Reprise du message précédent :
Si le tech à une option sur le serveur qui permet de lancer à distance afin de faire les mise à jours puis qu'ils s'éteignent une fois fini  
 
Ça doit être fait la nuit car en journée les postes sont éteints constamment  
 
Il y a jamais personne qui a travaillé dessus depuis leurs installations

les médiats on semé la paranoïa sur XP mais quand on voit les statistiques évalué par Kapersky, il y a de quoi se possé l question
 

 
https://arstechnica.com/security/20 [...] so-widely/

bonjour à tous    
 
J'ai pour habitude faire mes sauvegardes avec du veeam endpoint sur un nas du coup je me pose la meme question sur le fait que les crypto est la capacité de mettre hs ma sauvegarde veeam.
 
Du coup je me pose la question suivante : si je met un mdp avec mon nas sur mon répertoire de sauvegarde pour qu'il n'y ai que veeam qui puisse écrire sur ce répertoire, dans la théorie le crypto ne pourra pas l'attaquer?  
 
Merci d'avance  

 
Il y a effectivement peut de chance qu'il y arrive.  
 
Sur les Nas synologie javais vu que tu pouvais faire en plus des partages réseau caché. Ce qui doit aussi empêcher encore certains cryptos de passer  
 
 

partage caché, protéger par un mot de passe, pas de lecteur réseau sur ton pc et pas de mot de passe enregistrer sur ton navigateur.
 
c'est plutôt safe je dirai

ok merci du coup je vais me pencher dessus pour blinder un peu le truc ready nas

J'ai du mal à saisir comment le virus pourrait aller sur le NAS ?
Si le parc est à jour, comment est ce que cela pourrait arriver ?
 
Ma question est sérieuse.

 
Ouais, c'est sans doute un complot des Illuminatis pour faire disparaître XP de la planète  

 
Ben Avec un parc pas à jour par exemple  
 
Et les failles sont bouchés au bout d'un certains laps de temps. Pendant qu'elles ne le sont pas il vaut mieux prendre toutes les précautions

Pas la peine de faille de sécurité, si le PC contaminé accède au NAS en écriture, certaines versions du crypto pourront chiffrer le contenu.

A priori non.
 
Les cryptos ne s'attaquent qu'à certains fichiers.
 
Le mieux reste encore de placer son infra de sauvegarde sur un autre réseau que celui de production.

ok donc c est bien ce que je me disais useless pour les failles deja connus a moins de garder de vieilleries non supporte depuis 10 ans... mais bon faut juste etre fou

Suffit que le vecteur d'infection passe en pièce jointe d'un mail pro ou perso pour attaquer tous les partages du réseau, poste à jour ou pas !

Des solutions comme Windows Defender ATP : https://www.microsoft.com/fr-fr/win [...] indows-atp est capable de parer ce risque.

je suis pas dans la securite mais si ton av connait la faille x et que tu recois un mail pour exploiter la faille x alors il n infectera ni le poste ni les lecteur reseau donc surproteger le nas est useless non ?encore une fois j ai bien dis pourles failles connues
puis bon le probleme c est toujours le meme 99% des societes sont pas foutus de mettre leur poste a jour ( oui oui on a des client avec du 2000 encore... ou du 2003 sans sp)...
et la prevention des utilisateur est faite a la legere...

L'antivirus n'est pas fait pour combler les failles.
On a souvent des clients qui ne font pas les mises à jours de java, flash, adobe reader, c'est eux qui sont contaminés en 1er même s'ils ont des antivirus à jour et en dernière version.

Je dis pas qu'il est la pour ça je donnais juste un exemple mais si on lit un peu vite c'est ce qu'on peut comprendre en effet
bref, c'est pas prêt de se terminer ces crypto de toute facons ^^

 
Non et je pense qu'il faut aussi s'intéresser à ses BDD.
Y'en a un y'a pas longtemps qui a attaqué les bases MongoDB peu sécurisées.
 
On peut craindre dans l'avenir que les bases Oracle, SQL Server, MySQL, etc. puissent être des cibles.

gros manque dans la configuration de la BDD quand elle est accessible de n'importe où sur le reseau voir depuis internet

Qd ta BDD est dans le cloud (un Azure SQL par exemple), pas trop le choix . Bon ok un peu puisque tu peux configurer le FW de la BDD pour n'autoriser qq ip mais elle est accessible depuis internet

Tu nous tiens au courant, car ça m'interresse.

Bonjour,
 
qui a mis en place FSRM avec des whitelist ?

c est plutot blacklist que j ai vu d implementer
whitelist c est loin d etre evident....

 
Sauf que je ne suis pas certain de l'efficacité des blacklists contre des cryptolockers qui vont utiliser des extensions non connues ou carrément aléatoires.

je suis d accord avec toi.
faire une whitelist n est pas pour autant chose facile
il faut faire un inventaire de tout ce qui est utilise et penser a le faire vivre en cas de nouvelle application ou si un fournisseur envoit un fichier tiff au lieu de jpeg par exemple.
mais c est vrai aussi en cas de blacklist pour les nouvelles menaces donc ca demande du travail c est sur c est de la securite

perso je pense que les whitelist sont plus efficaces, quitte a ce que ca gueule un peu pour ouvrir petit a petit certains types de fichiers.
 
Pour les bdd, je pense qu'on n'a pas trop a s'inquieter tant que celles ci sont montées, elles ne sont pas cryptables.
Pour les sauvegardes, avec des bonnes ACL accessibles uniquement en ecriture par un compte specifique au serveur Veeam et uniquement accessible au serveur Veeam, le risque est plus que limité... voire carrément sur un VLAN a part.

sinon je crois que c'est plus haut dans ce post que j'ai vu un canadien qui avait mis en place un systeme de blacklist sur FSRM avec un script powershell a lancer périodiquement pour récupérer les dernieres extensions connues blacklistées. Qui a testé ca ?  
Sur le papier ca m'a l'air d'etre une bonne idée si la blacklist est bien mise a jour !
 
le probleme c'est que perso j'ai pas le temps de mettre ca en place chez tous mes clients  

 
Le risque ce n'est pas le chiffrement des datafiles mais des données dans la BDD !
C'est l'authentification à cette dernière qui nécessite sécurité, pas l'accès aux datafiles eux-mêmes (même si il est évident qu'ils doivent être protégés).
 
De manière générale, que ce soit des datafiles ou des fichiers de backup type VEEAM, je vois mal un cryptolocker s'attaquer à chiffrer des fichiers de plusieurs dizaines/centaines de GO, quand ils ne dépassent pas le To.
La faisabilité technique m’apparaît très incertaine.

Plusieurs éléments très intéressants à connaitre si infecté par Wanacry :
https://securelist.com/78609/wannac [...] infection/

le problème c'est surtout qu'une bonne partie des infections sont faites par des utilisateurs qui consultent leurs e mails perso sur les pc des entreprises et ouvrent n'importe quoi. Car les délinquants s'adaptent
 
genre la dernière en date se faire passer pour le trésor publique demandant aux gens de saisir leurs données pour augmenter les paiements mensuel
 
penses tu que mr ou mme lamda va trouver ca louche alors que la période de déclaration d’impôts est terminée depuis mercredi soir

J'ai une histoire comme ça à raconter.
 
Au boulot on a filtre antispam et filtre antivirus. Le filtre antivirus peut virer une pièce jointe suspect mais envoie un message au destinataire en disant que la pièce jointe a été supprimée et que si c'est une pièce jointe légitime il faut faire un ticket pour que l'on débloque la pièce en question.
 
Bref on reçoit un ticket d'une nana réclamant la pièce jointe d'un mail venant de soit disant HSBC rédigé en anglais. (je travaille dans une université française).
 
 
Il y en a, il faut vraiment les protéger d'eux même et plutôt 2 fois qu'une.
 

si elle fait de la fraude fiscal, HSBC elle s'est fait de la pub pour ca  
 
https://www.mediapart.fr/journal/ec [...] de-fiscale
 
Notre dossier: HSBC, machine à fraude fiscale
 
Le deuxième groupe bancaire mondial, suspecté d'avoir organisé à grande échelle fraudes et évasions fiscales, est au cœur d'une vaste enquête judiciaire.

Page M$ concernant les patchs de sécu qui corrigent de nouvelles failles :
https://support.microsoft.com/en-us [...] -platforms
 
Cette page concerne les OS non supportés.
Pour ceux supportés, direction WU.

un nouveau qui se propage à grande échelle aujourd'hui :
http://www.securityweek.com/russia [...] yberattack
http://www.huffingtonpost.fr/2017/ [...] _23004099/

Même faille que Wannacry : https://securelist.com/schroedingers-petya/78870/

un peu plus d'infos : http://blog.talosintelligence.com/ [...] riant.html

Pour les utilisateurs faisant du partage poste à poste chez eux, avec un vieux poste XP recyclé comme serveur  

What ? on peut m'expliquer là ou je comprend que ça pourrait passer par du WMI ?

Oui : https://www.malwaretech.com/2017/06 [...] known.html

Oui ça devient très merdique.

vaccin : https://www.bleepingcomputer.com/ne [...] -outbreak/
 
soit  
 
copy "c:\Windows\notepad.exe" c:\Windows\perfc"
attrib +R "c:\Windows\perfc"