Reprise du message précédent :

c'est donc bien ce windows update "intrusif" qui aura sauvé les utilisateurs de W10

Ce que je trouve impressionnant à chaque fois c'est l’extrême simplicité des mécanismes utilisés.
 
Quand on regarde le détail du fonctionnement du bouzin, il n'y a rien d'exceptionnel.  
Il utilise des techniques d'attaques somme toute assez classique.

Double avertissement pour les users ce weekend. Ça casse bien les couilles ces ransomware

Perso mon linux fonctionne très bien  

 
Mon Amiga OS aussi mais bon je ne fais au final rien avec

  +5

Mon Windows 10 à jour aussi

par accident non, mais 10€/£ pour voir ce qui arrive à cette adresse ce n'est pas cher.

sidela, ca m'étonne qu'on arrive aussi facilement à tracer les échanges en bitcoin.

La source ? Le timestamp des fichiers volés. Déchiffre l'archive, analyse là, au lieu de lire des articles de presse ou wikipedia.
 
 
Justement, l'infection fonctionne si elle est réalisée dans une sandbox (qui va couper les liens réseaux) dans le cas précis de ce malware. C'est à vrai dire l'inverse du résumé que tu as publié et de cette phrase que tu viens d'écrire. Que dois-je en conclure ?

https://blockchain.info/address/13A [...] uy6NgaEb94
https://blockchain.info/address/12t [...] A8isjr6SMw
https://blockchain.info/address/115 [...] fJNXj6LrLn
 
Voilà les 3 adresses recevant l'argent lié à ce malware. Tu peux toi même refaire les calculs. C'est publique.
 

Tester quoi ? Tu crois qu'on peut utiliser un password ?  
La clef chiffrant les fichiers est une clef de 128 bits, où chaque bit est générée de manière aléatoire.
 
Ton password sert à déchiffrer une ressource du malware. Mécanisme couramment utilisé pour contourner le signatures d'antivirus. Aucun rapport avec le chiffrement des fichiers. C'est pas le tout de répéter un password que tu as lu quelque part, encore faut-il comprendre à quoi il sert. Tu sais il y a des gens très doué, très intelligent et très compétent qui travaille dessus. Si ton password était bon, ça se saurait depuis longtemps hein.

bonne video d’explication de comment marche le bitcoin :  
https://www.youtube.com/watch?v=du34gPopY5Y&t=3s

Le site de la caisse d'épargne est en rade depuis ce matin , c'est lié ?  

 
Il fonctionne chez moi.

ok merci

Bonjour,
 
Je lis dans la presse "[...]200.000 machines touchées dans environs 150 pays[...]"
 
Question : Comment est-il possible techniquement de donner un résultat chiffré aussi précis ?
 
Encore plus troublant lors que je vois ça sur ce genre de news :
 

 
Si quelqu'un aurait une piste, d'avance merci.

Je vois 3 solutions de manière générale :
- tu prends le contrôle du nom ou des noms de domaines / serveurs utilisés par les malwares, et tu comptes bêtement le nombre de connexion d'ips différentes
- tu scans des plages d'ips à la recherche d'hôtes vulnérables et tu vérifies s'ils ont bien été infecté par le malware
- tu as accès à des nœuds importants d'Internet où beaucoup de traffic passe. Tu peux logguer, via des filtres spécifiques lié à l'attaque ciblée, les IPs qui semblent propager l'attaque
 
Une fois les IPs collectées, il ne reste plus qu'à déterminer la localisation géographique de chacune et de tracer une belle carte.

De mon coté, il y a une information qui me parait floue.

Si j'en crois l'analyse du gars qui a enregistré le NDD ; https://www.malwaretech.com/2017/05 [...] tacks.html

une fois en branle, le crypto-méchant part sur le réseau à la recherche d'OS avec la faille SMBv1.
Mais la page indique qu'il scanne des IP aléatoires et sur la capture, on voit des IP publiques.

Est-ce à dire qu'il ne scanne pas le réseau local mais uniquement au hasard sur Internet ?

Bon au final j'ai trouvé ma réponse sur https://blogs.technet.microsoft.com [...] e-systems/
 
Il fait les deux  : réseau local et Internet

d'après ce que j'en ai compris c'est d'après une technique d’échantillonnage : tel site antivirus scanne de gros serveurs (avec autorisation) et compte les tentatives d'infection. 0,04% de tentatives = tant de milliers d'ordi infectés dans le monde. parait que c'est assez précis, mais l'important est de visualiser la forme de la courbe. démarrage, augmentation rapide, moins rapide, pic/plafond, décrue, effondrement.

2ème attaque en cours apparemment...  
 
 

Sur la même faille ?

on dirait

Oui exactement la même faille, sauf qu'ici une fois l'infection effectuée, le malware verrouille la faille pour être seul à opérer sur le système. Donc je pense que si Wannacry n'a infecté que si peu de machines c'est parce que notre petit mineur était déjà dans la place depuis un moment .

https://www.proofpoint.com/us/threa [...] ublepulsar

On verra dans le temps mais le fait qu'il soit plus transparent pour l'utilisateur que Wannacry, je pense que l'on aura du mal à en évaluer l’ampleur.

Après bon, avoir le port 445 ouvert sur le net et une machine non à jours c'est un peu suicidaire

Hello,

LA première version du ver pingait un nom de domaine avant d agir ( pour faire des stats j imagine ), un jeune anglais à acheter vite fais le nom de domaine pour qu il ne ping plus et que le ver soit inopérant ....  ce qui n a provoqué qu un gain d argent des pirate de 30 k€ env .... la deuxième version ne ping plus le nom de domaine il agit otut de suite

 
Ah ouais merci.
T'as des infos sinon sur Blaster ?

 
   
 
Et sinon ce serait pas possible d'ajouter au minimum un E dans le titre    

C'est pas tout à fait ça.

Surtout que l'adresse en question est tout à fait pingable...
Donc je pense que ce petit bout de code était la pour avoir un moyen de stopper la propagation du virus sans prendre le  risque d'être lié à une adresse ou une IP.
Vu que le domaine à un nom à la con, il n'aurait jamais été réservé et enregistré par hasard et vu qu'il n'était pas enregistré, il n'était donc pas lié à une personne.
Pour moi c'était une sécurité en cas de perte de contrôle et un moyen de négociation en cas d'arrestation, c'est plus simple de négocier en disant, je peux tout arrêter .

Oui je pense aussi que c'est un gros bouton rouge d'arrêt d'urgence (bien que j'ai du mal à comprendre pourquoi ils auraient ajouter ça ...). Mais c'est pas très malin ... les experts allaient forcément le découvrir et l'utiliser.

C'était peut-être le but aussi, dans ce genre d'attaque le but est de ne pas se faire trop remarquer (bon ici c'est mort) et de se retirer avec un petit pactole.
Donc je pense que le but était d'infecter des machines, de se faire payer rapidement une rançon somme toute relativement basse et que le virus soit désactiver avant que l'affaire ne prenne trop d’ampleur.
 
Sauf que pas de bol, vu le niveau de mongolance des utilisateurs (je clique et on verra) et la gestion catastrophique de la sécurité informatiques des entreprises (un vers qui exploite une faille connue et patché passe comme crème ) et bien l"'attaque à pris très vite une impacte folle et c'est là le problème.
 
Que ce genre de crasse existe est normal je vais dire, c'est dans la nature du réseau d'avoir des failles et qu'elles soient exploitées, ce qui n'est pas normal c'est que la formation des utilisateurs et la sécurités soient comme toujours reléguées au second plan. Bordel, une faille comme ça,... Un admin digne de ce nom ne peu pas et ne devrait pas ne pas la patcher ou tout du moins désactiver le services problématique...
 
Donc ici comme toujours le soucis n'est pas d'ordre technique mais résulte de comportements et de choix suicidaires de la part d'entreprises et de particuliers, comme on le dit, le problème c'est le facteur humain !
 
 

oui je ne dis que ce que j en ai compris
 
Le dernier virus que j ai stopppé s appele I Lov u

Instant nostalgie

tu a de la chance, moi :

S'ils attaquent les C64, on n'est plus en sécurité nulle part.

 
Non rien à voir, juste une méthode pour tromper les sandbox.

 
Et comment ? (vrais question)

https://twitter.com/craiu/status/865562842149392384
 
#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant.
 
 

 
XP mis en avant dans tous les articles ces derniers jours.
 
On parle de 400 000 ordinateurs infectés...Au final, sur ce total, il y en aurait moins de 80 sous xp si on applique le pourcentage...

En même temps la part d'XP face à 7 est insignifiante. Y a de moins en moins de personne qui reste sous ce system complètement obsolète.

Tu vas en vexer un, fais gaffe.