Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2605 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14
Auteur Sujet :

CryptoLocker, prévention ?

n°147629
com21
Modérateur
real men don't click
Posté le 28-06-2017 à 10:42:08  profilanswer
 

Reprise du message précédent :
vaccin : https://www.bleepingcomputer.com/ne [...] -outbreak/
 
soit  
 
copy "c:\Windows\notepad.exe" c:\Windows\perfc"
attrib +R "c:\Windows\perfc"


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
mood
Publicité
Posté le 28-06-2017 à 10:42:08  profilanswer
 

n°147630
ShonGail
En phase de calmitude ...
Posté le 28-06-2017 à 10:48:07  profilanswer
 

Autant créer un fichier vide ou txt plutôt que de dupliquer un exe, non ?

 

EDIT : le script indiqué crée en fait 3 fichiers là ou la page WEB n'en mentionne qu'un. Le script me semble plus valable que la page explicative :o


Message édité par ShonGail le 28-06-2017 à 10:51:21
n°147631
com21
Modérateur
real men don't click
Posté le 28-06-2017 à 10:53:05  profilanswer
 

oui effectivement
 
le script en question

Citation :

@echo off
REM Administrative check from here: https://stackoverflow.com/questions [...] min-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
 
echo Administrative permissions required. Detecting permissions...
echo.
   
net session >nul 2>&1
 
if %errorLevel% == 0 (
 if exist C:\Windows\perfc (
  echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
  echo.
 ) else (
  echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
 
  attrib +R C:\Windows\perfc
                attrib +R C:\Windows\perfc.dll
                attrib +R C:\Windows\perfc.dat
 
  echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
  echo.
 )
) else (
 echo Failure: You must run this batch file as Administrator.
)
   
pause


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147632
Nanab
Non.
Posté le 28-06-2017 à 10:54:55  profilanswer
 

Le script est plutot simple.
je viens de l'exécuter sur mon poste avant de le déployer.


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°147635
micky78
Get ripped or die tryin'
Posté le 28-06-2017 à 11:20:09  profilanswer
 

Je sais pas si c'est lié mais grosse grosse merdasse sur les serveurs MS, Azure, Office, Live ... tout est down


---------------
Vends Blu Ray récents
n°147636
akuma128
Posté le 28-06-2017 à 11:20:33  profilanswer
 

Je pari que dès ce soir ya une variante pour contrer cette solution..

n°147637
Profil sup​primé
Posté le 28-06-2017 à 11:23:37  answer
 

micky78 a écrit :

Je sais pas si c'est lié mais grosse grosse merdasse sur les serveurs MS, Azure, Office, Live ... tout est down


 
+1 plus d'outlook / skype depuis 1h pour toute ma boite  [:tim_coucou]

n°147638
micky78
Get ripped or die tryin'
Posté le 28-06-2017 à 11:25:09  profilanswer
 


 
Moi qui voulait diffuser le script (merci pour le lien d'ailleurs) aux externes c'est mort


---------------
Vends Blu Ray récents
n°147639
com21
Modérateur
real men don't click
Posté le 28-06-2017 à 11:42:38  profilanswer
 

Après le script c'est la rustine quand tu peux pas patcher, ni désactiver smbv1
 
car il suffit d'une variante (et il y en aura) pour que ça ne marche plus !


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147640
ShonGail
En phase de calmitude ...
Posté le 28-06-2017 à 11:46:11  profilanswer
 

Ca me parait aller au delà puisque cela doit bloquer l'exécution du virus quelle que soit la méthode de propagation.
Or il se propage aussi via WMI.
 
Un bon truc peut-être aussi d'interdire l’exécution de PSEXEC sur les postes et serveurs.

mood
Publicité
Posté le 28-06-2017 à 11:46:11  profilanswer
 

n°147641
ShonGail
En phase de calmitude ...
Posté le 28-06-2017 à 11:51:03  profilanswer
 

Sur http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/ ils proposent "empêcher la création de processus à distance par WMI".
 
Quelqu'un sait comment faire cela ?
Je cherche en vain :/

n°147647
com21
Modérateur
real men don't click
Posté le 28-06-2017 à 13:22:02  profilanswer
 

j'ai trouvé ça :
 

Citation :

The remote process has no user interface but it is listed in the Task Manager. A process created locally can run under any account if the account has the Execute Method permission for the root\cimv2 namespace. A process created remotely can run under any account if the account has the Execute Method and Remote Enable permissions for root\cimv2. The Execute Method and Remote Enable permissions are set in WMI Control in the Control Panel. For more information, see Setting Namespace Security with the WMI Control.


 
 
https://msdn.microsoft.com/en-us/li [...] 85%29.aspx
 
 
j'essaye de comprendre ce qu'il en est


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147653
Nanab
Non.
Posté le 28-06-2017 à 16:46:40  profilanswer
 

TNT impacté :/


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°147662
QOTSA76
Posté le 29-06-2017 à 09:31:59  profilanswer
 

Hier soir sur France 5, l'émission "C dans l'air" est revenu sur l'attaque en cours.
 
Disponible en replay ici : https://www.france.tv/france-5/c-da [...] -2017.html

n°147664
nebulios
Posté le 29-06-2017 à 11:28:30  profilanswer
 

com21 a écrit :

Après le script c'est la rustine quand tu peux pas patcher, ni désactiver smbv1
 
car il suffit d'une variante (et il y en aura) pour que ça ne marche plus !


 
Non, encore un fois j'ai vu des machines patchées et avec SMBv1 désactivées se faire infecter. La création des fichiers perfc empêche le chiffrement (mais pas la propagation).

n°147667
com21
Modérateur
real men don't click
Posté le 29-06-2017 à 13:17:20  profilanswer
 

Citation :

des nouvelles recommandations :
 
Recommandations
 
Pour empêcher la propagation du rançongiciel même en cas d'infection initiale. Le CERT-FR recommande d'effectuer les actions suivantes :
 
    Mettre le processus lsass.exe en PPL (protected process light) sur l'ensemble des postes de travail, des serveurs membres et des contrôleurs de domaine, mesure déployable par GPO via un modèle d'administration récupérable sur le site Web de Microsoft. Cette action rend plus difficile la récupération des empreintes en mémoire et n'est réellement efficace que depuis Windows 8.1 et 2012 R2 ;
    Activer credential guard sur l'ensemble des postes de travail et des serveurs membres, ce qui rend impossible la récupération des empreintes en mémoire, sur Windows 10 et 2016 ;
    Mettre les utilisateurs les plus privilégiés de l'AD dans le groupe protected users ce qui nécessite une extension de schéma AD en 2012 R2. Cette mesure empêche le stockage des empreintes des mots de passe en mémoire, y compris sur les postes Windows 7 s'ils sont à jour (ayant notamment le correctif KB2871987 appliqué) ;
    Ajouter le SID des utilisateurs locaux (S-1-5-113) dans le droit d'authentification interdire l'accès à cet ordinateur par le réseau. Cette mesure peut être déployée par GPO et empêche la réutilisation des mots de passe identiques des comptes locaux ;
    Activer le contrôle de comptes utilisateur (UAC) pour le compte administrateur intégré (par GPO) sur les serveurs et les postes de travail ;
    S'assurer que les utilisateurs n'aient pas de privilèges sur les postes de travail ou activer le contrôle de comptes utilisateur (UAC) en mode Demande de consentement sur le bureau sécurisé ;
    Empêcher l'exécution de PSExec sur les machines, grâce au SRP ou Applocker, en s'assurant que ces restrictions s'appliquent également aux administrateurs ;
 
De manière plus générale, le CERT-FR recommande :
 
    l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 ;
    le respect des recommandations génériques relatives aux rançongiciels : http://www.cert.ssi.gouv.fr/site/C [...] index.html ;
    de limiter l'exposition du service SMB, en particulier sur internet ;
    respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l'élévation de privilèges et la propagation latérale de l'attaquant ;
    de ne pas payer la rançon.


 
 
http://www.cert.ssi.gouv.fr/site/C [...] index.html

Message cité 2 fois
Message édité par com21 le 29-06-2017 à 13:20:05

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147668
ShonGail
En phase de calmitude ...
Posté le 29-06-2017 à 13:35:45  profilanswer
 


 
Merci.
 
Les 3 premières préconisations semblent avoir le même but mais la 3ième apparait à privilégier puisqu'elle s'applique aussi au W7, non ?
Par contre, je ne sais pas ce que sont les "utilisateurs les plus privilégiés de l'AD" ? Les comptes users avec droits admins sur les membres du domaine ? Le compte admin du domaine lui-même ?
 
Pour le SID, je vais m'y pencher.
 
Pour l'UAC, c'est OK mais je ne saisi pas le lien avec le compte admin. L'UAC est générale quel que soit le compte, non ?
 
PSexec, c'est déjà bloqué via l'AV.
Via applocker ou SRP, c'est plus chaud car il faut l'activer pour toutes les partitions si on veut bloquer psexec quel que soit son chemin et d'emblée les exe sont aussi bloqués, ce qui peut devient trop restrictif.

n°147670
RiderCrazy
Posté le 29-06-2017 à 14:43:30  profilanswer
 


Shut... down... everything // TODO : insererlememekivabien

n°147671
com21
Modérateur
real men don't click
Posté le 29-06-2017 à 15:42:38  profilanswer
 

Honnêtement j'ai du mal à voir ce qui peut être mis en oeuvre dans ses préconisations.
 
Là j'ai un domaine 2008R2 donc je ne peux pas faire " les utilisateurs les plus privilégiés de l'AD dans le groupe protected users ce qui nécessite une extension de schéma AD en 2012 R2"
 
Et je pense que " les utilisateurs les plus privilégiés de l'AD" sont les admins et les comptes avec droits admin"
 
 
Mettre le processus lsass.exe en PPL (protected process light)  : j'ai trouvé ça : https://technet.microsoft.com/en-us [...] 11%29.aspx
 

Citation :

To enable LSA protection on a single computer
 
    Open the Registry Editor (RegEdit.exe), and navigate to the registry key that is located at: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
 
    Set the value of the registry key to: "RunAsPPL"=dword:00000001.


 
 
Pour le Device Guard :
https://docs.microsoft.com/fr-fr/wi [...] tial-guard
https://mva.microsoft.com/en-us/tra [...] 6704300474
https://docs.microsoft.com/en-us/wi [...] d-security
 
 
Mais après pour mettre en oeuvre tout ça.
Sachant qu'on a encore du windows 7, que pas mal de bios ont été configuré en Legacy...
Qu'on installe encore du Windows 7 en UEFI sans secure boot
et que les windows 10 auront UEFI et secure boot
 
 
 
 
 
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147677
akizan
Eye Sca Zi
Posté le 30-06-2017 à 12:17:34  profilanswer
 

+1 avec com21.
Ce qui est comique avec ssi.gouv.fr c'est qu'ils sont capables de donner des recommandations et le lendemain, de toutes les rechanger :p

n°147678
com21
Modérateur
real men don't click
Posté le 30-06-2017 à 13:05:15  profilanswer
 

bah on en revient toujours au même problème entre les nouvelles mesures de sécurité sur le nouveaux matériel et la compatibilité avec l'ancien.
 
Il suffit de voir SmbV1 par exemple.


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147694
schmosy
Posté le 03-07-2017 à 19:07:38  profilanswer
 

Il se peut que le virus casse le boot windows ?
Je démarre mon serveur mais j'ai un message "boot failed: windows boot manager"
 
merci

n°147695
F117
Posté le 03-07-2017 à 19:34:17  profilanswer
 

Rien en France il y aurait 29 000 serveurs et 2 millions à travers le monde, qui sont touchés signe que les mises à jours des postes sont bien faites
 
Petya (ou NotPetya, comme vous préférez) aurait rapporté 8.600 euros de rançon aux instigateurs de l’attaque, payés par 46 victimes
 
. L’attaque aurait touché des dizaines de milliers de PC sur le territoire français.
 
https://www.google.fr/amp/m.20minutes.fr/amp/a/2097683
 
 
Ce virus inflige des dégâts irréversibles et permanent aux disques  
 
https://www.google.fr/amp/www.lemon [...] 68712.html


Message édité par F117 le 03-07-2017 à 23:53:54
n°147696
fourbe2
C'est du sarcasme ?
Posté le 03-07-2017 à 19:50:48  profilanswer
 

schmosy a écrit :

Il se peut que le virus casse le boot windows ?
Je démarre mon serveur mais j'ai un message "boot failed: windows boot manager"
 
merci


un virus ou une MAJ windows :o
on est à l'époque du cryptovirus avec prise en otage des données mais il y a 25ans c'était la destruction pure et simple du HDD sans récupération possible des données voir du HDD.
 
Bizarre, chez nous, aucun Petya ou autre alors qu'on avait été vachement emmerdé avec les premiers crypto. La différence c'est qu'on a un antispam depuis :/

n°147697
nnwldx
Posté le 03-07-2017 à 20:37:46  profilanswer
 

Les antispams font du bon boulot, ils ont bien diminués l'impact des cryptolockers.

n°147698
F117
Posté le 03-07-2017 à 23:43:39  profilanswer
 

est-ce que les techniciens de l'aeroport d'Orly ont des chances de trouver le patch Windows ?  
 
http://www.francetvinfo.fr/interne [...] 58735.html
 
Une affaire avait parfaitement incarné ce manque d'agilité numérique dans des secteurs de l'économie pourtant cruciaux. En novembre 2015, une panne informatique avait complètement paralysé le trafic de l'aéroport d'Orly pendant plus d'une demie-heure. Le Canard enchaîné avait révélé que le dysfonctionnement concernait un programme utilisé par l'aéroport pour surveiller les conditions météo et qui fonctionnait sous Windows 3.1, un système d'exploitation sorti en 1992. Le ministère des Transports avait alors indiqué qu'une "modernisation des équipements [était] prévue pour 2017".
 
quand wannacry et Petya vont vouloir attaquer soit ils vont etre complément déboussolés soit ils vont bien rigoler

Message cité 2 fois
Message édité par F117 le 03-07-2017 à 23:51:53
n°147699
F117
Posté le 04-07-2017 à 00:39:44  profilanswer
 

la prochaine fois au lieu d’écrire des lignes de codes et de les balancer sur le net comme je jette mes déchets dans le contenaire, il réfléchira a 2 fois
 
http://www.lepoint.fr/high-tech-in [...] 043_47.php
 
 Le logiciel malveillant qui secoue actuellement le Net comporte quelques lignes de code élaborées par un informaticien... parisien.
Par Baudouin Eschapasse
 
Le 27 juin dernier, Benjamin Delpy, alias @gentilkiwi (son pseudonyme) sur le Net, a vu une partie d'un de ses logiciels... détournée par les hackers. Et il a tenu à exprimer son énervement sur son compte Twitter personnel.
 
En 2011, Benjamin Delpy avait écrit ce programme, baptisé « Mimikatz », qui exploite certaines failles de l'annuaire Active Directory de Microsoft pour tester la fiabilité des systèmes de sécurité des réseaux internet. « Ayant découvert que les mots de passe sont stockés à l'insu de leurs utilisateurs par certains programmes Windows, j'avais contacté Microsoft pour qu'il modifie ce que je pensais être une brèche. Mais le groupe américain m'avait fait remarquer que seules des personnes ayant des privilèges très élevés au sein des réseaux d'entreprise pouvaient prendre connaissance de ces informations. En conséquence de quoi, ils avaient estimé qu'il ne s'agissait pas d'une faille de sécurité »

Message cité 1 fois
Message édité par F117 le 04-07-2017 à 00:40:18
n°147705
nebulios
Posté le 04-07-2017 à 10:28:08  profilanswer
 

schmosy a écrit :

Il se peut que le virus casse le boot windows ?
Je démarre mon serveur mais j'ai un message "boot failed: windows boot manager"
 
merci


Oui, chez mes clients impactés MBR et EFI ont tous les deux été pété (sans parler de la MFT).

n°147708
fourbe2
C'est du sarcasme ?
Posté le 04-07-2017 à 13:12:46  profilanswer
 

F117 a écrit :

est-ce que les techniciens de l'aeroport d'Orly ont des chances de trouver le patch Windows ?  


 

F117 a écrit :

la prochaine fois au lieu d’écrire des lignes de codes et de les balancer sur le net comme je jette mes déchets dans le contenaire, il réfléchira a 2 fois


je trouve que tu juges très facilement sans faire l'effort de compréhension et sans même lire l'intégralité du 2ieme article
 
1- les équipements 'industriel' assisté par ordinateur qui tournent encore sur des OS de l'antéchrist, tu en utilises tous les jours. Ces systèmes n'ont pas forcement eu de nouveau développement depuis leur mise en service. On se contente de remplacer les pièces cassées et on croise les doigts d'avoir toujours un vieux PC qqpart au cas où la machine actuelle crash. Je vais même te dire mieux. Certains industriels ne se cachent pas de vendre des équipements qui tournent encore sous Windows 98 !  
 
2- Si tu avais lu l'intégralité de l'info, tu aurais su que le programme en question est utilisé pour éprouver les AD lors d'audit de sécurité ET que Microsoft a refusé de patcher le système parce que le risque n'était pas important à l'époque.
Il n'est pas le seul à publier ce type d'outil GRATUIT qui servent quotidiennement aux admins sys. Je pense particulièrement à Damien PONNELLE

n°147709
bardiel
Debian powa !
Posté le 04-07-2017 à 13:22:01  profilanswer
 

fourbe2 a écrit :

on est à l'époque du cryptovirus avec prise en otage des données mais il y a 25ans c'était la destruction pure et simple du HDD sans récupération possible des données voir du HDD.


Oui enfin NotPetya c'était voulu ainsi, c'était "camouflé" pour faire genre qu'il s'agit d'une prise en otage des données mais après analyse rapide de la méthode employée c'était purement impossible de récupérer les données une fois chiffrées par NotPetya.

F117 a écrit :

est-ce que les techniciens de l'aeroport d'Orly ont des chances de trouver le patch Windows ?


D'un côté le système est tellement vieux et obsolète qu'il y a des chances que les "développeurs" de virus soient passés complètement à côté des spécificités de 3.11 :D
Et en général ce genre de vieux système fonctionne sur un réseau à part. J'ai du 3.11 et du MS-DOS qui tournent pour des choses ultra-critique (surveillance de la gestion électrique), c'est sur du réseau complètement fermé et à part, et sauf à retrouver une vieille disquette 3.5pouces, pas de chance pour pouvoir importer un bidule malsain dessus. Machines tellement antiques qu'il n'y a même pas de ports USB dessus [:the geddons]  
Pour une autre 3.11 qui tourne, il avait été fait le choix de virtualiser l'installation... bon heureusement sur un réseau à part, car la machine support est un XP SP2 [:the geddons]  
 
Après pour l'histoire de Benjamin Delpy, ça ne m'étonne pas. Combien de hackers (des vrais, des chercheurs) sont tombés sur des failles, font la démonstration en public pour éviter des problèmes judiciaires, pour voir ensuite leurs trouvailles exploitées à d'autres fins ? Serge Humpich avait fait une démo, appuyé par un avocat, sur l'absence de certaines sécurités du système bancaire utilisé. Il a eu droit à une grosse plainte et saisie de son matos en retour... dixit lui et son avocat, s'il l'avait fait de manière grand public devant des journalistes, il n'aurait rien eu. Forcément ça fait "jurisprudence" ce genre de truc maintenant.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°147713
F117
Posté le 04-07-2017 à 16:57:16  profilanswer
 

fourbe2 a écrit :


je trouve que tu juges très facilement sans faire l'effort de compréhension et sans même lire l'intégralité du 2ieme article
 
1- les équipements 'industriel' assisté par ordinateur qui tournent encore sur des OS de l'antéchrist, tu en utilises tous les jours. Ces systèmes n'ont pas forcement eu de nouveau développement depuis leur mise en service. On se contente de remplacer les pièces cassées et on croise les doigts d'avoir toujours un vieux PC qqpart au cas où la machine actuelle crash. Je vais même te dire mieux. Certains industriels ne se cachent pas de vendre des équipements qui tournent encore sous Windows 98 !  
 
2- Si tu avais lu l'intégralité de l'info, tu aurais su que le programme en question est utilisé pour éprouver les AD lors d'audit de sécurité ET que Microsoft a refusé de patcher le système parce que le risque n'était pas important à l'époque.
Il n'est pas le seul à publier ce type d'outil GRATUIT qui servent quotidiennement aux admins sys. Je pense particulièrement à Damien PONNELLE


 
 
Ou je voulais en venir, si lui a fait ce programme pour un usage de tester les sécurités. Il y aura toujours des gens qui s'en serviront pour un usage criminel et illégal  
 
 

n°147716
ShonGail
En phase de calmitude ...
Posté le 04-07-2017 à 20:46:21  profilanswer
 

F117 a écrit :


 
 
Ou je voulais en venir, si lui a fait ce programme pour un usage de tester les sécurités. Il y aura toujours des gens qui s'en serviront pour un usage criminel et illégal  
 
 


 
Comme une voiture quoi.
Tu peux emmener tes enfants à l'école avec ou écraser des gens.
On a bien avancé sur la compréhension du problème.

n°147717
F117
Posté le 04-07-2017 à 23:00:49  profilanswer
 

dans le cas de Petya il se propagerait d’après des experts a travers les mises a jour d'un logiciel comptable.
 
je pense pas que parmi les entreprises victimes de petya toutes utilisent le logiciel comptable
 
Les entreprises ukrainiennes étaient en tout cas les premières visées par le virus Petya. Ce dernier a fait ses premières victimes parmi les entreprises ayant téléchargé une mise à jour piégée de MeDoc, un logiciel de comptabilité homologué par les autorités fiscales ukrainiennes. L’entreprise qui édite ce logiciel, piratée, aurait servi à son corps défendant de vecteur de transmission.

 
http://www.lemonde.fr/pixels/artic [...] 08996.html
 
surtout que ça a touché des entreprises de plusieurs pays d’Europe et d’Amérique du nord
 
et les mediats qui accusent les russes quand on lit ca

Par ailleurs, fait troublant, le virus était configuré pour rendre totalement inutilisable les ordinateurs ayant installé le logiciel antivirus développé par Kaspersky, le fleuron de la cybersécurité… russe.

 
si les russes ont des tendances suicidaires, il y a des questions a ce poser pourquoi cet antivirus et pas les autres  :sarcastic:  
 


Message édité par F117 le 04-07-2017 à 23:10:57
n°147718
Je@nb
Modérateur
Kindly give dime
Posté le 04-07-2017 à 23:53:41  profilanswer
 

première victimes hein donc oui il y a d'autres vecteurs de contaminations (ceux qu'on a vu surtout ici)
et pour Kaspersky c'est peut être un av très utilisé en Ukraine aussi

n°147724
nebulios
Posté le 05-07-2017 à 18:15:51  profilanswer
 

@F117: le topic complotisme/POUIC c'est à côté

n°147725
saarh
Posté le 06-07-2017 à 11:05:11  profilanswer
 

en tous les cas, je suis toujours un peu moins tranquille ces derniers temps..... c'est vraiment la plaie ces cochonneries......comme dirait un copain, j'ai un peu l'impression de me balader le cul à l'air dans une boite Gay.
On a beau faire tout ce que l'on peut pour minimiser les risques, ces trucs sont quand même plus vicieux que nos vieux virus 90's 2000's (ahhh blaster....) qu'un antivirus à jour arrivait à détecter. (bon, OK, pas toujours à nettoyer ^^)
 
De notre côté, plusieurs points ont été revu (outre les maj des serveurs / machines, ça....c'est fait, même si ça n'assure pas forcément 100% des risques, ça limitera au moins la propagation)
- on a intensifié les campagnes d'information dans la boite. C'est d'autant plus facilité que les médias en parlent, les users sont donc un brin plus réceptifs qu'il y a 2 ans. Du coup, on est assez souvent contacté pour vérifier la véracité d'un mail par les users. Et je préfère encore perdre en cumulé 20 minutes de taf par tech à répondre à ces demandes, plutôt que de devoir restaurer ma salle info.
- changement de l'antivirus en cours, et on a eu l'occasion de voir qu'il est pas trop mal contre ce genre de choses....à condition de le passer en mode assez restrictif (deep guard, filtrage web, filtrage appli, etc, etc) Forcément, dès qu'on tape dans le deep guard (qui en théorie détecte et bloque les crypto....on a pu le tester en live sur un lien pourri, mais est ce que ça fonctionnera sur toutes menaces, ça.....je parierais pas ^^) les machines souffrent un peu si elles ne sont pas récentes.....

n°147726
Nanab
Non.
Posté le 06-07-2017 à 11:10:09  profilanswer
 

saarh a écrit :


- changement de l'antivirus en cours, et on a eu l'occasion de voir qu'il est pas trop mal contre ce genre de choses....à condition de le passer en mode assez restrictif (deep guard, filtrage web, filtrage appli, etc, etc) Forcément, dès qu'on tape dans le deep guard (qui en théorie détecte et bloque les crypto....on a pu le tester en live sur un lien pourri, mais est ce que ça fonctionnera sur toutes menaces, ça.....je parierais pas ^^) les machines souffrent un peu si elles ne sont pas récentes.....


Ca c'est clairement emmerdant avec certains parcs...
 
L'antivirus qu'on vend et maintient propose des fonctionnalités assez hard de scan des fichiers en écriture, mais également en lecture. Fichiers locaux ou distants.
Alors chez certains clients proches du dépot de bilan, qui ne renouvellent pas leur parc, et qui ont des applis de modélisation 3D avec les fichiers hébergés sur un partage.... Bah si on active les scans, ils pleurent à chaque clic sur un plan... C'est assez relou, donc on doit tout alléger au niveau des sécurités. Et c'est évidemment ceux qui chopent des virus.
 
j'ai également un client qui lui a un gros parc, mais avec des liaisons pourries... On est obligé de bloquer les mises à jour windows... Donc aucun PC n'est mis à jour.


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°147730
com21
Modérateur
real men don't click
Posté le 06-07-2017 à 11:53:07  profilanswer
 

Nanab a écrit :


Ca c'est clairement emmerdant avec certains parcs...
 
L'antivirus qu'on vend et maintient propose des fonctionnalités assez hard de scan des fichiers en écriture, mais également en lecture. Fichiers locaux ou distants.
Alors chez certains clients proches du dépot de bilan, qui ne renouvellent pas leur parc, et qui ont des applis de modélisation 3D avec les fichiers hébergés sur un partage.... Bah si on active les scans, ils pleurent à chaque clic sur un plan... C'est assez relou, donc on doit tout alléger au niveau des sécurités. Et c'est évidemment ceux qui chopent des virus.
 
j'ai également un client qui lui a un gros parc, mais avec des liaisons pourries... On est obligé de bloquer les mises à jour windows... Donc aucun PC n'est mis à jour.


 
Je pense qu'il y a moyen de se débrouiller autrement
par exemple en limitant la bande passante utilisé par windows update : https://superuser.com/questions/103 [...] ows-update
 
Bloquer les maj parce que le réseau est limite c'est un peu barbare comme solution.
 
Et la première sécurité du poste reste les mises à jours windows !


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147733
Nanab
Non.
Posté le 06-07-2017 à 11:54:34  profilanswer
 

com21 a écrit :


 
Je pense qu'il y a moyen de se débrouiller autrement
par exemple en limitant la bande passante utilisé par windows update : https://superuser.com/questions/103 [...] ows-update
 
Bloquer les maj parce que le réseau est limite c'est un peu barbare comme solution.
 
Et la première sécurité du poste reste les mises à jours windows !


La bande passante des MaJ est déjà limité au niveau du routeur par QoS :jap:
 
Ah mais je sais bien que c'est bourrin comme solution ! C'est ce que le client demande, malgré nos conseils contraires et nos avertissements.
C'a été posé par écrit, s'il se prend une merde ce sera tant pis pour sa gueule hein.


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°147734
ShonGail
En phase de calmitude ...
Posté le 06-07-2017 à 12:38:44  profilanswer
 

Nanab a écrit :


La bande passante des MaJ est déjà limité au niveau du routeur par QoS :jap:
 
Ah mais je sais bien que c'est bourrin comme solution ! C'est ce que le client demande, malgré nos conseils contraires et nos avertissements.
C'a été posé par écrit, s'il se prend une merde ce sera tant pis pour sa gueule hein.


 
Mais c'est quoi une liaison pourrie ?
Avec un WSUS, uniquement sur les MAJ de sécu en plus, ça le fait pas ? :??:

n°147739
Nanab
Non.
Posté le 06-07-2017 à 14:43:17  profilanswer
 

ShonGail a écrit :


 
Mais c'est quoi une liaison pourrie ?
Avec un WSUS, uniquement sur les MAJ de sécu en plus, ça le fait pas ? :??:


Ca le ferait !!
 
... Si le client voulait bien qu'on en installe un :o


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14

Aller à :
Ajouter une réponse
 

Sujets relatifs
Plus de sujets relatifs à : CryptoLocker, prévention ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR