Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2140 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10
Page Suivante
Auteur Sujet :

CryptoLocker, prévention ?

n°147739
nanab
Non.
Posté le 06-07-2017 à 14:43:17  profilanswer
 

Reprise du message précédent :

ShonGail a écrit :


 
Mais c'est quoi une liaison pourrie ?
Avec un WSUS, uniquement sur les MAJ de sécu en plus, ça le fait pas ? :??:


Ca le ferait !!
 
... Si le client voulait bien qu'on en installe un :o


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
mood
Publicité
Posté le 06-07-2017 à 14:43:17  profilanswer
 

n°147740
nanab
Non.
Posté le 06-07-2017 à 14:43:32  profilanswer
 

Enfin bref, c'est ni le lieu, ni le sujet pour en parler


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°147745
ShonGail
En phase de calmitude ...
Posté le 06-07-2017 à 15:53:08  profilanswer
 

Ben un peu quand même.
La lutte contre ces menaces, c'est pas que de la technique, c'est aussi de l'humain et une direction qui adhère.
 
Là, avec les derniers événements médiatisés, le nom de grosses boites impactées voir bloquées, ça me parait fou qu'une direction ne dise même pas GO à la MAJ des OS.

n°147748
bardiel
Debian powa !
Posté le 06-07-2017 à 19:02:38  profilanswer
 

Enfin d'un côté niveau MAJ, quand tu en as certaines d'entre-elles qui foutent le bordel une fois installées... c'est parfois tentant de les bloquer, alors qu'il s'agit de MAJ de sécurité pour Windows et Office.
Une des dernières en date que j'ai vu passé, bloquer l'ouverture de toutes les pièces jointes par défaut dans les tâches (kb3203467). Super [:madame_de_galles:5]


---------------
Achievement unlocked : double TT pour avoir dénoncer un floodeur impoli sur le topic "Discussion avec la modération" de la cat' OS Alternatif
n°147749
com21
Modérateur
real men don't click
Posté le 06-07-2017 à 19:25:36  profilanswer
 

d'où la nécessité de déployer les maj par RING (par groupes quoi) mais elles doivent être faites.
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147752
F117
Posté le 06-07-2017 à 21:35:04  profilanswer
 

pour la kb3203467 Microsoft il doit voir globale, il a mi les particuliers et les entreprises dans le même sac, car beaucoup d'infections sont du aux individus qui cliquent sur n'importe quel pièce jointe sans réfléchir  
 
donc il s'est dit autant le faire même si ça empêche les entreprises de bosser correctement
 
c'est ce qui a faillit arrivée aujourd'hui a une personne au travail, heureusement l'administrateur lui a dit de pas le faire. pourtant il y a un courrier interne qui est passé et affiché juste à coté du poste


Message édité par F117 le 06-07-2017 à 23:26:33
n°147755
com21
Modérateur
real men don't click
Posté le 06-07-2017 à 22:28:26  profilanswer
 

J'en ai ici qui réclame les pièces jointes envoyées par les spams/phishing
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147765
saarh
Posté le 07-07-2017 à 10:09:00  profilanswer
 

c'est sur que sans les utilisateurs, on aurait pas vraiment besoin de protection :D (ni de nous, au passage ^^)


Message édité par saarh le 07-07-2017 à 10:54:58
n°147784
F117
Posté le 08-07-2017 à 14:03:09  profilanswer
 

Dans le cas de cette attaque le virus a été propage par une mise à jour infecte sur les serveurs de la société Ukraine de comptabilité
 
Imagine si un gouvernement veut s'en prendre à l'Occident et fait la même chose sur les serveurs de Microsoft  
 
Car sa touchera toutes catégories du particulier qui se sert de son pc pour jouer aux grandes entreprises côté en bourses  
 

n°147785
Je@nb
Modérateur
In ze cloud
Posté le 08-07-2017 à 14:05:34  profilanswer
 

Rien à voir

mood
Publicité
Posté le 08-07-2017 à 14:05:34  profilanswer
 

n°147796
ShonGail
En phase de calmitude ...
Posté le 09-07-2017 à 12:53:48  profilanswer
 

Si on pouvait s'en tenir à la technique et ne pas dériver vers des scenarios Hollywoodiens ou le complot des martiens, ça serait bien :)

n°147798
F117
Posté le 09-07-2017 à 14:16:00  profilanswer
 

sur le cas de WPP une société de publicité la propagation a ete faite par la mise a jour non faites et les droits administrateurs attribués a des personnes qui devraient pas les avoir.
 
exactement ce que certains décrivent ici
 
https://www.theregister.co.uk/2017/ [...] _notpetya/
 
He said IBM had not implemented a crucial central patch management system yet, meaning one of its agencies had not had a Windows patch for six months. Users were also given local admin rights, enabling the malware to spread like wildfire on the network.
 
Andy Patel, security expert at F-secure, said if a machine was infected by the malware, but the user did not have admin rights and other machines were patched, then the network would generally be safe.
 
He noted the most modern version of Windows contains a feature that prevents passwords from being stored in plain text (instead storing the hashes), which means the virus would not have been able to use lateral movements to spread.


Message édité par F117 le 09-07-2017 à 14:23:53
n°147799
Modération
Posté le 09-07-2017 à 14:28:26  answer
 

ShonGail a écrit :

Si on pouvait s'en tenir à la technique et ne pas dériver vers des scenarios Hollywoodiens ou le complot des martiens, ça serait bien :)


 :jap: , F117 ce serait bien de partir maintenant

n°147916
schmosy
Posté le 15-07-2017 à 10:53:41  profilanswer
 

Je viens de voir une variante, qui converti les fichiers pdf, word, excel en .jse (script javascript)
Même pas de consigne pour récupérer ses données.
 
Rien de crypté sur les postes, ça a directement attaqué les lecteurs réseaux.
Tous le serveur de fichier est impacté.
Et un utilisateur a recliqué sur un fichier jse, ça a crypté encore plus.
 
 

n°147922
bardiel
Debian powa !
Posté le 16-07-2017 à 04:34:24  profilanswer
 

Et de mon côté j'ai vu passer des alertes au spam sur des... messages d'alerte parfaitement bien formés et envoyés en interne via le serveur de messagerie interne sur une BAL utilisateur interne à la boîte, qui n'a pas de possibilité de diffusion et de réception vers/depuis l'extérieur.
Le "message d'alerte" en question étant une réponse automatique suite à l'utilisation d'un logiciel interne à la boîte, pour informer de la prise en compte d'une demande de modification.
Bref, le luser dans toute sa beauté qui voit "oh lala mé c koi se message gé ri1 fé moa ! ", alors qu'il s'agit d'un comportement normal du logiciel. Merci la paranoïa ambiante juste parce que l'on a fait une double diffusion pour signaler les spams et les cryptolockers :pfff:


---------------
Achievement unlocked : double TT pour avoir dénoncer un floodeur impoli sur le topic "Discussion avec la modération" de la cat' OS Alternatif
n°147932
F117
Posté le 17-07-2017 à 06:45:20  profilanswer
 

schmosy a écrit :

Je viens de voir une variante, qui converti les fichiers pdf, word, excel en .jse (script javascript)
Même pas de consigne pour récupérer ses données.
 
Rien de crypté sur les postes, ça a directement attaqué les lecteurs réseaux.
Tous le serveur de fichier est impacté.
Et un utilisateur a recliqué sur un fichier jse, ça a crypté encore plus.
 
 


 
Comme j'avais dit les gens cliquent sur n'importe quoi du moment qu'il y a un fichier en pièce jointe
 
Les vers ont du mal à remonté les réseaux tout seul comme l'avait fait Blaster à son époque car de plus en plus de modem/routeur sont utilisés  dans les entreprises et chez les particuliers
 
Ça doit être encore un Wiper merci de nous avoir informé


Message édité par F117 le 17-07-2017 à 06:50:33
n°147933
saarh
Posté le 17-07-2017 à 09:25:28  profilanswer
 

il me semble qu'une saloperie faisait ça (le rename en .jse) il y a quasiment un an (en date de mai à juillet 2016)
ça serait pas mal de savoir si il s'agit d'une nouvelle variante, ou juste un pas de pot sur poste pas protégé. Mais je n'ai vu aucune nouvelle vague de celui là sur les sites habituels.

n°149674
shocker13
Posté le 02-11-2017 à 12:11:53  profilanswer
 

bonjour à tous,
 
il me semble avoir vu sur le net ou sur le forum, un site permettant de faire une sorte du mailing de sensisbilisation sur les cryptoclocker.
 
Le principe est qu'il envoit un faux email qui ressemble à ce qu'on recoit avec des cryptolocker.
 
Et quand un utilisateur ouvre la pièce jointe on le prévient de sa connerie.  
 
Ca parle à quelqu'un ?

n°149675
Je@nb
Modérateur
In ze cloud
Posté le 02-11-2017 à 13:44:12  profilanswer
 

Nous on a ça pour le pishing. L'IT interne envoie régulièrement des faux pishing et les gens qui se font avoir sont priés de (re)faire la formation en ligne

n°149684
shocker13
Posté le 02-11-2017 à 22:26:44  profilanswer
 

Je@nb a écrit :

Nous on a ça pour le pishing. L'IT interne envoie régulièrement des faux pishing et les gens qui se font avoir sont priés de (re)faire la formation en ligne


 
Vous faites ça avec un outil ?
Et Quand tu dis formation c'est à dire ?

n°149691
Je@nb
Modérateur
In ze cloud
Posté le 03-11-2017 à 10:39:04  profilanswer
 

Avant on utilisait les solutions de pishme maintenant je sais pas si c'est toujours ça.
On a un bouton dans Outlook :
http://reho.st/self/6b2bb3096f0abe75ceb89bf12014ec0aecbe7ad1.png
Et qd on reçoit du pishing (vrai ou faux) on doit cliquer dessus pour le reporter pour analyse (qd c'est un faux on a un message "félicitations vous avez bien réagi au test blabla".
Au début les résultats étaient assez catastrophique (genre 60% se sont fait avoir), maintenant on est apparememnt plutôt vers les 22%.
 
Les formations derrière c'est une formation en ligne où on t'apprend à faire attention, à reconnaitre les signes d'un pishing etc. avec test de validation à la fin. Je sais pas si c'est un truc dev en interne ou pas

n°149693
saarh
Posté le 03-11-2017 à 10:59:50  profilanswer
 

Ahhh tiens, pas con.....plutôt que de faire des mails informatifs, faire de faux phishing et mieux cibler les user ayant besoin d'un peu plus de connaissance pour les identifier....Je pense que je vais en mettre un au boulot sous peu :D

n°149705
F117
Posté le 03-11-2017 à 22:09:59  profilanswer
 

Déjà si les gens utilisaient pas leur boîtes e-mails professionnels pour un usage Perso ca vous aiderait  
 
Car beaucoup ne savent pas ou ne veulent pas séparer perso de profession c'est comme l'usage du téléphone

Message cité 1 fois
Message édité par F117 le 03-11-2017 à 23:29:47
n°149706
shocker13
Posté le 03-11-2017 à 22:45:20  profilanswer
 

F117 a écrit :

Déjà si les gens utilisaient pas leur boîtes e-mails professionnels pour un usage Perso ca vous aiderais  
 
Car beaucoup ne savent pas ou ne veulent pas séparer perso de profession c'est comme l'usage du téléphone


 
Je suis pas convaincu que ce soit des mails perso qui sont forcément responsable.  
 
Pour avoir vu quelques mails reçus par les victimes Ca peut être très proche de leur activité professionnel.  
 

n°149714
saarh
Posté le 06-11-2017 à 08:04:50  profilanswer
 

exactement....un client se mange une cochonnerie et c'est tout un pack d'adresse du boulot qui se retrouve dans la nature. (sans compter les piratages genre linkedIn et autre...)
 
Alors oui, dans un monde parfait, ce qui est dans le domaine pro devrait le rester. Mais franchement, soyons lucide. A moins d'une politique d'entreprise très policée avec juste des whitelist de domaines autorisés à envoyer des mails (par exemple), on aura toujours du perso. (et même là, ton PDG te demandera d'ouvrir un "orange.com" ou un "gmail" parce que tous les clients potentiels n'ont pas forcément de domaine en propre)
 
F117, le soucis, c'est que les mails qu'on reçoit sont souvent ambiguës. les "Factures", "Avoir", etc, on en reçoit des masses tout à fait légitimes. Quand dans le tas y a un crypto qui passe..... On a donc formé les services en recevant régulièrement (market, compta, chef de service....) et bien préciser aux autres qui n'ont pas en recevoir de supprimer directement tout ce qui est facture & co. (un chef de secteur ou promoteur des vente, un contrôleur de gestion ou admin BDD n'en reçoivent jamais, par exemple....donc c'est vite vu)

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Plus de sujets relatifs à : CryptoLocker, prévention ?



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR