Reprise du message précédent :

 
ça existe deja :
 
https://gallery.technet.microsoft.c [...] r-f3722fce

FSRM fonctionne très bien, il faut cependant mettre à jour régulièrement la liste

Merci pour l'astuce FSRM
 
Sur quoi/quel site vous basez-vous pour mettre à jour la liste des extensions des cryptolocker ?

https://fsrm.experiant.ca/

super lien, merci beaucoup

Salut,
 
C'est un outil qui devrait être obligatoire!
 
Par contre, mon serveur de fichiers est sous 2008 SP2 ; j'ai mis à jour Powershell pour passer en 3.0 (je peux pas aller au dessus à priori) mais je pense que le script dispo sur Github n'est pas compatible...  
 
Quelqu'un a t il pu mettre cela en place sur un 2008 non R2 à la mano?
 
Merci!

 
par contre certains programmes légitimes utilisent des extensions de cette liste  

 
Ca a l'air Nikel ca. Merci pour le lien.  
 
Par contre si la liste est mis à jour sur le site web, cest automatiquement récupérer par notre serveur ?
 
Où il faut mettre une tâche planifiée en plus ?

 
C'est vrai ça. Il explique pas trop comment est mis à jour la liste. Sî il Ya une vérification ou pas de l'information.

il te faut créer une tache .ps1 planifiée ou old school
mais pour le coup, c'est vraiment chiant pour certains programmes de CAO

faudrait essayer d'ajouter les extensions dont tu as besoin pour les soft de CAO en exclusions dans FSRM.
 
et voir ensuite comment il se comporte, est ce qu'il prend la règle restrictive ou celle qui autorise

https://fsrm.experiant.ca/installation
 

MalwareByte's Anti Ransomware en action : https://www.youtube.com/watch?v=WOkUhGlXnRg
 

du coup , FSRM t'alerte une fois que le mal est fait , c'est bien ça ?
le crypto crypte le fichier et le renomme ensuite , c'est bien ce qu'il se passe ?

nien
FSRM empêche la création du fichier crypté et tu peux faire un script powershell pour verrouiller le compte automatiquement

Le zepto fait un carnage en ce moment, énormément de boites touchées (en France du moins)  

il est bien bloqué par les antispams, c'est beaucoup mieux que l'année dernière.

ammyy.com a était piraté il y a quelque jours et il a diffusé un .cerber chez plusieurs de mes clients
 
on utilise ammyy et team vieiwer pour faire du support
résultat 3 clients impactés

A mon avis :
 
- C'est le problème de ce type de solution (assistance à distance VIA un site tiers)
- C'est probablement aggravé par le fait que sur le client ça tourne en service.
 
Probablement qu'avec un système "sur demande" (l'utilisateur lance le client de prise en main à distance seulement quand c'est nécessaire) ce type d'attaque pourrait avoir moins d'impact.
 
Enfin à voir si ces solutions peuvent être remplacés par les outils d'assistance à distance de Microsoft :
 
https://support.microsoft.com/fr-fr [...] ix-your-pc
 

hier attaque locky par odin
bizarrement peu de fichiers touchés sur les lecteurs réseaux mais pas mal de pc infectés malgré un mail du DSI disant de ne pas ouvrir les mails dont on ne connait pas l’expéditeur

on a eu droit aussi à locky odin...

par mail donc ? un pattern ou type de fichier en particulier ?

 
 
Par Mail, doc Word en pièce jointe

nous c'etait en excel
ce matin , nouvelle vague denis avec des numeros et notre nom de domaine, encore un xls

chez nous xls aussi.

+1 ici.
géré par l'antivirus

 
Quel antivirus ?

Microsoft

Pareil, un de mes clients touché par Odin jeudi dernier, c'était un fichier Excel en pièce jointe se faisant passer pour une facture.
Bizarrement le serveur de fichiers n'a pas été touché.

indirectement, on s'est aussi pris Odin via un presta......(donc limité aux seuls fichiers de cette application)  
Et aussi la vague de mail avec ce xls pourri....sur 500 users, 2 l'ont exécuté, heureusement des user distant non connectés au réseau à ce moment......
On est en train de migrer chez google en ce moment, et le constat est simple : sur Notes, cette saloperie est passée 6h avant que l'anti spam en amont ne le tag correctement, sur google, directement ejecté.

Je confirme G0ogIe est au taquet a ce niveau, y a quelques mois on avait quelques réceptions de pj pourriez après tout était tagé et pj bloquées, là ça fait un bon moment qu'on ne reçoit plus rien.
La dernière infection : pj xls issue d'un webmail perso de FAI, no comment

Fucking cerber
 
http://www.bleepingcomputer.com/ne [...] processes/

Tant que c'est pas des extensions utiles y a toujours moyen de contrer avec FSRM mais ça devient très contraignant.

Comme dit plus loin dans le temps, quand tes partages sont en CIFS sur une Netapp, FSRM......

De toute façon c'est qu'une question de temps avant qu'il utilisent une extension utile genre xls et la le truc de MS sera fini.
Ce qui est inquiétant c'est le manque de répondant coté logiciel ou évolution des services de fichiers je vois rien venir

 
Ben le fsrm avec une extension aléatoire de 4 caractères c'est déjà mort non ?  
 
On peut encore bloquer le fichier de demande de rançon mais pas plus  
 

Non, il est possible de n'autoriser que les extensions nécessaires.
 
exemple bloquer *.* et autoriser *.xls et *.xlsx dans le même filtre
 
Dans l'idéal activer le rôle service de fichiers sur tous les serveurs histoire de pouvoir protéger les dossiers critiques et au pire recevoir une alerte si un hta html ou txt est posé.

j'ai eu 2 clients impactés par ce virus qui a une nouvelle extension .shit  
 
ils ont de l'humeur les createurs de virus

Hello, on a eu le droit à l'extension *.thor hier, n'hésitez pas à l'ajouter à vos liste FSRM

Ça va vraiment finir avec une whitelist d'extensions connues, et encore, c'est même pas dit qu'ils s'y mettent pas prochainement