Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1797 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4
Auteur Sujet :

La on rigole plus !! Attaque Mondial !!

n°3273024
Z_cool
HFR profile rating:⭐⭐⭐⭐
Posté le 15-05-2017 à 10:06:12  profilanswer
 

Reprise du message précédent :

DayWalker II a écrit :

J'ai cru voir que c'était plutot un patch appliqué en mars, sauf sur la creator, nativement patchée...


Trit' a écrit :


Faille corrigée dans la cumulative update de mars, donc W10 à jour, et a fortioti la version 1703, est effectivement à l'abri de cette faille.


c'est donc bien ce windows update "intrusif" qui aura sauvé les utilisateurs de W10


Message édité par Z_cool le 15-05-2017 à 10:10:50

---------------
#mais-chut
mood
Publicité
Posté le 15-05-2017 à 10:06:12  profilanswer
 

n°3273028
nex84
Dura lex, sed lex
Posté le 15-05-2017 à 10:34:17  profilanswer
 

Ce que je trouve impressionnant à chaque fois c'est l’extrême simplicité des mécanismes utilisés.
 
Quand on regarde le détail du fonctionnement du bouzin, il n'y a rien d'exceptionnel.  
Il utilise des techniques d'attaques somme toute assez classique.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°3273039
bahamut49
Posté le 15-05-2017 à 13:26:41  profilanswer
 

Double avertissement pour les users ce weekend. Ça casse bien les couilles ces ransomware :/

n°3273040
Profil sup​primé
Posté le 15-05-2017 à 13:28:17  answer
 

Perso mon linux fonctionne très bien  :o

n°3273041
ShonGail
En phase de calmitude ...
Posté le 15-05-2017 à 13:30:24  profilanswer
 


 
Mon Amiga OS aussi mais bon je ne fais au final rien avec :o

n°3273042
adoy
aka KingOfNuls
Posté le 15-05-2017 à 13:34:39  profilanswer
 


 :bounce: +5


Message édité par adoy le 15-05-2017 à 13:35:11
n°3273045
nex84
Dura lex, sed lex
Posté le 15-05-2017 à 14:18:38  profilanswer
 


Mon Windows 10 à jour aussi :o


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°3273061
sidela
Posté le 15-05-2017 à 17:00:38  profilanswer
 

nnwldx a écrit :

Bon ils ont déjà du gagner un beau pactole, ils ne doivent pas être à plaindre.


Citation :

Le hacker derrière l'attaque de ce week-end n'a récupéré que très peu d'argent
 
Krebson security :  
    Une des choses pratiques avec le bitcoin c'est que n'importe qui dans le monde peut voir l'historique des transactions sur une adresse bitcoin. Il est donc possible de voir les transactions éffectuées sur l'adresse de paiement des hackers (adresse qui bien entendu ne permet pas d'accéder à la position physique des hackers). Ainsi les hackers ont récupéré 15 bitcoins, via une centaines de virements, pour un total de 26 148 $.


n°3273066
hpdp00
bleus, c'est fou
Posté le 15-05-2017 à 17:22:49  profilanswer
 

nnwldx a écrit :

L'anglais qui a stoppé le malware n'a pas de chance, on voit partout dans les articles qu'il a arrêté la propagation du malware par accident.
Alors qu'il a plutôt l'air compétent et on n'achète pas un nom de domaine par accident.

par accident non, mais 10€/£ pour voir ce qui arrive à cette adresse ce n'est pas cher.


---------------
du vide, j'en ai plein !
n°3273073
nnwldx
Posté le 15-05-2017 à 18:23:41  profilanswer
 

sidela, ca m'étonne qu'on arrive aussi facilement à tracer les échanges en bitcoin.

mood
Publicité
Posté le 15-05-2017 à 18:23:41  profilanswer
 

n°3273080
Profil sup​primé
Posté le 15-05-2017 à 19:07:18  answer
 


La source ? Le timestamp des fichiers volés. Déchiffre l'archive, analyse là, au lieu de lire des articles de presse ou wikipedia.
 
 
Justement, l'infection fonctionne si elle est réalisée dans une sandbox (qui va couper les liens réseaux) dans le cas précis de ce malware. C'est à vrai dire l'inverse du résumé que tu as publié et de cette phrase que tu viens d'écrire. Que dois-je en conclure ? [:clooney11]


Message édité par Profil supprimé le 15-05-2017 à 19:11:34
n°3273082
Profil sup​primé
Posté le 15-05-2017 à 19:09:57  answer
 

nnwldx a écrit :

sidela, ca m'étonne qu'on arrive aussi facilement à tracer les échanges en bitcoin.


https://blockchain.info/address/13A [...] uy6NgaEb94
https://blockchain.info/address/12t [...] A8isjr6SMw
https://blockchain.info/address/115 [...] fJNXj6LrLn
 
Voilà les 3 adresses recevant l'argent lié à ce malware. Tu peux toi même refaire les calculs. C'est publique. :jap:
 

DraX a écrit :


T'as testé?  [:drax:5]  


Tester quoi ? Tu crois qu'on peut utiliser un password ? :??:  
La clef chiffrant les fichiers est une clef de 128 bits, où chaque bit est générée de manière aléatoire.
 
Ton password sert à déchiffrer une ressource du malware. Mécanisme couramment utilisé pour contourner le signatures d'antivirus. Aucun rapport avec le chiffrement des fichiers. C'est pas le tout de répéter un password que tu as lu quelque part, encore faut-il comprendre à quoi il sert. Tu sais il y a des gens très doué, très intelligent et très compétent qui travaille dessus. Si ton password était bon, ça se saurait depuis longtemps hein. :D


Message édité par Profil supprimé le 15-05-2017 à 19:19:50
n°3273084
Z_cool
HFR profile rating:⭐⭐⭐⭐
Posté le 15-05-2017 à 19:15:38  profilanswer
 

nnwldx a écrit :

sidela, ca m'étonne qu'on arrive aussi facilement à tracer les échanges en bitcoin.


bonne video d’explication de comment marche le bitcoin :  
https://www.youtube.com/watch?v=du34gPopY5Y&t=3s


---------------
#mais-chut
n°3273119
M_D_C
Etre aimé par des cons
Posté le 16-05-2017 à 09:46:00  profilanswer
 

Le site de la caisse d'épargne est en rade depuis ce matin , c'est lié ?  :??:


---------------
RIP  YOKO        
n°3273120
Profil sup​primé
Posté le 16-05-2017 à 10:00:28  answer
 

M_D_C a écrit :

Le site de la caisse d'épargne est en rade depuis ce matin , c'est lié ?  :??:


 
Il fonctionne chez moi.

n°3273122
M_D_C
Etre aimé par des cons
Posté le 16-05-2017 à 10:42:51  profilanswer
 

ok merci


---------------
RIP  YOKO        
n°3273142
Usernet
Since 2004
Posté le 16-05-2017 à 14:37:04  profilanswer
 

Bonjour,
 
Je lis dans la presse "[...]200.000 machines touchées dans environs 150 pays[...]"
 
Question : Comment est-il possible techniquement de donner un résultat chiffré aussi précis ?
 
Encore plus troublant lors que je vois ça sur ce genre de news :
 
https://pbs.twimg.com/media/C_yPaoxXkAA_JfW.jpg:large
 
Si quelqu'un aurait une piste, d'avance merci.

n°3273144
Profil sup​primé
Posté le 16-05-2017 à 15:03:13  answer
 

Usernet a écrit :

Bonjour,
 
Je lis dans la presse "[...]200.000 machines touchées dans environs 150 pays[...]"
 
Question : Comment est-il possible techniquement de donner un résultat chiffré aussi précis ?
 
Encore plus troublant lors que je vois ça sur ce genre de news :
 
https://pbs.twimg.com/media/C_yPaoxXkAA_JfW.jpg:large
 
Si quelqu'un aurait une piste, d'avance merci.


Je vois 3 solutions de manière générale :
- tu prends le contrôle du nom ou des noms de domaines / serveurs utilisés par les malwares, et tu comptes bêtement le nombre de connexion d'ips différentes
- tu scans des plages d'ips à la recherche d'hôtes vulnérables et tu vérifies s'ils ont bien été infecté par le malware
- tu as accès à des nœuds importants d'Internet où beaucoup de traffic passe. Tu peux logguer, via des filtres spécifiques lié à l'attaque ciblée, les IPs qui semblent propager l'attaque
 
Une fois les IPs collectées, il ne reste plus qu'à déterminer la localisation géographique de chacune et de tracer une belle carte.

n°3273154
ShonGail
En phase de calmitude ...
Posté le 16-05-2017 à 15:41:52  profilanswer
 

De mon coté, il y a une information qui me parait floue.

 

Si j'en crois l'analyse du gars qui a enregistré le NDD ; https://www.malwaretech.com/2017/05 [...] tacks.html

 

une fois en branle, le crypto-méchant part sur le réseau à la recherche d'OS avec la faille SMBv1.
Mais la page indique qu'il scanne des IP aléatoires et sur la capture, on voit des IP publiques.

 

Est-ce à dire qu'il ne scanne pas le réseau local mais uniquement au hasard sur Internet ?


Message édité par ShonGail le 16-05-2017 à 15:42:11
n°3273156
ShonGail
En phase de calmitude ...
Posté le 16-05-2017 à 15:51:48  profilanswer
 

Bon au final j'ai trouvé ma réponse sur https://blogs.technet.microsoft.com [...] e-systems/
 
Il fait les deux  : réseau local et Internet :(

n°3273169
hpdp00
bleus, c'est fou
Posté le 16-05-2017 à 17:16:44  profilanswer
 

Usernet a écrit :

Bonjour,
 
Je lis dans la presse "[...]200.000 machines touchées dans environs 150 pays[...]"
 
Question : Comment est-il possible techniquement de donner un résultat chiffré aussi précis ?
 
Encore plus troublant lors que je vois ça sur ce genre de news :
 
https://pbs.twimg.com/media/C_yPaoxXkAA_JfW.jpg:large
 
Si quelqu'un aurait une piste, d'avance merci.

d'après ce que j'en ai compris c'est d'après une technique d’échantillonnage : tel site antivirus scanne de gros serveurs (avec autorisation) et compte les tentatives d'infection. 0,04% de tentatives = tant de milliers d'ordi infectés dans le monde. parait que c'est assez précis, mais l'important est de visualiser la forme de la courbe. démarrage, augmentation rapide, moins rapide, pic/plafond, décrue, effondrement.


---------------
du vide, j'en ai plein !
n°3273239
leroimerli​nbis
Posté le 17-05-2017 à 13:15:50  profilanswer
 

2ème attaque en cours apparemment...  
 
 [:prince californien]

n°3273240
DayWalker ​II
Posté le 17-05-2017 à 13:17:44  profilanswer
 

Sur la même faille ?

n°3273241
leroimerli​nbis
Posté le 17-05-2017 à 13:25:24  profilanswer
 

on dirait

n°3273244
Profil sup​primé
Posté le 17-05-2017 à 14:05:05  answer
 

Oui exactement la même faille, sauf qu'ici une fois l'infection effectuée, le malware verrouille la faille pour être seul à opérer sur le système. Donc je pense que si Wannacry n'a infecté que si peu de machines c'est parce que notre petit mineur était déjà dans la place depuis un moment :/.

 

https://www.proofpoint.com/us/threa [...] ublepulsar

 

On verra dans le temps mais le fait qu'il soit plus transparent pour l'utilisateur que Wannacry, je pense que l'on aura du mal à en évaluer l’ampleur.

 

Après bon, avoir le port 445 ouvert sur le net et une machine non à jours c'est un peu suicidaire :o


Message édité par Profil supprimé le 17-05-2017 à 14:09:05
n°3273386
MickeyNox
chui plus là
Posté le 18-05-2017 à 09:44:09  profilanswer
 

Hello,

 

LA première version du ver pingait un nom de domaine avant d agir ( pour faire des stats j imagine ), un jeune anglais à acheter vite fais le nom de domaine pour qu il ne ping plus et que le ver soit inopérant ....  ce qui n a provoqué qu un gain d argent des pirate de 30 k€ env .... la deuxième version ne ping plus le nom de domaine il agit otut de suite

Message cité 2 fois
Message édité par MickeyNox le 18-05-2017 à 09:44:37
n°3273390
ShonGail
En phase de calmitude ...
Posté le 18-05-2017 à 10:16:09  profilanswer
 

MickeyNox a écrit :

Hello,
 
LA première version du ver pingait un nom de domaine avant d agir ( pour faire des stats j imagine ), un jeune anglais à acheter vite fais le nom de domaine pour qu il ne ping plus et que le ver soit inopérant ....  ce qui n a provoqué qu un gain d argent des pirate de 30 k€ env .... la deuxième version ne ping plus le nom de domaine il agit otut de suite


 
Ah ouais merci.
T'as des infos sinon sur Blaster ?

n°3273391
Vince-100
Posté le 18-05-2017 à 10:19:50  profilanswer
 

ShonGail a écrit :


Ah ouais merci.
T'as des infos sinon sur Blaster ?


 
 [:ddr555]  
 
Et sinon ce serait pas possible d'ajouter au minimum un E dans le titre  [:mike hoksbiger:3]  [:theorie des lavabos]

n°3273392
Profil sup​primé
Posté le 18-05-2017 à 10:20:00  answer
 

MickeyNox a écrit :

Hello,
 
LA première version du ver pingait un nom de domaine avant d agir ( pour faire des stats j imagine ), un jeune anglais à acheter vite fais le nom de domaine pour qu il ne ping plus et que le ver soit inopérant ....  ce qui n a provoqué qu un gain d argent des pirate de 30 k€ env .... la deuxième version ne ping plus le nom de domaine il agit otut de suite


C'est pas tout à fait ça. [:sophiste:1]

n°3273393
Profil sup​primé
Posté le 18-05-2017 à 10:23:51  answer
 


Surtout que l'adresse en question est tout à fait pingable...
Donc je pense que ce petit bout de code était la pour avoir un moyen de stopper la propagation du virus sans prendre le  risque d'être lié à une adresse ou une IP.
Vu que le domaine à un nom à la con, il n'aurait jamais été réservé et enregistré par hasard et vu qu'il n'était pas enregistré, il n'était donc pas lié à une personne.
Pour moi c'était une sécurité en cas de perte de contrôle et un moyen de négociation en cas d'arrestation, c'est plus simple de négocier en disant, je peux tout arrêter :D.

Message cité 2 fois
Message édité par Profil supprimé le 18-05-2017 à 10:24:16
n°3273394
Profil sup​primé
Posté le 18-05-2017 à 10:32:20  answer
 


Oui je pense aussi que c'est un gros bouton rouge d'arrêt d'urgence (bien que j'ai du mal à comprendre pourquoi ils auraient ajouter ça ...). Mais c'est pas très malin ... les experts allaient forcément le découvrir et l'utiliser. :D

Message cité 1 fois
Message édité par Profil supprimé le 18-05-2017 à 10:32:50
n°3273395
Profil sup​primé
Posté le 18-05-2017 à 10:40:38  answer
 


C'était peut-être le but aussi, dans ce genre d'attaque le but est de ne pas se faire trop remarquer (bon ici c'est mort) et de se retirer avec un petit pactole.
Donc je pense que le but était d'infecter des machines, de se faire payer rapidement une rançon somme toute relativement basse et que le virus soit désactiver avant que l'affaire ne prenne trop d’ampleur.
 
Sauf que pas de bol, vu le niveau de mongolance des utilisateurs (je clique et on verra) et la gestion catastrophique de la sécurité informatiques des entreprises (un vers qui exploite une faille connue et patché passe comme crème :/) et bien l"'attaque à pris très vite une impacte folle et c'est là le problème.
 
Que ce genre de crasse existe est normal je vais dire, c'est dans la nature du réseau d'avoir des failles et qu'elles soient exploitées, ce qui n'est pas normal c'est que la formation des utilisateurs et la sécurités soient comme toujours reléguées au second plan. Bordel, une faille comme ça,... Un admin digne de ce nom ne peu pas et ne devrait pas ne pas la patcher ou tout du moins désactiver le services problématique...
 
Donc ici comme toujours le soucis n'est pas d'ordre technique mais résulte de comportements et de choix suicidaires de la part d'entreprises et de particuliers, comme on le dit, le problème c'est le facteur humain !
 
 

n°3273404
MickeyNox
chui plus là
Posté le 18-05-2017 à 11:17:46  profilanswer
 

oui je ne dis que ce que j en ai compris :)
 
Le dernier virus que j ai stopppé s appele I Lov u

n°3273407
nex84
Dura lex, sed lex
Posté le 18-05-2017 à 11:30:48  profilanswer
 

ShonGail a écrit :

 

Ah ouais merci.
T'as des infos sinon sur Blaster ?


MickeyNox a écrit :

oui je ne dis que ce que j en ai compris :)

 

Le dernier virus que j ai stopppé s appele I Lov u


Instant nostalgie
[:frog sad:1]

 

:D


Message édité par nex84 le 18-05-2017 à 11:31:15

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°3273514
Z_cool
HFR profile rating:⭐⭐⭐⭐
Posté le 18-05-2017 à 19:59:11  profilanswer
 

ShonGail a écrit :

 

Mon Amiga OS aussi mais bon je ne fais au final rien avec :o

 

tu a de la chance, moi :

 

http://reho.st/self/9bbcf66c1c8bc03484fc83f64bb9562e0f7b4d10.jpg

 


 :whistle:


Message édité par Z_cool le 18-05-2017 à 20:00:10

---------------
#mais-chut
n°3273516
nnwldx
Posté le 18-05-2017 à 20:12:23  profilanswer
 

S'ils attaquent les C64, on n'est plus en sécurité nulle part.

n°3273548
olakeen
Posté le 19-05-2017 à 07:53:12  profilanswer
 


 
Non rien à voir, juste une méthode pour tromper les sandbox.

n°3273549
Profil sup​primé
Posté le 19-05-2017 à 08:06:47  answer
 

olakeen a écrit :


 
Non rien à voir, juste une méthode pour tromper les sandbox.


 
Et comment ? (vrais question) :)

n°3273702
yellowston​e2
Posté le 20-05-2017 à 22:05:34  profilanswer
 

https://twitter.com/craiu/status/865562842149392384
 
#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant.
 
 
https://www.bleepstatic.com/images/news/u/986406/Ransomware/WCry/WannaCry-Windows7.jpg
 
XP mis en avant dans tous les articles ces derniers jours.
 
On parle de 400 000 ordinateurs infectés...Au final, sur ce total, il y en aurait moins de 80 sous xp si on applique le pourcentage...

Message cité 1 fois
Message édité par yellowstone2 le 20-05-2017 à 22:20:40
n°3273714
mrdoug
Posté le 21-05-2017 à 11:18:35  profilanswer
 

En même temps la part d'XP face à 7 est insignifiante. Y a de moins en moins de personne qui reste sous ce system complètement obsolète.

n°3273715
Fork Bomb
Obsédé textuel
Posté le 21-05-2017 à 11:57:06  profilanswer
 

mrdoug a écrit :

En même temps la part d'XP face à 7 est insignifiante. Y a de moins en moins de personne qui reste sous ce system complètement obsolète.


Tu vas en vexer un, fais gaffe.


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4

Aller à :
Ajouter une réponse
 

Sujets relatifs
besoin d'aide pour netstat resultat (suspecte attaque de mon ordi)attaque viral sur google et moteur de recherche
Attaque DDoS, comment bloqué les ip ?attaque par empoisonnement de cache DNS
Logiciel de simulation d'attaque virale ?Attaque virale suspectée
attaque par empoisonnement?? wtf^^ 
Plus de sujets relatifs à : La on rigole plus !! Attaque Mondial !!


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR