Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1447 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8
Auteur Sujet :

CryptoLocker, prévention ?

n°146530
jo2jo
Posté le 15-05-2017 à 09:47:00  profilanswer
 

Reprise du message précédent :
Les bases de données sont effectivement touchées. Je viens de diagnostiquer la panne d'un de notre logiciel installé chez un client qui ne fonctionnait plus. C'est sans doute un poste isolé qui est infecté qui avait malheureusement accès à un répertoire de notre application, utilisant chez ce client une de données Access. Le fichier .mdb a été renommé.  
 
Informations techniques complètes : https://www.endgame.com/blog/wcrywa [...] l-analysis


---------------
>> Topic Haut-Rhin <<
mood
Publicité
Posté le 15-05-2017 à 09:47:00  profilanswer
 

n°146531
skoizer
tripoux et tête de veau
Posté le 15-05-2017 à 10:06:07  profilanswer
 

le wanacrypt crypte les fichiers avec ce type d'extention
 
.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw.
 
info  
https://blogs.technet.microsoft.com [...] e-systems/


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°146534
fourbe2
C'est du sarcasme ?
Posté le 15-05-2017 à 11:12:00  profilanswer
 

coucou
 
pour info le correctif Microsoft pour XP ne s'installe pas sur les Xp Français. Version incorrect :/
https://blogs.technet.microsoft.com [...] t-attacks/


---------------
cherche à tarif HFR : Tablette jeux ( Nviadia Shield K1) - bouquins Warcraft
n°146535
saarh
Posté le 15-05-2017 à 11:28:41  profilanswer
 

Je ne suis pas fâché d'avoir pu dégager les vieux XP ou 2003 qui trainaient.....bah, au moins, le tapage médiatique du week end m'aura permis de remettre une couche sur "les bonnes pratiques" à nos utilisateurs ^^

n°146537
skoizer
tripoux et tête de veau
Posté le 15-05-2017 à 11:50:51  profilanswer
 

et de debloquer des fond pour ?
j’espère que les finances écoutent les infos :)


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°146538
fourbe2
C'est du sarcasme ?
Posté le 15-05-2017 à 11:55:29  profilanswer
 

skoizer a écrit :

et de debloquer des fond pour ?
j’espère que les finances écoutent les infos :)


 :lol:  
on y croit plus ici


---------------
cherche à tarif HFR : Tablette jeux ( Nviadia Shield K1) - bouquins Warcraft
n°146540
nanab
Non.
Posté le 15-05-2017 à 12:15:02  profilanswer
 

fourbe2 a écrit :

coucou
 
pour info le correctif Microsoft pour XP ne s'installe pas sur les Xp Français. Version incorrect :/
https://blogs.technet.microsoft.com [...] t-attacks/


Je viens pourtant d'en appliquer 4 ce matin :/
 
Récupéré ici : http://www.catalog.update.microsof [...] ?q=4012598


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°146542
fourbe2
C'est du sarcasme ?
Posté le 15-05-2017 à 12:30:46  profilanswer
 

merci !!!
ça fonctionne bien mieux avec ce package qu'avec celui dispo via le blog...
Il y a une erreur dans la mise à dispo des fichiers. C'est le même pour l'embedded que pour le classique


---------------
cherche à tarif HFR : Tablette jeux ( Nviadia Shield K1) - bouquins Warcraft
n°146545
ShonGail
En phase de calmitude ...
Posté le 15-05-2017 à 13:28:57  profilanswer
 

saarh a écrit :

Je ne suis pas fâché d'avoir pu dégager les vieux XP ou 2003 qui trainaient.....bah, au moins, le tapage médiatique du week end m'aura permis de remettre une couche sur "les bonnes pratiques" à nos utilisateurs ^^


 
 
Faut aussi avoir des OS supportés à jour (au moins jusqu'en mars 2017 avec la correction de cette faille) et puis des AV à jour sur les PCs users, etc.
 
Or il est à craindre que pas mal de boites ne soient pas dans les clous.

n°146546
saarh
Posté le 15-05-2017 à 13:49:23  profilanswer
 

On le sait tous ici, je pense....faire passer un budget pour la sécurité n'est pas chose aisée. Pour nous, le crypto passé en 2015 a bien fait prendre conscience aux étages qu'une donnée numérique peut vraiment se perdre. De façon définitive si on a pas un bon plan de sauvegarde souvent testé. Je pense que la médiatisation de ce genre d’événement peut aider à cette prise de conscience.
Après, certaines boites n'ont pas forcément la structure humaine nécessaire à bien faire tourner leur SI (mise à jour, test des logiciels avec les nouveaux OS, supervision, test des svg, etc, etc), sans même parler de budget....
Quelque part, les cryptolocker m'ont apporté un stress que je n'avais pas avant.....Rares étaient les virus avec des effets réellement dévastateurs, et un bon antivirus à jour apportait assez de sérénité.

mood
Publicité
Posté le 15-05-2017 à 13:49:23  profilanswer
 

n°146547
nanab
Non.
Posté le 15-05-2017 à 13:50:58  profilanswer
 

Ah bah ça... quand j'entends au tel le client me dire "j'ai un message étrange sur mon bureau... et je n'accède plus à certains fichiers"
En général je palis dans la seconde :o


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°146548
fourbe2
C'est du sarcasme ?
Posté le 15-05-2017 à 14:04:02  profilanswer
 

nanab a écrit :

Ah bah ça... quand j'entends au tel le client me dire "j'ai un message étrange sur mon bureau... et je n'accède plus à certains fichiers"
En général je palis dans la seconde :o


à l'inverse maintenant on nous appelle pour les bannières publicitaires sur Internet 'vous êtes infectés' :D


---------------
cherche à tarif HFR : Tablette jeux ( Nviadia Shield K1) - bouquins Warcraft
n°146549
Regla88
Posté le 15-05-2017 à 14:07:19  profilanswer
 

nanab a écrit :

Ah bah ça... quand j'entends au tel le client me dire "j'ai un message étrange sur mon bureau... et je n'accède plus à certains fichiers"
En général je palis dans la seconde :o

 

Je veux bien croire, courage...

 

Même chose l'année passée quand un collègue n'arrivait plus à ouvrir un fichier, et je vois que les extensions sont changée en .locky  [:shimay:2]

Message cité 1 fois
Message édité par Regla88 le 15-05-2017 à 14:08:15
n°146553
nanab
Non.
Posté le 15-05-2017 à 14:46:59  profilanswer
 

Regla88 a écrit :


 
Je veux bien croire, courage...
 
Même chose l'année passée quand un collègue n'arrivait plus à ouvrir un fichier, et je vois que les extensions sont changée en .locky  [:shimay:2]


C'était pour plusieurs Locky et des Teslacrypt.
 
Pas eu d'appels pour WannaCry encore


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°146554
jo2jo
Posté le 15-05-2017 à 16:09:29  profilanswer
 

nanab a écrit :

Ah bah ça... quand j'entends au tel le client me dire "j'ai un message étrange sur mon bureau... et je n'accède plus à certains fichiers"
En général je palis dans la seconde :o


Chez nous c'est cette erreur qui est la plus courante au lancement de notre logiciel. Nous avons envoyé une alerte à nos intégrateurs car on a quand même plusieurs clients touchés malheureusement.
 
http://i.imgur.com/c4ZKQ6d.png


---------------
>> Topic Haut-Rhin <<
n°146557
matteu
Posté le 15-05-2017 à 18:21:17  profilanswer
 

Je suis content d'être en congés pour ma part j'ai regardé un peu les incidents des clients qu'on a aujourd'hui. 10 tickets pour savoir qu'est ce qu'il faut faire pour se prémunir du virus et comment identifier les postes qui ne sont pas à jour.
J'ai même vu un client qui dit, ca fait 8 mois que le WSUS ne fonctionne plus comment faire :p


---------------
Mon Feedback---Mes ventes
n°146570
com21
Modérateur
real men don't click
Posté le 16-05-2017 à 10:38:54  profilanswer
 

https://i.redditmedia.com/0Nalf9JmomG0FTe3B2OExsUEyKcgYN6oHBHGrTpkNVY.jpg?w=600&s=601c8ac7f8717279b7ec3621f10d7749


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146602
ShonGail
En phase de calmitude ...
Posté le 17-05-2017 à 17:18:38  profilanswer
 

Bonjour,
 
pour information : https://www.proofpoint.com/us/threa [...] ublepulsar
 
Rapidement : Wanacry a pu être bloqué dans l'exploitation de la faille SMBv1 par la présence d'un autre virus : Adylkuzz
qui lui-même depuis plusieurs semaines, en toute discrétion, exploite la faille, bloque don utilisation et se sert du CPU pour miner de la crypto-monnaie.
 
Bon c'est nettement moins pénalisant que Wanacry, voir cela a pu être bénéfique, mais c'est l'heure de vérifier l'utilisation CPU des PCs et serveurs à risque :)

n°146604
com21
Modérateur
real men don't click
Posté le 17-05-2017 à 18:52:39  profilanswer
 

2 scripts powershell de scan du reseau pour la faille SMBv1

 

https://www.reddit.com/r/sysadmin/c [...] twork_for/

 

Le premier test si la faille est présente.
Le deuxième vérifie si les postes (AD) ont été patchés !

 

J'ai lancé le premier au taff, [:keuah]


Message édité par com21 le 18-05-2017 à 10:49:16

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146612
cotorep
Posté le 18-05-2017 à 01:39:10  profilanswer
 

il y a un antivirus qui le bloque wanacry
 
https://www.youtube.com/watch?v=FjS [...] ture=share
 
nous utilisons la partie firewall chez nos clients  , je n'ai pas encore pu tester coté antivirus

n°146613
ShonGail
En phase de calmitude ...
Posté le 18-05-2017 à 06:54:15  profilanswer
 

Kaspersky avec la brique System Watcher de son AV indique également le bloquer.

n°146614
skoizer
tripoux et tête de veau
Posté le 18-05-2017 à 08:39:59  profilanswer
 

"2 scripts powershell de scan du reseau pour la faille SMBv1 "
As tu ce script ?


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°146615
saarh
Posté le 18-05-2017 à 09:20:51  profilanswer
 

F-Secure le bloque aussi (deep guard). Encore faut il que la fonction soit activée sur les postes.
Com21, on veut bien tes script :D

n°146616
sticky-fin​gers
Posté le 18-05-2017 à 10:35:33  profilanswer
 

Après recherche et test, celui-ci fonctionne :
https://community.spiceworks.com/to [...] ell?page=2


Message édité par sticky-fingers le 18-05-2017 à 10:35:52
n°146617
com21
Modérateur
real men don't click
Posté le 18-05-2017 à 10:49:36  profilanswer
 

skoizer a écrit :

"2 scripts powershell de scan du reseau pour la faille SMBv1 "
As tu ce script ?


 
J'ai rajouté la source, j'avais oublié de le faire :D


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146623
ShonGail
En phase de calmitude ...
Posté le 18-05-2017 à 12:35:45  profilanswer
 

com21 a écrit :


 
J'ai rajouté la source, j'avais oublié de le faire :D


 
A l'aide j'suis une buse en powershell.
Lorsque j'exécute le script, j'ai l'erreur suivante :
 

Code :
  1. Impossible de trouver un constructeur approprié pour instancier l'objet attribut personnalisé pour le type « Alias ».
  2. Au niveau de C:\JsuisnazenPS\Get-MS17010.ps1 : 37 Caractère : 7
  3. + [Alias <<<< ()]
  4.     + CategoryInfo          : InvalidOperation: (Alias:Token) [], RuntimeException
  5.     + FullyQualifiedErrorId : CannotFindConstructorForCustomAttribute

n°146624
bartinoob
Nope.
Posté le 18-05-2017 à 13:29:29  profilanswer
 

ShonGail a écrit :


 
A l'aide j'suis une buse en powershell.
Lorsque j'exécute le script, j'ai l'erreur suivante :
 

Code :
  1. Impossible de trouver un constructeur approprié pour instancier l'objet attribut personnalisé pour le type « Alias ».
  2. Au niveau de C:\JsuisnazenPS\Get-MS17010.ps1 : 37 Caractère : 7
  3. + [Alias <<<< ()]
  4.     + CategoryInfo          : InvalidOperation: (Alias:Token) [], RuntimeException
  5.     + FullyQualifiedErrorId : CannotFindConstructorForCustomAttribute



 
Idem ici, d'après ce site, c'est un attribut dispo en powershell v4 :  
 
http://www.lazywinadmin.com/2016/0 [...] alias.html
 
Et sur Win7, j'ai l'impression que je suis qu'en v2 :  

Code :
  1. PS U:\> $PSVersionTable
  2. Name                           Value
  3. ----                           -----
  4. CLRVersion                     2.0.50727.8669
  5. BuildVersion                   6.1.7601.23403
  6. PSVersion                      2.0
  7. WSManStackVersion              2.0
  8. PSCompatibleVersions           {1.0, 2.0}
  9. SerializationVersion           1.1.0.1
  10. PSRemotingProtocolVersion      2.1


 
 
Après, j'imagine que ça se DL, on va voir si ça marche :o
 
https://blogs.technet.microsoft.com [...] windows-7/
 
https://www.microsoft.com/en-us/dow [...] x?id=40855


---------------
'Tain, mais j'ai pas demandé à venir au monde.
n°146625
ShonGail
En phase de calmitude ...
Posté le 18-05-2017 à 13:35:13  profilanswer
 

Oui merci c'était bien le souci :jap:

n°146631
com21
Modérateur
real men don't click
Posté le 18-05-2017 à 14:20:36  profilanswer
 

Genre vous z'êtes pas encore passé sous Windows 10 :o


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146632
ShonGail
En phase de calmitude ...
Posté le 18-05-2017 à 14:29:58  profilanswer
 

C'est prévu sous peu avec un nouveau PC. Plus le choix :o
Au passage, je vends mon PC actuel :
http://forum.hardware.fr/forum2.ph [...] #t24276343
 
:D

n°146635
com21
Modérateur
real men don't click
Posté le 18-05-2017 à 19:02:35  profilanswer
 

Bon alors ça donne quoi vos scan ?
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146637
ShonGail
En phase de calmitude ...
Posté le 18-05-2017 à 19:07:26  profilanswer
 

com21 a écrit :

Bon alors ça donne quoi vos scan ?
 


 
Utile pour l'instant. J'ai trouvé deux OS sur le réseau qui n'étaient pas à jour.

n°146644
bartinoob
Nope.
Posté le 19-05-2017 à 08:42:23  profilanswer
 

Une dizaine ici, pêle-mêle du 2003 oublié dans un coin, des 2008 pas redémarrés après avoir installé les màj, ou encore des xp qui servent de console de supervision :o


---------------
'Tain, mais j'ai pas demandé à venir au monde.
n°146653
titansupre​mplus
#Jambier2022 #Fenston2022
Posté le 19-05-2017 à 10:29:16  profilanswer
 

ça marche pas mal !
 
J'ai trouvé des becannes dont j'avais complètement oublié l’existence :o


---------------
Bordeauuuxx rosééé ! C'est du Bordeaux ... MAIS rosé ! | http://www.radiomeuh.com
n°146654
com21
Modérateur
real men don't click
Posté le 19-05-2017 à 11:12:01  profilanswer
 

:jap:  
 
Ici pareil on fait la chasse aux machines non patchés


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146663
saarh
Posté le 19-05-2017 à 14:38:01  profilanswer
 

j'aurais mieux fait de ne pas le lancer, ce script....bon, ben....on va pas s'ennuyer dans les prochaines jours !

n°146667
com21
Modérateur
real men don't click
Posté le 19-05-2017 à 15:17:46  profilanswer
 

Vous avez du XP/2003 ?
 
ou c'est du Seven pas patchés ?
 
Si seven, vous n'avez pas WSUS ?
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146670
F117
Posté le 19-05-2017 à 18:24:36  profilanswer
 

Dans la société où je travaille c'est du Seven sur les postes de travail,
 
Il y a tout une partie des postes qui sont jamais utilisés  
 
Si le technicien  ne les mets pas à jour  y aura une surprise le jour où ils s'en serviront


Message édité par F117 le 19-05-2017 à 18:27:14
n°146672
ShonGail
En phase de calmitude ...
Posté le 19-05-2017 à 20:11:27  profilanswer
 

com21 a écrit :

Vous avez du XP/2003 ?
 
ou c'est du Seven pas patchés ?
 
Si seven, vous n'avez pas WSUS ?
 


 
Quelques serveurs en 2003/2008R1, patchés samedi dernier avec le correctifs sorti par M$
Sinon pas mal de 2008R2, certains en MAJ auto, d'autres non mais patchés ce WE aussi sauf un oublié repéré grâce au script.
PCs sous Seven en MAJ auto. Tous OK sauf un qui merde sur les MAJ cause HDD HS je pense. Repéré aussi grâce au script.
Prochaine étape : avoir une remontée via KSC 10 de l'état des MAJ et des vulnérabilités pour tout ce beau monde.

n°146675
com21
Modérateur
real men don't click
Posté le 19-05-2017 à 20:51:28  profilanswer
 

Oui c'est pas mal kasperky pour ça, ça permet d'avoir une remonté d'infos des vulnérabilités (os et logiciel)  
 
 
F117 :   pas de WSUS avec un WakeonLan de temps en temps  pour justement faire MAJ OS et antivirus (voir logiciel en prime) ?
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°146676
F117
Posté le 19-05-2017 à 22:51:18  profilanswer
 

Si le tech à une option sur le serveur qui permet de lancer à distance afin de faire les mise à jours puis qu'ils s'éteignent une fois fini  
 
Ça doit être fait la nuit car en journée les postes sont éteints constamment  
 
Il y a jamais personne qui a travaillé dessus depuis leurs installations


Message édité par F117 le 19-05-2017 à 23:59:21
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8

Aller à :
Ajouter une réponse
 

Sujets relatifs
Plus de sujets relatifs à : CryptoLocker, prévention ?



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR