Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1112 connectés 

 



 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10  11
Auteur Sujet :

CryptoLocker, prévention ?

n°147739
nanab
Non.
Posté le 06-07-2017 à 14:43:17  profilanswer
 

Reprise du message précédent :

ShonGail a écrit :


 
Mais c'est quoi une liaison pourrie ?
Avec un WSUS, uniquement sur les MAJ de sécu en plus, ça le fait pas ? :??:


Ca le ferait !!
 
... Si le client voulait bien qu'on en installe un :o


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
mood
Publicité
Posté le 06-07-2017 à 14:43:17  profilanswer
 

n°147740
nanab
Non.
Posté le 06-07-2017 à 14:43:32  profilanswer
 

Enfin bref, c'est ni le lieu, ni le sujet pour en parler


---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
n°147745
ShonGail
En phase de calmitude ...
Posté le 06-07-2017 à 15:53:08  profilanswer
 

Ben un peu quand même.
La lutte contre ces menaces, c'est pas que de la technique, c'est aussi de l'humain et une direction qui adhère.
 
Là, avec les derniers événements médiatisés, le nom de grosses boites impactées voir bloquées, ça me parait fou qu'une direction ne dise même pas GO à la MAJ des OS.

n°147748
bardiel
Debian powa !
Posté le 06-07-2017 à 19:02:38  profilanswer
 

Enfin d'un côté niveau MAJ, quand tu en as certaines d'entre-elles qui foutent le bordel une fois installées... c'est parfois tentant de les bloquer, alors qu'il s'agit de MAJ de sécurité pour Windows et Office.
Une des dernières en date que j'ai vu passé, bloquer l'ouverture de toutes les pièces jointes par défaut dans les tâches (kb3203467). Super [:madame_de_galles:5]


---------------
"Pendant que vous vous détruisez la cervelle devant une émission de télé débile, nous, sur Internet, nous échangeons librement les informations les plus secrètes et les plus choquantes concernant les paramètres de notre CONFIG.SYSTEM !" - Dave Barr
n°147749
com21
Modérateur
real men don't click
Posté le 06-07-2017 à 19:25:36  profilanswer
 

d'où la nécessité de déployer les maj par RING (par groupes quoi) mais elles doivent être faites.
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147752
F117
Posté le 06-07-2017 à 21:35:04  profilanswer
 

pour la kb3203467 Microsoft il doit voir globale, il a mi les particuliers et les entreprises dans le même sac, car beaucoup d'infections sont du aux individus qui cliquent sur n'importe quel pièce jointe sans réfléchir  
 
donc il s'est dit autant le faire même si ça empêche les entreprises de bosser correctement
 
c'est ce qui a faillit arrivée aujourd'hui a une personne au travail, heureusement l'administrateur lui a dit de pas le faire. pourtant il y a un courrier interne qui est passé et affiché juste à coté du poste


Message édité par F117 le 06-07-2017 à 23:26:33
n°147755
com21
Modérateur
real men don't click
Posté le 06-07-2017 à 22:28:26  profilanswer
 

J'en ai ici qui réclame les pièces jointes envoyées par les spams/phishing
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°147765
saarh
Posté le 07-07-2017 à 10:09:00  profilanswer
 

c'est sur que sans les utilisateurs, on aurait pas vraiment besoin de protection :D (ni de nous, au passage ^^)


Message édité par saarh le 07-07-2017 à 10:54:58
n°147784
F117
Posté le 08-07-2017 à 14:03:09  profilanswer
 

Dans le cas de cette attaque le virus a été propage par une mise à jour infecte sur les serveurs de la société Ukraine de comptabilité
 
Imagine si un gouvernement veut s'en prendre à l'Occident et fait la même chose sur les serveurs de Microsoft  
 
Car sa touchera toutes catégories du particulier qui se sert de son pc pour jouer aux grandes entreprises côté en bourses  
 

n°147785
Je@nb
Modérateur
In ze cloud
Posté le 08-07-2017 à 14:05:34  profilanswer
 

Rien à voir

mood
Publicité
Posté le 08-07-2017 à 14:05:34  profilanswer
 

n°147796
ShonGail
En phase de calmitude ...
Posté le 09-07-2017 à 12:53:48  profilanswer
 

Si on pouvait s'en tenir à la technique et ne pas dériver vers des scenarios Hollywoodiens ou le complot des martiens, ça serait bien :)

n°147798
F117
Posté le 09-07-2017 à 14:16:00  profilanswer
 

sur le cas de WPP une société de publicité la propagation a ete faite par la mise a jour non faites et les droits administrateurs attribués a des personnes qui devraient pas les avoir.
 
exactement ce que certains décrivent ici
 
https://www.theregister.co.uk/2017/ [...] _notpetya/
 
He said IBM had not implemented a crucial central patch management system yet, meaning one of its agencies had not had a Windows patch for six months. Users were also given local admin rights, enabling the malware to spread like wildfire on the network.
 
Andy Patel, security expert at F-secure, said if a machine was infected by the malware, but the user did not have admin rights and other machines were patched, then the network would generally be safe.
 
He noted the most modern version of Windows contains a feature that prevents passwords from being stored in plain text (instead storing the hashes), which means the virus would not have been able to use lateral movements to spread.


Message édité par F117 le 09-07-2017 à 14:23:53
n°147799
Modération
Posté le 09-07-2017 à 14:28:26  answer
 

ShonGail a écrit :

Si on pouvait s'en tenir à la technique et ne pas dériver vers des scenarios Hollywoodiens ou le complot des martiens, ça serait bien :)


 :jap: , F117 ce serait bien de partir maintenant

n°147916
schmosy
Posté le 15-07-2017 à 10:53:41  profilanswer
 

Je viens de voir une variante, qui converti les fichiers pdf, word, excel en .jse (script javascript)
Même pas de consigne pour récupérer ses données.
 
Rien de crypté sur les postes, ça a directement attaqué les lecteurs réseaux.
Tous le serveur de fichier est impacté.
Et un utilisateur a recliqué sur un fichier jse, ça a crypté encore plus.
 
 

n°147922
bardiel
Debian powa !
Posté le 16-07-2017 à 04:34:24  profilanswer
 

Et de mon côté j'ai vu passer des alertes au spam sur des... messages d'alerte parfaitement bien formés et envoyés en interne via le serveur de messagerie interne sur une BAL utilisateur interne à la boîte, qui n'a pas de possibilité de diffusion et de réception vers/depuis l'extérieur.
Le "message d'alerte" en question étant une réponse automatique suite à l'utilisation d'un logiciel interne à la boîte, pour informer de la prise en compte d'une demande de modification.
Bref, le luser dans toute sa beauté qui voit "oh lala mé c koi se message gé ri1 fé moa ! ", alors qu'il s'agit d'un comportement normal du logiciel. Merci la paranoïa ambiante juste parce que l'on a fait une double diffusion pour signaler les spams et les cryptolockers :pfff:


---------------
"Pendant que vous vous détruisez la cervelle devant une émission de télé débile, nous, sur Internet, nous échangeons librement les informations les plus secrètes et les plus choquantes concernant les paramètres de notre CONFIG.SYSTEM !" - Dave Barr
n°147932
F117
Posté le 17-07-2017 à 06:45:20  profilanswer
 

schmosy a écrit :

Je viens de voir une variante, qui converti les fichiers pdf, word, excel en .jse (script javascript)
Même pas de consigne pour récupérer ses données.
 
Rien de crypté sur les postes, ça a directement attaqué les lecteurs réseaux.
Tous le serveur de fichier est impacté.
Et un utilisateur a recliqué sur un fichier jse, ça a crypté encore plus.
 
 


 
Comme j'avais dit les gens cliquent sur n'importe quoi du moment qu'il y a un fichier en pièce jointe
 
Les vers ont du mal à remonté les réseaux tout seul comme l'avait fait Blaster à son époque car de plus en plus de modem/routeur sont utilisés  dans les entreprises et chez les particuliers
 
Ça doit être encore un Wiper merci de nous avoir informé


Message édité par F117 le 17-07-2017 à 06:50:33
n°147933
saarh
Posté le 17-07-2017 à 09:25:28  profilanswer
 

il me semble qu'une saloperie faisait ça (le rename en .jse) il y a quasiment un an (en date de mai à juillet 2016)
ça serait pas mal de savoir si il s'agit d'une nouvelle variante, ou juste un pas de pot sur poste pas protégé. Mais je n'ai vu aucune nouvelle vague de celui là sur les sites habituels.

n°149674
shocker13
Posté le 02-11-2017 à 12:11:53  profilanswer
 

bonjour à tous,
 
il me semble avoir vu sur le net ou sur le forum, un site permettant de faire une sorte du mailing de sensisbilisation sur les cryptoclocker.
 
Le principe est qu'il envoit un faux email qui ressemble à ce qu'on recoit avec des cryptolocker.
 
Et quand un utilisateur ouvre la pièce jointe on le prévient de sa connerie.  
 
Ca parle à quelqu'un ?

n°149675
Je@nb
Modérateur
In ze cloud
Posté le 02-11-2017 à 13:44:12  profilanswer
 

Nous on a ça pour le pishing. L'IT interne envoie régulièrement des faux pishing et les gens qui se font avoir sont priés de (re)faire la formation en ligne

n°149684
shocker13
Posté le 02-11-2017 à 22:26:44  profilanswer
 

Je@nb a écrit :

Nous on a ça pour le pishing. L'IT interne envoie régulièrement des faux pishing et les gens qui se font avoir sont priés de (re)faire la formation en ligne


 
Vous faites ça avec un outil ?
Et Quand tu dis formation c'est à dire ?

n°149691
Je@nb
Modérateur
In ze cloud
Posté le 03-11-2017 à 10:39:04  profilanswer
 

Avant on utilisait les solutions de pishme maintenant je sais pas si c'est toujours ça.
On a un bouton dans Outlook :
http://reho.st/self/6b2bb3096f0abe75ceb89bf12014ec0aecbe7ad1.png
Et qd on reçoit du pishing (vrai ou faux) on doit cliquer dessus pour le reporter pour analyse (qd c'est un faux on a un message "félicitations vous avez bien réagi au test blabla".
Au début les résultats étaient assez catastrophique (genre 60% se sont fait avoir), maintenant on est apparememnt plutôt vers les 22%.
 
Les formations derrière c'est une formation en ligne où on t'apprend à faire attention, à reconnaitre les signes d'un pishing etc. avec test de validation à la fin. Je sais pas si c'est un truc dev en interne ou pas

n°149693
saarh
Posté le 03-11-2017 à 10:59:50  profilanswer
 

Ahhh tiens, pas con.....plutôt que de faire des mails informatifs, faire de faux phishing et mieux cibler les user ayant besoin d'un peu plus de connaissance pour les identifier....Je pense que je vais en mettre un au boulot sous peu :D

n°149705
F117
Posté le 03-11-2017 à 22:09:59  profilanswer
 

Déjà si les gens utilisaient pas leur boîtes e-mails professionnels pour un usage Perso ca vous aiderait  
 
Car beaucoup ne savent pas ou ne veulent pas séparer perso de profession c'est comme l'usage du téléphone

Message cité 1 fois
Message édité par F117 le 03-11-2017 à 23:29:47
n°149706
shocker13
Posté le 03-11-2017 à 22:45:20  profilanswer
 

F117 a écrit :

Déjà si les gens utilisaient pas leur boîtes e-mails professionnels pour un usage Perso ca vous aiderais  
 
Car beaucoup ne savent pas ou ne veulent pas séparer perso de profession c'est comme l'usage du téléphone


 
Je suis pas convaincu que ce soit des mails perso qui sont forcément responsable.  
 
Pour avoir vu quelques mails reçus par les victimes Ca peut être très proche de leur activité professionnel.  
 

n°149714
saarh
Posté le 06-11-2017 à 08:04:50  profilanswer
 

exactement....un client se mange une cochonnerie et c'est tout un pack d'adresse du boulot qui se retrouve dans la nature. (sans compter les piratages genre linkedIn et autre...)
 
Alors oui, dans un monde parfait, ce qui est dans le domaine pro devrait le rester. Mais franchement, soyons lucide. A moins d'une politique d'entreprise très policée avec juste des whitelist de domaines autorisés à envoyer des mails (par exemple), on aura toujours du perso. (et même là, ton PDG te demandera d'ouvrir un "orange.com" ou un "gmail" parce que tous les clients potentiels n'ont pas forcément de domaine en propre)
 
F117, le soucis, c'est que les mails qu'on reçoit sont souvent ambiguës. les "Factures", "Avoir", etc, on en reçoit des masses tout à fait légitimes. Quand dans le tas y a un crypto qui passe..... On a donc formé les services en recevant régulièrement (market, compta, chef de service....) et bien préciser aux autres qui n'ont pas en recevoir de supprimer directement tout ce qui est facture & co. (un chef de secteur ou promoteur des vente, un contrôleur de gestion ou admin BDD n'en reçoivent jamais, par exemple....donc c'est vite vu)

n°163380
F117
Posté le 27-05-2019 à 23:26:55  profilanswer
 

La ville de Baltimore est l’otage d’une cyberattaque depuis trois semaines
 
Des hackers ont attaqué la ville américaine depuis le 7 mai, en utilisant un outil de la NSA pour pirater ses systèmes informatiques.
 
http://www.lefigaro.fr/secteur/hig [...] s-20190527

n°163388
com21
Modérateur
real men don't click
Posté le 28-05-2019 à 08:53:08  profilanswer
 

en utilisant une faille patché depuis plus de 2 ans....
 
Bref la première prévention est d'avoir un OS à jour.


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°163459
ShonGail
En phase de calmitude ...
Posté le 30-05-2019 à 14:35:30  profilanswer
 

Je remets mon drapal qui a sauté :cry:

n°163491
clockover
That's the life
Posté le 03-06-2019 à 00:33:37  profilanswer
 

F117 a écrit :

La ville de Baltimore est l’otage d’une cyberattaque depuis trois semaines
 
Des hackers ont attaqué la ville américaine depuis le 7 mai, en utilisant un outil de la NSA pour pirater ses systèmes informatiques.
 
http://www.lefigaro.fr/secteur/hig [...] s-20190527


Des hackers  :whistle:


---------------
-----
n°163492
F117
Posté le 03-06-2019 à 04:17:06  profilanswer
 

Elle a en effet été attaquée par un rançongiciel, logiciel malveillant capable d’extorquer les utilisateurs en bloquant partiellement leur ordinateur ou smartphone. Nommé RobinHood («Robin des bois»), il s’appuie sur EternalBlue, un outil développé par l’agence de renseignement américaine NSA. Ce dernier exploite une faille des systèmes d’exploitation Windows XP et Vista, permettant ainsi à un tiers externe d’exécuter des commandes à distance sur sa cible.
 
 
Si les sociétés et les administrations utilisent encore des os comme XP ou vista reliés à internet ont y peut rien


Message édité par F117 le 03-06-2019 à 04:18:02
n°163495
nebulios
Posté le 03-06-2019 à 15:00:23  profilanswer
 

Sans compter qu'ils sont toujours en SMBv1 derrière...bref c'était inévitable.

n°164026
Roy*.*
Apres Dieu, y a lui
Posté le 08-07-2019 à 00:44:16  profilanswer
 

elliotdoe a écrit :

Voici une liste de mesures qui ont plusieurs niveaux d'efficacité contre les ransomwares:
* En préventif:
- Application Whitelisting, la seule mesure efficace, mais lourde
- Mise au propre des droits sur les partages réseaux: le virus ne chiffrera que ce à quoi il a accès
- OS et logiciels tiers à jour
- Antivirus de flux, sur le flux mail notamment, et à jour
- Antivirus sur le serveur mail et/ou sur l'antispam, et à jour
- Limitation des droits administrateurs locaux sur les postes
- Essentiel: limitation des droits admin du domaine: on n'ouvre pas une session Windows sur un poste avec un compte possédant de tels privilèges, c'est une faute professionnelle !
- Sensibilisation des utilisateurs
 
* Diminution des conséquences:
- Ségrégation des réseaux pour limiter la diffusion (les ransomwares sous forme de ver exploitant des failles 0-day ne devraient plus tarder)
- Conservez un backup hors ligne (bandes...), et testez vos sauvegardes
- Coupure d'Internet et interdiction des mails sur les vieux postes impossibles à mettre à jour, genre des vieux XP embarqués sur des robots-machines
 
* Après infection:
- Nettoyage du poste source
- Restauration via les VSS ou bien via vos sauvegardes
- Si vous n'avez ni l'un ni l'autre, conservez les fichiers et recherchez périodiquement s'il n'existe pas un déchiffreur
 
 
Je prends toutes autres idées :jap:


Merci


---------------

n°164027
ShonGail
En phase de calmitude ...
Posté le 08-07-2019 à 07:16:00  profilanswer
 

Il manque le volet formation des utilisateurs :
https://bfmbusiness.bfmtv.com/01-bu [...] 64825.html

n°164029
Roy*.*
Apres Dieu, y a lui
Posté le 08-07-2019 à 09:14:51  profilanswer
 


C’est vrai c’est la base de toute la sécurité IT d’avoir des personnels formés.


---------------

n°164719
F117
Posté le 17-08-2019 à 17:14:50  profilanswer
 

ShonGail a écrit :

Il manque le volet formation des utilisateurs :
https://bfmbusiness.bfmtv.com/01-bu [...] 64825.html


 
exactement comme vous le dite encore un employé qui a ouvert un émail qu'il fallait pas.
 
https://france3-regions.francetvinf [...] or=CS1-747
 
L'hôpital a été victime d'un "hameçonnage", c'est-à-dire un email infecté.

 
 
idem pour celui ci mais qui date de MAI 2019
 
https://france3-regions.francetvinf [...] 70717.html
 
D’après les premières investigations, un des bâtiments du centre hospitalier universitaire (CHU) a été victime d’un virus informatique, dû à un message de “ hameçonnage


Message édité par F117 le 17-08-2019 à 18:23:17
n°164720
Regla88
Posté le 17-08-2019 à 17:26:58  profilanswer
 

Je ne bosse pas dans la sécurité informatique, mais je trouve assez dingue qu'un seul employé avec un mail piégé puisse infecter tout un réseau en 2019.
 
Celui qui a fait ça a gagné un aller simple chez Pole emplois.

n°164721
F117
Posté le 17-08-2019 à 18:26:04  profilanswer
 

car les hackers utilisent des emails de lettre type de grandes entreprises qu'ils envoient en se faisant passer pour l'entreprise dite, chez les particuliers qu'ils visent c'est souvent des lettres faisant croire qu'elles viennent de banques ou d’opérateurs téléphonique
 

n°165897
cotorep
Posté le 12-10-2019 à 17:53:41  profilanswer
 

dans windows 10
il y a une option
https://www.malekal.com/activer-pro [...] indows-10/

n°165901
snipereyes
Posté le 12-10-2019 à 21:40:55  profilanswer
 

En entreprise on utilise des antivirus externe en regle generale donc l'option est pas dispo


---------------
-- Topic de vente -- FeedBack --
n°166123
matteu
Posté le 24-10-2019 à 13:16:29  profilanswer
 

Mais elle sera dispo sur de nommbreux produits anti virud...


---------------
Mon Feedback---Mes ventes
n°166125
akizan
Eye Sca Zi
Posté le 24-10-2019 à 14:37:50  profilanswer
 

snipereyes a écrit :

En entreprise on utilise des antivirus externe en regle generale donc l'option est pas dispo


ou pas... 8000 PC et Windows Defender ici :) :)

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10  11

Aller à :
Ajouter une réponse
 

Sujets relatifs
Plus de sujets relatifs à : CryptoLocker, prévention ?


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR