Reprise du message précédent :

Ca le ferait !!
 
... Si le client voulait bien qu'on en installe un

Enfin bref, c'est ni le lieu, ni le sujet pour en parler

Ben un peu quand même.
La lutte contre ces menaces, c'est pas que de la technique, c'est aussi de l'humain et une direction qui adhère.
 
Là, avec les derniers événements médiatisés, le nom de grosses boites impactées voir bloquées, ça me parait fou qu'une direction ne dise même pas GO à la MAJ des OS.

Enfin d'un côté niveau MAJ, quand tu en as certaines d'entre-elles qui foutent le bordel une fois installées... c'est parfois tentant de les bloquer, alors qu'il s'agit de MAJ de sécurité pour Windows et Office.
Une des dernières en date que j'ai vu passé, bloquer l'ouverture de toutes les pièces jointes par défaut dans les tâches (kb3203467). Super

d'où la nécessité de déployer les maj par RING (par groupes quoi) mais elles doivent être faites.
 

pour la kb3203467 Microsoft il doit voir globale, il a mi les particuliers et les entreprises dans le même sac, car beaucoup d'infections sont du aux individus qui cliquent sur n'importe quel pièce jointe sans réfléchir  
 
donc il s'est dit autant le faire même si ça empêche les entreprises de bosser correctement
 
c'est ce qui a faillit arrivée aujourd'hui a une personne au travail, heureusement l'administrateur lui a dit de pas le faire. pourtant il y a un courrier interne qui est passé et affiché juste à coté du poste

J'en ai ici qui réclame les pièces jointes envoyées par les spams/phishing
 

c'est sur que sans les utilisateurs, on aurait pas vraiment besoin de protection (ni de nous, au passage ^^)

Dans le cas de cette attaque le virus a été propage par une mise à jour infecte sur les serveurs de la société Ukraine de comptabilité
 
Imagine si un gouvernement veut s'en prendre à l'Occident et fait la même chose sur les serveurs de Microsoft  
 
Car sa touchera toutes catégories du particulier qui se sert de son pc pour jouer aux grandes entreprises côté en bourses  
 

Rien à voir

Si on pouvait s'en tenir à la technique et ne pas dériver vers des scenarios Hollywoodiens ou le complot des martiens, ça serait bien

sur le cas de WPP une société de publicité la propagation a ete faite par la mise a jour non faites et les droits administrateurs attribués a des personnes qui devraient pas les avoir.
 
exactement ce que certains décrivent ici
 
https://www.theregister.co.uk/2017/ [...] _notpetya/
 
He said IBM had not implemented a crucial central patch management system yet, meaning one of its agencies had not had a Windows patch for six months. Users were also given local admin rights, enabling the malware to spread like wildfire on the network.
 
Andy Patel, security expert at F-secure, said if a machine was infected by the malware, but the user did not have admin rights and other machines were patched, then the network would generally be safe.
 
He noted the most modern version of Windows contains a feature that prevents passwords from being stored in plain text (instead storing the hashes), which means the virus would not have been able to use lateral movements to spread.

Je viens de voir une variante, qui converti les fichiers pdf, word, excel en .jse (script javascript)
Même pas de consigne pour récupérer ses données.
 
Rien de crypté sur les postes, ça a directement attaqué les lecteurs réseaux.
Tous le serveur de fichier est impacté.
Et un utilisateur a recliqué sur un fichier jse, ça a crypté encore plus.
 
 

Et de mon côté j'ai vu passer des alertes au spam sur des... messages d'alerte parfaitement bien formés et envoyés en interne via le serveur de messagerie interne sur une BAL utilisateur interne à la boîte, qui n'a pas de possibilité de diffusion et de réception vers/depuis l'extérieur.
Le "message d'alerte" en question étant une réponse automatique suite à l'utilisation d'un logiciel interne à la boîte, pour informer de la prise en compte d'une demande de modification.
Bref, le luser dans toute sa beauté qui voit "oh lala mé c koi se message gé ri1 fé moa ! ", alors qu'il s'agit d'un comportement normal du logiciel. Merci la paranoïa ambiante juste parce que l'on a fait une double diffusion pour signaler les spams et les cryptolockers

 
Comme j'avais dit les gens cliquent sur n'importe quoi du moment qu'il y a un fichier en pièce jointe
 
Les vers ont du mal à remonté les réseaux tout seul comme l'avait fait Blaster à son époque car de plus en plus de modem/routeur sont utilisés  dans les entreprises et chez les particuliers
 
Ça doit être encore un Wiper merci de nous avoir informé

il me semble qu'une saloperie faisait ça (le rename en .jse) il y a quasiment un an (en date de mai à juillet 2016)
ça serait pas mal de savoir si il s'agit d'une nouvelle variante, ou juste un pas de pot sur poste pas protégé. Mais je n'ai vu aucune nouvelle vague de celui là sur les sites habituels.

bonjour à tous,
 
il me semble avoir vu sur le net ou sur le forum, un site permettant de faire une sorte du mailing de sensisbilisation sur les cryptoclocker.
 
Le principe est qu'il envoit un faux email qui ressemble à ce qu'on recoit avec des cryptolocker.
 
Et quand un utilisateur ouvre la pièce jointe on le prévient de sa connerie.  
 
Ca parle à quelqu'un ?

Nous on a ça pour le pishing. L'IT interne envoie régulièrement des faux pishing et les gens qui se font avoir sont priés de (re)faire la formation en ligne

 
Vous faites ça avec un outil ?
Et Quand tu dis formation c'est à dire ?

Avant on utilisait les solutions de pishme maintenant je sais pas si c'est toujours ça.
On a un bouton dans Outlook :

Et qd on reçoit du pishing (vrai ou faux) on doit cliquer dessus pour le reporter pour analyse (qd c'est un faux on a un message "félicitations vous avez bien réagi au test blabla".
Au début les résultats étaient assez catastrophique (genre 60% se sont fait avoir), maintenant on est apparememnt plutôt vers les 22%.
 
Les formations derrière c'est une formation en ligne où on t'apprend à faire attention, à reconnaitre les signes d'un pishing etc. avec test de validation à la fin. Je sais pas si c'est un truc dev en interne ou pas

Ahhh tiens, pas con.....plutôt que de faire des mails informatifs, faire de faux phishing et mieux cibler les user ayant besoin d'un peu plus de connaissance pour les identifier....Je pense que je vais en mettre un au boulot sous peu

Déjà si les gens utilisaient pas leur boîtes e-mails professionnels pour un usage Perso ca vous aiderait  
 
Car beaucoup ne savent pas ou ne veulent pas séparer perso de profession c'est comme l'usage du téléphone

 
Je suis pas convaincu que ce soit des mails perso qui sont forcément responsable.  
 
Pour avoir vu quelques mails reçus par les victimes Ca peut être très proche de leur activité professionnel.  
 

exactement....un client se mange une cochonnerie et c'est tout un pack d'adresse du boulot qui se retrouve dans la nature. (sans compter les piratages genre linkedIn et autre...)
 
Alors oui, dans un monde parfait, ce qui est dans le domaine pro devrait le rester. Mais franchement, soyons lucide. A moins d'une politique d'entreprise très policée avec juste des whitelist de domaines autorisés à envoyer des mails (par exemple), on aura toujours du perso. (et même là, ton PDG te demandera d'ouvrir un "orange.com" ou un "gmail" parce que tous les clients potentiels n'ont pas forcément de domaine en propre)
 
F117, le soucis, c'est que les mails qu'on reçoit sont souvent ambiguës. les "Factures", "Avoir", etc, on en reçoit des masses tout à fait légitimes. Quand dans le tas y a un crypto qui passe..... On a donc formé les services en recevant régulièrement (market, compta, chef de service....) et bien préciser aux autres qui n'ont pas en recevoir de supprimer directement tout ce qui est facture & co. (un chef de secteur ou promoteur des vente, un contrôleur de gestion ou admin BDD n'en reçoivent jamais, par exemple....donc c'est vite vu)

La ville de Baltimore est l’otage d’une cyberattaque depuis trois semaines
 
Des hackers ont attaqué la ville américaine depuis le 7 mai, en utilisant un outil de la NSA pour pirater ses systèmes informatiques.
 
http://www.lefigaro.fr/secteur/hig [...] s-20190527

en utilisant une faille patché depuis plus de 2 ans....
 
Bref la première prévention est d'avoir un OS à jour.

Je remets mon drapal qui a sauté

Des hackers  

Elle a en effet été attaquée par un rançongiciel, logiciel malveillant capable d’extorquer les utilisateurs en bloquant partiellement leur ordinateur ou smartphone. Nommé RobinHood («Robin des bois»), il s’appuie sur EternalBlue, un outil développé par l’agence de renseignement américaine NSA. Ce dernier exploite une faille des systèmes d’exploitation Windows XP et Vista, permettant ainsi à un tiers externe d’exécuter des commandes à distance sur sa cible.
 
 
Si les sociétés et les administrations utilisent encore des os comme XP ou vista reliés à internet ont y peut rien

Sans compter qu'ils sont toujours en SMBv1 derrière...bref c'était inévitable.

Merci

Il manque le volet formation des utilisateurs :
https://bfmbusiness.bfmtv.com/01-bu [...] 64825.html

C’est vrai c’est la base de toute la sécurité IT d’avoir des personnels formés.

 
exactement comme vous le dite encore un employé qui a ouvert un émail qu'il fallait pas.
 
https://france3-regions.francetvinf [...] or=CS1-747
 
L'hôpital a été victime d'un "hameçonnage", c'est-à-dire un email infecté.

 
 
idem pour celui ci mais qui date de MAI 2019
 
https://france3-regions.francetvinf [...] 70717.html
 
D’après les premières investigations, un des bâtiments du centre hospitalier universitaire (CHU) a été victime d’un virus informatique, dû à un message de “ hameçonnage

Je ne bosse pas dans la sécurité informatique, mais je trouve assez dingue qu'un seul employé avec un mail piégé puisse infecter tout un réseau en 2019.
 
Celui qui a fait ça a gagné un aller simple chez Pole emplois.

car les hackers utilisent des emails de lettre type de grandes entreprises qu'ils envoient en se faisant passer pour l'entreprise dite, chez les particuliers qu'ils visent c'est souvent des lettres faisant croire qu'elles viennent de banques ou d’opérateurs téléphonique
 

dans windows 10
il y a une option
https://www.malekal.com/activer-pro [...] indows-10/

En entreprise on utilise des antivirus externe en regle generale donc l'option est pas dispo

Mais elle sera dispo sur de nommbreux produits anti virud...

ou pas... 8000 PC et Windows Defender ici