Reprise du message précédent :

En même temps le virus jacquie Michel est toujours pas bloquer par Norton ...

 
Merci qui ?

Idem RAS ici pour le moment.
quelques appels d'users qui demandaient s'ils pouvaient utiliser leurs PCs

RAS non plus, j'ai quand même patché une machine non utilisée par acquis de conscience.

Selon une source radio (FI)
La faille exploit de microsoft , aurait été vu par la NSA.  
Et elle se serait fait voler cette faille il y a 1 mois.

C'est pas nouveau, ça vient des shadow brokers a priori (si je me souviens bien)

oui c'est bien ca, et c'est effectivement super pas nouveau
(le vol a bien plus d'un mois, mais la diffusion publique des failles date de là)

Bon apparemment chez mes clients pour l'instant pas grand chose à signaler, j'ai mis à jour ce weekend le peu de serveurs qui devaient encore l'être (merci Microsoft pour le patch sur Windows 2003   ), et pour l'instant rien de bizarre.
 
Le seul serveur touché est un serveur dédié chez OVH, pour lequel j'ai reçu un message "votre serveur a été hacké, il a été placé en mode Rescue" samedi après-midi, problème sur ce serveur est installé le CRM d'un client, installé à l'époque par un prestataire qui est je crois actuellement en conflit avec le dit client, donc si y'a vraiment des données perdues ou autre ça va être sympa pour savoir qui fait quoi et qui est responsable   .

Moi ce qui est bizarre, sur cette attaque par rapport aux autres ransomware.
C'est qu'il a un comportement de virus (propagagtion)
donc il rentre dans les radars des AV . Alors qu'avant justement ils evitaient soigneusement de paraitre pour un virus.
 

J'ai 88 Pcs sans le patch de la faille donc on va la pousser de manière brutale

Tu n'as peut-être pas compris comment marche un AV alors
comme le truc n'était pas encore reconnu, il n'était peut-être pas dans la liste des AV, donc aucun AV ne pouvait le reconnaître. Mais là comme il a été attrapé et toutes les bases AV à jour il passe comme un virus

C'est un peu plus vieux que ça. La faille est patchée sur les systèmes toujours supportés depuis 2 mois.
 
RAS pour nous aussi, j'ai vérifié que les KB étaient bien sur le wsus et approuvées.
Juste une machine de test et quelques ordinateurs dans le mauvais groupe sur le wsus.  
Et vérification des backups des serveurs de fichier.

   
 
c'est pour ça que je dis il me semble, mais il me semble aussi que c'est assez bridée en terme de cuda Core, et si tu veux le full patate, il faut passer par des Quadro

nvidia bloque la double précision sur les cartes grand public, de 1/32 à 1/128 de ratio me semble entre SP et DP. Une quadro d'aujourd'hui doit bien bourriner sur Boinc/CoinMining par contre

Oui c'est pas évident de différencier un programme légitime d'un virus un virus autrement que par sa ressemblance avec une virus connu.
Au niveau des instructions de base, rien n'est spécifique. À plus haut niveau, il y a tellement de possibilités de combiner tout ça, pas évident d'établir un filtre efficace.

ca fait longtemps que les AV ont pris l'analyse comportemantable et non plus uniquement basé sur signature
Apres je ne connais leur methode. Mais il n'y a pas que la signature .

Osef de le connaitre.
Un fichier scannant tous les réseaux est un comportement suspect, donc matché par les AV.

Le patch wanncrypt pour Windows 8 c'est aussi pour 8.1 ?

nop

je pense qu'il doit etre patché automatiquement le 8.1

car j'etais pas au courant que les MAJ du 8 etait arreté , c'est bizarre.
il n'est pas si vieux que ca OS 8. C'est bizarre.

Vos serveurs (2008 r2) par exemple ils se maj auto ?

Perso je le fait à la main de temps en temps, donc ce matin MaJ de tous les serveurs.

Je sais que c'est mal, mais bon je vois pas trop comment faire d'autrement. Je suis preneur.

idem pour ma base sql de mes VM ^^
c'est qu'a la main.

 
A défaut de WSUS, download auto sur chaque serveur, sélection à la main avant installation. Sinon, il suffit de mettre à jour juste avec le patch 4012212/4012215 qui va bien.
 
Ils nous restent un XP SP3, impossible à mettre à jour avec le patch MS (XP estampillé HP...) (ça n'est que la machine pour la gestion des accès, pas une priorité critique   ).

Cest ce que je fais. Mais genre en préventif y'a aucune méthode a par le faire régulièrement à la main.
 
Le DL auto c'est relou ça bouffe de la ram jusqu'au reboot et donc ca bloqué le dl de plus récente publiée.

Ca bouffe de la RAM et l'espace disque des VM à 40GB...
Ya pas de méthode miracle...

bah pose un wsus dans un coin non?
edit : et met en place une stratégie de reboot au passage

perso, c'est wsus auto pour client et manuel sur serveur (pré-téléchargé et lancement manuel)
 
mais effectivement, wsus peut être configuré en manuel pour les serveurs.

Il n'est plus supporté et a été remplacé par Windows 8.1 suite à son échec commercial.

 
Excepté pour les applis de prod critiques non redondées toutes les maj se téléchargent et s'installent automatiquement, du moins c'est ce que l'on essaye de faire passer chez les clients.

Vous connaissez un outil qui permet d'établir un "calendrier" à partir de tâches planifiées programmées et récurrentes ?
 
Et si en plus on peut avoir des informations du genre dernier temps d'exécution etc ça serait top.
 
Merci

Uniquement sous 2008 R2, depuis 2012 R2 il n'y a plus cette espèce de fuite de mémoire.

Diagramme de Gantt ?

De manière automatique ?

Je ne crois pas.
Désolé

 
La mise à jour W8 -> 8.1 étant gratuite, ils considèrent qu'il n'y a aucune raison de maintenir 8.
 

 
et l'update 8.1 =>10 idem ?
 
En entreprise ma 8.1 pro j'ai pas lancé les update.  
Ils ont arreté aussi la maintenance de la 8.1 ?

Mais donc en fait, le virus WCRY, contrairement à Locky et cie, il ne crypte QUE les fichiers du serveur infecté lui-même, pas les lecteurs réseaux ?

non justement, il se diffuse via une faille smb.

et s'octroie donc les droits d'admin.

c'est un confiker, qui crypte

Il crypte la machine qui ouvre le virus, tous les fichiers locaux, tous les shares.
 
Et il se propage par la faille vers d'autres machines non patchées, ou il fera la même chose, encrypte tout ce qui est visible, puis tente de se propager à son tour.

 
Justement, je ne suis pas sûr qu'il crypte les shares, j'ai le cas d'un serveur dont les disques C et D ont été cryptés mais pas le lecteur partagé Z.
 
Et sinon j'ai un client qui a un serveur dédié chez OVH qui a été infecté, apparemment OVH réagit en redémarrant le serveur en mode Rescue pour éviter la propagation. Bon en attendant le serveur en lui-même est baisé, mais belle réaction de OVH quand même.

Non le 8.1 est toujours supporté.