Bonjour,
 
Utilisateur d'un VPN, depuis peu AVAST me signale une menace SMB provenant de cette adresse IP : 195.154.174.234
A ce jour, voici ce que je sais sur cette IP :
 
Nom d'hôte associé : 195-154-174-234.rev.poneytelecom.eu
Code pays: FR
Code 3 Lettres:  FRA
Drapeau du pays:  France
Nom du pays:  France
État / Région:  A8 Ile-de-France
Ville de Connexion:  Paris
Code postal:  75001
Code métro:  N/A
Zone Géographique:  N/A
Latitude:  48.8667
Longitude:  2.3333
Fuseau horaire:  Europe/Paris
 
Savez-vous ce que cela peut-être ?
++
cto

Précision : menace AVAST > smb:cve-2017-0144

Mon ami CTO, cette menace récente est très très très sérieuse et dangereuse (elle s'apelle Wanacry / EthernalBlue ), elle concerne SMB (partage de fichiers/dossiers/..)  
 
Il faut absolument:
1- bloquer le port 445 de ton Wndows (comment: https://www.backup-utility.com/anti [...] -3889.html )
 
2- Applique les dernières mises à jour de ton windows
 
3- Désactive le service de partage de fichier
 
Tu seras donc sauvé !

Bonjour,
 
Merci pour la réponse, toutefois le lien cité ci-dessus m'amène à une page non trouvé > Error 404 - Page Not Found
 
Mon Windows 7 SP1 est "up to date" !
J'ai besoin de partager sur mon LAN (donc désactivation de fichier impossible)...

Oups, lien corrigé

Ce n'est pas la peine de fermer les partages réseaux si le poste est patché.
Regarde plutôt comment est ce que cela se fait que SMB soit détecté en entrée.
Les box ne laissent pas passer cela par défaut.
Est ce que ce serait pas ton VPN qui laisserait entrer des paquets indésirables ?

Celà ne suffit pas contre Wanacry

Explique moi pourquoi le patch de Microsoft ne fonctionnerait pas ?

Elle est nécéssaire mais pas suffisante en cas d'infection. Il faut qu'elle soit suivi par d'autres actions le temps que l'infection soit éradiée. C'est par ce que l'attaque est bien déguisée et elle est standard avec le protocole SMB, donc elle peut passer à la trappe.
Regarde sur Internet, il y'en a plein d'utilisateurs qui ont mis la mise à jour et reçoit toujours cette même alerte de cette attaque par l'antivirus.
On dit aussi, que des ordinateurs, inffecté dans le réseau continue à lancer cette attaque.
 
Voici 2 liens intéréssants:  
1. le rapport de check-point: https://www.checkpointfrance.fr/new [...] nnacryptor
2. et un lien sur avast sur la même erreur (anglais) qui relate certaines expériences: https://forum.avast.com/index.php?topic=208726.0

Si la faille est patché, ton poste n'est pas sensible à la faille.
Si tu fermes les ports, c'est un autre moyen de protéger ton ordinateur contre cette faille, si jamais il n'était pas patché.
 
L'antivirus peut détecter une attaque, mais ce n'est pas pour autant que ton poste va être réceptif à cette attaque.
Il n'y a pas de lien entre une faille et les malwares qui seront installés par cette entrée.
Cela peut être un programme qui va essayer de se diffuser sur le réseau comme cela peut être un zombie qui restera inactif pendant plusieurs semaines.
 
Si ton poste est contaminé, ca ne sert plus à rien de fermé les ports en entrée.
Tu ne devrais pas te faire attaquer une 2eme fois sur la même faille (ce serait pas de chance)
il faut mieux utiliser des antimalwares pour nettoyer le poste.
 
Mais le SMB ne circule pas via internet, c'est des attaques locales.
Un poste est d'abord contaminé via un phishing, pub vérolé, crack, ensuite il télécharge son kit du petit hacker.
Puis il inonde le lan à la recherche de sa victime.
Si le SMB est ouverte sur l'extérieur et redirigé vers un poste, c'est une grosse erreur de configuration.

Oui tout à fait, mais en fait dans la majorité des cas que j'ai vu (en entreprises), c'est que les postes déjà connectés à Internet mais qui ont en même temps accès à des partages Samba (qui se voient comme  des lecteurs locaux) les postes infectés pourissaient le réseau local tout en entire..