Reprise du message précédent :
 
Vraiment une belle saloperie ces virus, nous avons eu aussi un virus comme ca. Presque 600Go de données HS ... Malheureusement pour nous, la personne a ouvert un fichier à la con le vendredi soir et personne le weekend... Et restaurer plusieurs centaines de milliers de fichiers ... Bas la merde.

C'est énorme 600 Go, en plus avec les blocages avec les noms longs de répertoires, ca devient vite affreux.

600 GO    
 
C'était sur un serveur ? Ou le Malware s'est propagé sur un lecteur réseau ?

Lecteurs réseaux sur notre SAN... Comme beaucoup de monde un lecteur "Commun" et d'autres répertoires avec des droits par users ou groupes mais ca grimpe vite en volume.
 
Nous avons mis un peu plus de 3j pour restaurer mes données, le soucis d'avoir des millions de petits fichier (d'où aussi mon poste sur ce sujet).
 
Une solution pour sécuriser les snapshots ?

Voici une liste de mesures qui ont plusieurs niveaux d'efficacité contre les ransomwares:
* En préventif:
- Application Whitelisting, la seule mesure efficace, mais lourde
- Mise au propre des droits sur les partages réseaux: le virus ne chiffrera que ce à quoi il a accès
- OS et logiciels tiers à jour
- Antivirus de flux, sur le flux mail notamment, et à jour
- Antivirus sur le serveur mail et/ou sur l'antispam, et à jour
- Limitation des droits administrateurs locaux sur les postes
- Essentiel: limitation des droits admin du domaine: on n'ouvre pas une session Windows sur un poste avec un compte possédant de tels privilèges, c'est une faute professionnelle !
- Sensibilisation des utilisateurs

* Diminution des conséquences:
- Ségrégation des réseaux pour limiter la diffusion (les ransomwares sous forme de ver exploitant des failles 0-day ne devraient plus tarder)
- Conservez un backup hors ligne (bandes...), et testez vos sauvegardes
- Coupure d'Internet et interdiction des mails sur les vieux postes impossibles à mettre à jour, genre des vieux XP embarqués sur des robots-machines

* Après infection:
- Nettoyage du poste source
- Restauration via les VSS ou bien via vos sauvegardes
- Si vous n'avez ni l'un ni l'autre, conservez les fichiers et recherchez périodiquement s'il n'existe pas un déchiffreur

Je prends toutes autres idées

Mise en place d'un RPZ /  Dns menteur ?
 
cf http://docplayer.fr/3436206-Contex [...] -2014.html

"Essentiel: limitation des droits admin du domaine: on n'ouvre pas une session Windows sur un poste avec un compte possédant de tels privilèges, c'est une faute professionnelle !"
 
 
Pas toujours évident, car avec le peu de choix de droit qui existe ....

la solution contraignante est d'utiliser un compte admin local qui est spécifique pour chaque station
une doc à ce sujet : http://www.it-connect.fr/securite- [...] avec-laps/

Merci, la doc est très intéressante, il faut que je me renseigne / monte un PoC là-dessus
 

Tu peux avoir un compte utilisateur qui est simplement admin local du poste sans droits sur l'AD, et un compte avec des droits avancés pour l'administration. Ca ne pose pas de problème particulier au quotidien, et si tu choppes un virus, il n'aura que tes droits locaux

Dans le cas du virus spécifié dans ce thread, il n'est pas dangereux d'ouvrir une session Admin du domaine sur un poste client.
Seuls comptent les lecteurs réseaux accessibles.

Ce que je veux dire par là, c'est qu'on peut très bien ouvrir une session admin local, ou pas, sur le seul poste client auquel on accède et se retrouver avec des tas de lecteurs réseaux montés dont les données vont être cryptés.

Il faut bien distinguer que ce virus s'attaque aux données sur les lecteurs accessibles, pas autre chose.

Avant de me répondre, merci de bien saisir que je n'invite pas à utiliser des comptes admin du domaine à tout va, y compris pour ouvrir des sessions sur les postes clients. J'invite à ne pas partir dans des contres mesures sans lien direct avec le virus discuté.

Tu as raison, mais il faut voir plus loin. Un compte administrateur du domaine possède souvent les droits sur toute l'arborescence des serveurs de fichiers...

D'ailleurs, un admin du domaine possède également un accès aux partages administratifs des postes et des serveurs. Ce qui fait qu'un ransomware qui chercherait activement des partages pourrait planter l'intégralité des systèmes Windows. A ma connaissance ça n'existe pas encore. Mais en 2012 on ne parlait quasiment pas des ransomwares non plus.

De toute façon le virus utilise généralement les droits du compte pour s'installer et/ou se propager, les ransomwares comme les autres. Les botnets, comme Zbot/Zeus, sont des points d'entrée pour d'autres virus, dont les ransomwares. On peut aussi très bien imaginer que le virus utilise les droits pour aller s'installer tout seul sur les serveurs via RPC ou équivalent.

Tout est lié La prochaine étape pour ces saletés, c'est l'exploitation de failles, dont 0-day. Si on se retrouve un jour avec un ver ransomware de la virulence de Conficker, ça va faire très mal.

Je note, pas mal d'idées, pas toutes applicables rapidement lorsqu'il faut passer par un CE / DP pour commencer à restreindre les accès internet. (pour ce qui est des droits locaux, ça fait belle lurette qu'on a réussi à mettre tout le monde en simple user....)  
Ce qui me fait surtout peur, c'est le jour ou ces saloperies ne s'attaqueront qu'aux partages réseau, et plus aux fichiers locaux.....comment identifier rapidement le poste fautif, ça sera galère de repérer et endiguer l'infection

Avec la mise en place d'un audit :
 
cf : https://social.technet.microsoft.co [...] rver2008fr
 

Sans parler du jours, où ce genre de virus s'attaquera à autre chose que des PDF, Word etc.... car j'imagine s'il s'amuse avec nos plans CATIA et autre....

Ouaip, les audits servent en effet à trouver la source. Mais pour le moment, ça va qu'on voit ça sur le poste user, c'est tout de même plus rapide à identifier. Dans cette optique, on est aussi en train de revoir certain compte "generique", que l'on ne peut pas "personnaliser", utilisés sur quelques machines de l'entrepot...mais généralement, ces comptes n'ont même pas accès aux ressources partagées. En tous les cas, cette aventure nous a permis de faire passer quelques "contraintes" qui s'étaient toujours heurtées au sacro saint mur du "mais vous voulez tout fliquer, tout controler, nous empêcher d'avoir une sphère privée au boulot".... Ben....ma brave dame...notre boulot, c'est de contrôler ce qui se passe sur notre réseau (sans pour autant fiquer), on est pas un cyber café....(idée qui passait mal, avant ça )

hop : http://www.lesechos.fr/politique-s [...] 192222.php

oui, là, c'est un autre débat ^^ notre charte info date (et autorise l'utilisation "responsable" du net), et la moindre modif oblige un passage en CE / DP, ou il va falloir que tout soit validé par un ensemble de syndicats.... il n'est pas évident de supprimer un pan de confort quand il est acquis depuis 15 ans, face à des gens dont l'unique but est de faire braire la direction au détriment (dans certain cas) de la sécurité. Mais ceux là, même minoritaires, on ne peut pas les faire taire. On a déjà obtenu de bloquer les webmails perso, mais le résultat est juste une augmentation de traffic sur nos serveurs de messagerie pro. (au moins, là, on a la main sur les trucs pourris, remarque....)

@Com21: merci, l'audit des accès aux fichiers est une solution aussi, par contre ça génère énormément de logs. Dans le même genre on peut créer un fichier témoin dans un dossier caché. On fait un checksum périodique de ce fichier, et on vérifie s'il a été modifié.
 
@Saarh: ils savent déjà aller sur les répertoires réseaux, mais ça reste des répertoires connectés au poste. A ma connaissance ceux qui cherchent activement n'existent pas encore...
 
Y a plein d'idées sur ce thread, c'est cool ^^ Certains prennent énormément de temps, c'est sûr. Je vais essayer de faire un point sur l'ensemble des solutions avec les critères d'efficacité / coût

Petit message pour vous dire que mon entreprise a été victime à l'instant... à cause d'un utilisateur de base qui ouvre les pièces jointes dont il ne connait pas le destinataire...
PC contaminé à 11H, la victime se manifeste 3H après... Après un premier diagnostic, j'ai a peu près 1800 fichiers sur un répertoire réseau contaminé...
Restauration prévu avec Backupexec ce week end.
Pas d'antivirus fiable alors pour ce nouveau type d'attaque?

Avais-tu un AV sur le poste ?
Si oui, était-il à jour ? Lequel était-ce ?
 
Messagerie pro ou perso ?
 
Si messagerie pro, même question que pour le poste.
 
Car à la base, il s'agit d'un virus et le mode de contamination est loin d'être nouveau ou particulier par rapport au standard des virus

Mais quel foutage de gueule    
Tu peux faire une délégation très précise et très granulaire via l'AD...mais il faut avoir le courage de changer ses habitudes de travail.

La majorité des AV sont inefficaces contre les ransomwares Sont inefficaces tout court d'ailleurs D'où le besoin d'avoir un ensemble de mesures en amont de l'infection. Par contre effectivement le vecteur principal est le mail

En attendant que les antivirus soient plus efficaces, il faut mieux être assez réactif lors d'une infection.
Il faut chercher au plus vite sur les documents partagés, un fichier decrypt.txt et regarder le créateur du fichier, cela donnera le nom de l'utilisateur qui a cliqué sur le mail.
Car l'utilisateur qui a attrapé le virus ne se signale pas forcément et il n'y a pas de remontées de d'infection dans la console de l'antivirus.
 
Pour les fichiers chiffrés avec l'extension .vvv ou une adresse email, on n'a pas de création de fichiers decrypt.txt
Pour trouver l'auteur je pense que le plus simple est d'aller voir les fichiers ouverts dans gestionnaire de l'ordinateur.
 
Sinon activer les versions précédentes sur le serveur en plus de la sauvegarde. Cela peut permettre de restaurer plus rapidement qu'avec la sauvegarde.
En plus on a les clichés le matin et le midi, cela permet de récupérer le travail des utilisateurs de la matinée.
Si besoin augmenter le nombre de clichés dans la journée.

Un crypto ransomware en action    :
 
https://www.youtube.com/watch?v=OaN30C43ZlA
 

Une vidéo à faire voir sans modération aux utilisateurs

Pour mon cas, les fichiers étaient renommés en .micro. Sur chaque dossier, j'ai un fichier DECRYPT_INSTRUCTION.HTML qui décrit la procédure pour récupérer la clé privé en utilisant le réseau tor....
Il s'est attaqué par ordre alphabétique, peut être je vais faire un programme qui détecte le renommage de fichier dans chaque partage afin de limiter les risques...

Sinon une info qui est bonne à prendre :
 
de http://nabzsoftware.com/types-of-t [...] acrypt-3-0
 

 
Donc en utilisant un produit de type getdataback pour retrouver les fichiers effacés, il est possible de récupérer certains fichiers.
C'est vraiment une solution de la dernière chance...

Je préfère m'appuyer sur les sauvegardes
Mais c'est effectivement bon à savoir

d'autant que les méthodes de décryptage fonctionnant pour cette variante ne fonctionnera pas longtemps. Vaut en effet mieux, en cas de soucis, parier sur des sauvegardes  plutôt que sur le decryptage. Mais ça me donnerait presque envie de monter une machine à infecter pour tester ça quand je trouverais 5 minutes

bonjour , pour info ,  Malekal_morte, à fait un test avec  BitDefender 2016 : module anti-ransomware.
bonne journée à vous.

Je peux avoir un lien stp car je ne trouve pas l'article.

http://forum.malekal.com/bitdefend [...] 53195.html

Merci à vous.

Une dernière question un compte qui n'est pas administrateur fait les même dégâts ?

 
As-tu suivi les discussions sur ce que fait ce virus ?
 
Il s’exécute avec les droits fournis par la session sur laquelle il est lancé et crypte les fichiers auxquels il a accès en local ou via des lecteurs réseaux.

Un autre moyen de prévention :

http://www.symantec.com/connect/fo [...] c-policies
et
http://www.symantec.com/connect/ar [...] -encryptor

Ce genre de police doit être adaptable sur d'autres système d'antivirus.

A noter que c'est aussi possible de le faire via GPO : http://community.spiceworks.com/to [...] ata-folder

Merci Com21, vais regarder dans ce sens pour la grosse majorité de mes postes potentiellement "à soucis". Actuellement, on bloque les exe des rep. temp internet, via McAfee. Vais voir à verrouiller d'autres executions. Du coup, le risque d'infection serait relativement endigué (on va rajouter "desktop", aussi, tiens....ça évitera qu'ils enregistrent les PJ avec exe sur le bureau, comme dans 80% des cas)....ça va demander un peu de taf avec certains logiciels "exotiques", mais ça peut valoir le coup de s'y pencher.
Sur le mois d'aout on sera sur le coup pour changer (ou garder, on verra) la solution anti virus...j'ai déjà F-Secure et McAfee sur l'affaire, reste à prendre rdv avec encore quelques uns (kaspersky, etc).

Je suis intéressé par tes choix. Ici on a symantec Endpoint.
J'en suis content mais au niveau tarif ils ont explosé (genre 3x ou 5x plus cher qu'avant).
 
Bref on doit explorer d'autres pistes...

Si le prix est multiplié par 5, il faut peut être mieux aller voir la concurrence.
En ce moment, les concurrents font faire des prix, car les ventes ne semblent pas être à leur meilleur niveau.

Moi je suis très satisfait d'Eset Endpoint. Très léger, même sur de vieilles machines, et son prix n'est pas non plus excessif. J'aime particulièrement sa console, qui est vraiment top, surtout pour déployer l'antivirus sur tout le parc
 
Après pour les CryptoLocker il est totalement inefficace

Ce type de GPO est une vraie purge à gérer, le faire via AppLocker est bien plus simple, mais il faut des clients Enterprise pour ça.

là je viens de tester vite fait via les règles de symantec, ça fonctionne (pour les règles que j'ai mis).
 
Un jour faudra peaufiner ça.