Reprise du message précédent :
Ça va vraiment finir avec une whitelist d'extensions connues, et encore, c'est même pas dit qu'ils s'y mettent pas prochainement

ça arrivera tôt ou tard et arrivé à ce niveau, je ne vois pas d'alternative sure à part un verrouillage par liste blanche des applications autorisées avec hash sur l'exe, ça va être difficilement gérable.
 
Si vous avez des alternatives à l'antivirus ruskof en v10 pour faire ça merci pour vos retours

En ce moment, notre ami thor a un vrai regain d'activité. En ce moment, on migre sous google, on a donc du assouplir les rêgles de messagerie pendant la phase transitoire notes / gmail (et donc, accepter des mails de notre domaine, mais venant de l'extérieur, sans forcément faire de vérif ldap sur l'existence.....)
Résultat, les mails pourris arrivent en cascade, déjà un poste complètement "thorisé" hier matin malgré le mail de rappel concernant ces foutue factures......(utilisatrice flagellée en place publique....ouvrir une "facture" alors qu'elle est dans un service qui n'a pas a en recevoir....) .Chose étrange avec cette variante, il ne s'est pas attaqué aux disques réseaux connectés, mais par contre, il s'est attelé à crypter les partages ouverts des machines du voisinage (ce qui se résumait à un répertoire de test d'installe)
ça commence à me gonfler un peu. On est en train de monter un POC sur les solutions F-Secure, on en profitera pour tester avec cette souche du virus ^^

Dans le genre faites attention aux appli métiers nos chères fournisseurs configurent parfois des partages sans aucune secu dessus.
 
Ton retour sur F-secure sera le bienvenu

Ils sont passé à la vitesse supérieur, on a le droit a des mail piégé personnalisé, j'en ai reçu un au taf du style :
 
"Bonjour cher employé de [nom de la société ou je travaille]
 
Nous allons bientôt ouvrir un magasin dans les environs de [la ville ou je travaille]
 
Nous offrons une réduction pour notre ouverture, téléchargez la liste des pris ci dessous
 
[lien menant vers un DropBox]"
 
Sentant le piège venir, je voulais en avoir le cœur net, j'ai suivis le lien Dropbox, téléchargée le fichier, MAIS sans l'exécuter, je suis pas assez fous!
 
Le fichier se nommais "liste des prix.pdf.exe", et avait l'icone d'un fichier PDF, j'aime bien afficher les extension des fichiers, ce genre de piège est un grand classique, mais quelqu'un qui ne le fait pas aurait pu se faire avoir.
 
En conclusion, si vous recevez un mail qui demande de télécharger un fichier sur un DropBox ou autres, ne le fait pas, sauf si vous êtes SUR de l'origine et de la fiabilité du mail en question.
 
En début d'année, on a été infecté par Locky, résultat, 25 personnes ne pouvait plus bosser durant 4h le temps que la menace soit éradiquée, et que les backups soient restauré, 100h de perdu, le patron n'était tout sauf content...

Vous n'avez pas d'AV ?

Oui, on a un système qui filtre les mails indésirables (une centaines par jour selon mon chef, c'est pas moi qui gère ça), il y aura toujours quelques un qui passera entre les mailles du filets, avec toutes les conséquences que ça peut avoir si c'est exécuté...
 
Actuellement, les AV ont beaucoup de mal à détecter et neutraliser ces CryptoLockers.

Tu peux m'envoyer en MP le lien dropbox que je vérifie ce que donnent mon AV sur ma messagerie et celui sur mon poste ?

Toujours penser à soumettre les virus à l'éditeur d'antivirus  si celui-ci ne détecte rien.
 
C'est tellement facile de générer des variantes...

Mais ce n'est pas toujours une variante.

On avance un peu sur le POC de F-Secure, la souche de Thor que j'avais n'est pas assez récente pour crier victoire (2 semaines, donc détectée aujourd'hui), mais là, au moins, impossible de le télécharger, de le copier, ou de l'executer (détecté et supprimé dans tous les cas)  
Faudrait que je mette la main sur une cochonnerie récente pour voir ce que ça donne

 
La page n'est plus accessible, très certainement signalée comme dangereuse.

 
S'il te reste le fichier vérolé, je suis preneur.

Désolé, je l'ai supprimé aussi sec, je voulais pas laisser un fichier aussi dangereux sur mon disque.
 
Mais si ça ce reproduit, je pourrait te le transmettre (compressé en zip avec une mention     dessus, pour éviter un exécution par mégarde, avec toutes les conséquences que ça pourrait avoir).

 
ya pas à dire, ils ont de l'imagination !

 
Pas mal le dilemme moral !
Ce doit être le Joker de Batman derrière cette idée

Sachant qu'au final, si A infecte B et C et que B infect D et F et C infecte G et H
 
A reçoit t'il sa clé de décryptage ?

salut à tous avec mon collègue on a testé d'executer un cyrpto sur un poste avec Malwarebytes pro et il bloque instantanément la tentative de modification des fichiers ... vraiment efficace alors cela date de locky mais je pense qu'il doit toujours être aussi efficace !

N'importe quel AV bloque un ancien Locky si la détection est ajoutée dans les définitons AV.
Dans ton cas c'est normal, même Avast le bloquerait.

Par contre, si t'ouvres un plus récent, tu risques d'avoir des surprises

Exemple de détections d'un crypto récent (détecté par uniquement 3 AV actuellement, depuis le 2016-12-13 21:36:26 UTC):
https://www.virustotal.com/fr/file/ [...] /analysis/

il y aura t il un outil pour décrypter pour les fichiers transformés en .shirt comme pour les autres version de ce cryptoware ?
I need it !

essaie la commande tee.

c'est à dire ?

ou sweat mais il est préférable de commencer par tee effectivement

 
 
Command: tee-shirt /xl

Y'a du niveau technique sur les derniers posts !

c'est sur ^^ par contre, pas encore entendu parlé d'une variante de fichier en "shirt"
Généralement, mis à part pour quelques crypto dont les clefs avaient été cassées, il y a peu de chance de récupérer les fichiers cryptés. (sauf sur une sauvegarde)

Touché pas Osiris la semaine dernière, dans les premières heures de sa vie donc pas de bol...
 
Restauration du backup de la veille, résultat une demi journée de perdue.
 
Le dossier commun crypté, le dossier du service, et des dossiers applicatifs que le presta avait laissé en partage à tout le monde ><
J'ai eu aussi quelques dossiers cryptés au fin fond d'un répertoire obscur appelé "sauvegarde disque c" balancé la par un mon prédécesseur.
Dans quelques dossiers spécifiques restaient des droit d'écriture a tout le monde (résidus d'un ancien partage?)
 
Moralité
Connaissez vous un logiciel capable de lister tous les dossiers partagés sur le réseau et identifier les niveaux d'écriture ?

J'en ai voulu à mon user qui malgré les mails de relance et de rappel des consignes de sécurité à pourtant:
 
-ouvert le mail d'un inconnu
-pourtant localisé dans ses SPAMS
-OUVERT la pièce jointe avec un nom du genre 454646521564813268.xls
-FORCé L'ACTIVATION DES MACROS
-m'a avertit plus d'une demi-heure plus tard ...
 
Du coup je ne lui ai toujours pas rendu son poste (on est en pleine fusion, j'ai vraiment d'autres priorités),  
il est punis    je le laisse travailler avec un papier et un crayon c'est moins dangereux...

Pas trop longtemps quand même. Il va finir par aller squatter le pc de quelqu'un d'autre    (en cette période pré-Noel y doit bien y avoir des pc vacants en raison de gens en congés).

 
On en a guillotiné pour moins que ça...

Des cas comme ça faut une sanction de la direction, car ce n'est plus de la négligence à ce niveau là et vu ce que  ça coûte à la boîte après ....

La pièce jointe n'était pas en .xlsm ?

Ah ça, les sanctions, c'est pas toujours évident à appliquer quand on est dans une boite "familiale" (de 500 users....) et que la fautive part en retraite dans 2 mois et à donné satisfaction pendant 40 ans de service (et je te dis pas quand c'est ton DG qui fait la boulette.....non, vaut vraiment mieux tenter de faire au mieux pour que ça n'arrive pas)
 
Pour ce qui est des xlsm, on les dégage purement et simplement au niveau du relais de messagerie de notre côté. ça évite quelques drames, mais pas mal de saloperie restent en xls simple....

Oui nous sommes aussi très restrictif au niveau du serveur de messagerie ça filtre déjà pas mal.

oui etre restrictif au niveau de la messagerie c'est pas mal. on passe déjà à coté de bcp de merde. après il faut aussi accepter une certaine perte ou délai, c'est là ou que ça devient compliqué quand t'as des blaireaux qui n'ont pas de dkim, de spf, de dmarc, un domaine en .net, relai ouvert, etc... et qui t'envoient des mails auquels t'es supposé répondre. bref compliqué mais à travailler effectivement.

Oui c'est vrai que l'on filtre aussi pas mal de mails légitimes mais placés dans une file d'attente que l'on contrôle du coup différemment avec d'autres règles et un système de whitelist. Le juste milieu est effectivement très difficile a atteindre.

L'éducation de nos utilisateurs est aussi une chose importante pour nous et elle se fait avec de fausse campagne de virus réalisé en interne pas notre dev. Nous envoyons régulièrement des mails qui devraient être considérés comme douteux à nos utilisateurs avec une pièce jointe qui nous informe instantanément si l'utilisateur tente de l'ouvrir. Au début de ce genre d'opération le taux d'ouverture était de 50% et maintenant il est quasi nul. Si quelqu'un tente d'ouvrir un de nos mails "piège" nous lui rappelons les règles de base concernant la sécurité et l'impact que pourrait avoir leur comportement sur la société. Dorénavant nous avons beaucoup d'appel de personnes nous demandant notre avis avant d'ouvrir une pièce jointe mais je préfère ça.

Juste pour info, ils s'attaquent maintenant aux bases de données.
http://arstechnica.com/security/20 [...] attackers/
 
Ah ben l'attaque se répand comme un feu de paille: 27 000 !
http://thehackernews.com/2017/01/m [...] urity.html
 

Bonjour,
 
Pour info, nouveau cryptolocker ce matin chez un client. Je n'ai pas encore eu le temps de tout analysé mais visiblement il ne s'est pas attaqué aux lecteurs réseaux.  
 
Les nom des fichiers sont complètement modifier et l'extension est transformée en .a240
 
A+

les dernières versions qu'on a vu passer ne s'attaquaient plus qu'aux partages actifs des serveurs du domaine / workgroup, et laissaient tranquille les lecteurs réseaux connectés. assez vicieux, bien que normalement, à part quelques lecteurs partagés pour des appli, il ne devrait pas y avoir trop rep partagés sur un serveur...

Les bases de données sont effectivement touchées. Je viens de diagnostiquer la panne d'un de notre logiciel installé chez un client qui ne fonctionnait plus. C'est sans doute un poste isolé qui est infecté qui avait malheureusement accès à un répertoire de notre application, utilisant chez ce client une de données Access. Le fichier .mdb a été renommé.  
 
Informations techniques complètes : https://www.endgame.com/blog/wcrywa [...] l-analysis