupart arrivent par mail et les outils utilisés pour les bloqués sont des modules de sandboxing. Module qui a été pas mal l'élément clé des solutions Fireeye mais qui coûtent les yeux de toutes la famille, d'autres acteurs avaient la technologie mais sans pour autant avoir beaucoup communiqué dessus.
Aujourd'hui de plus en plus d'acteurs les proposent en option dans leurs solutions (Websense, Palo Alto, Cisco...)
Jetez un coup d'oeil, les backup c'est bien mais si on peut éviter de s'apercevoir qu'ils marchent pas autant le faire  

 
Oui enfin toutes les cibles de ce type de menace ne sont pas des grands comptes avec des budgets informatiques adéquats.
Tu remarqueras que le client duquel je fais mention possède un seul serveur, sous 2003 qui plus est (ntbackup) avec un devis pour le changer sur son bureau depuis 3 ou 4 ans.

Oui d'où ce que j'ai indiqué plus haut :  
"C'est le problème de placer le curseur entre investir dans une ou des technos avec le prix que ça coute pour éviter quelque chose qui peut ne pas se produire dans la période et passer du temps en interne à résoudre l'incident.  
La sécurité n'est qu'une charge financière pour les directions, difficile de juger de la rentabilité d'une technologie."

Pour les backup veeam, je ne connais pas la capacité des crypto à attaquer du .vbm ou vrb....mais ça serait pas forcément étonnant. De toute façon, tu utilise une fonction d'externalisation ? (bande, site distant, etc)
Et sinon, je pense que personne n'a accès à un partage contenant les svg. Donc les risques d'avoir cette merde sur un serveur sont plutôt limités.

ça peut servir : www.malekal.com/how_recover-teslacrypt-extension-vvv/
 

Vraiment une belle saloperie ces virus, nous avons eu aussi un virus comme ca. Presque 600Go de données HS ... Malheureusement pour nous, la personne a ouvert un fichier à la con le vendredi soir et personne le weekend... Et restaurer plusieurs centaines de milliers de fichiers ... Bas la merde.