Reprise du message précédent :
là je viens de tester vite fait via les règles de symantec, ça fonctionne (pour les règles que j'ai mis).
 
Un jour faudra peaufiner ça.

Bonjour,
 
A ceux qui ont mis Applocker en place sur le C:\Users, de quelle façon avez-vous gérer la mise en place ?
Est-ce que vous avez ciblé tout le dossier ou seulement des dossiers spécifiques ?
Merci pour vos retours d'expériences.

je vise (pour le moment) seulement appdata
 
et sur Windows 10 j'ai du exclure le dossier de C:\Users\USERNAME\AppData\Local\Microsoft\OneDrive\ parce que ce con est installé ici et ce met à jour via ce dossier.
 

ok merci com121

Logiquement tu couvres tout le C:\Users, aucune raison que des exécutables viennent se coller dedans.
 
Tout devrait être lancé depuis les dossiers par défaut en théorie, C:\Windows et C:\program files et c:\program files(x86)

là j'en ai encore un autre.
L'installe de teamviewer  colle son .exe d'installation dans C:\Users\USERNAME\AppData\Local\temp\teamviewer\  
 
Et ce n'est pas le seul.
 
Nebulios : installe Windows 10, laisse onedrive  et regarde où il se met.
 
des génies !!!

Utilise le mode audit  

oui certes mais ça reste installé par défaut.
Un peu comme le truc xbox sur une version Pro
 
Chercher l'erreur...

ou chrome

Chrome je pousse le msi donc j'ai moins le soucis

mais ouais si c'est installé par un usager...

On peut dire pareil pour des logiciels comme dropbox que l'utilisateur installe (non admin)   ça ce fout la dedans.

Bref c'est un non sens et les virus en profitent.

C'est justement ça le but, bypasser l'absence de droits admin. C'ets un comportement identique aux malwares.

http://www.zdnet.fr/actualites/moi [...] picks=true

Nous, c'est pas les applis "connues" qui nous posent souci, chrome,firefox, teamviewer etc peuvent être poussées dans programfiles, mais c'est plutôt les applications tierces par ci par la qui sont une infime minorité.
il faut que l'on puisse avoir une whitelist pour les mettre dedans.

je fais au cas par cas.
 
Faut juste ce souvenir que cette règle peut entrainer un blocage

 
Nous on n'a autorisé que Program Files et windows en gros.
 
On y a rangé tout ce qui dépassait et qu'on voulait conserver.
 
Le seul souci qu'on rencontre de temps en temps, c'est pour tous les webex et remote machin sans install.

GG
Ca fait rêver !

Kapersky à fait un guide de protection.
 
http://ml.kaspersky.com/c0203AMI0mHJ0nmNU0Taq00
 
Je ne sais pas si c'est déjà passé...

Merci

merci, c'est assez "commercial" quand même...

Bien sur que c'est un peu commercial Vont pas trop parler d'autres produits que le leur.
on a Locky qui commence a être un peu pénible, apparemment, en ce moment. Une enième vague....

Bonjour,
 
pour info la suite endpoint security de chez Stormshield bloque les ransomwares comme locky à priori.
 
source : https://www.stormshield.eu/fr/endpo [...] -security/

je viens aussi de lire un article sur locky :
http://korben.info/locky-quil-y-a- [...] oment.html
 
on l'a pas encore chopé mais ça ne saurait tarder !!

du coup, le BULLETIN D'ALERTE DU CERT-FR indique les URL à bloquer  
pour Locky :
http://www.cert.ssi.gouv.fr/site/C [...] index.html
 
et aussi qu'en bonne pratique, il faut activer Applocker ou SRP :
 
Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :
 
    Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
        OSDRIVE\Users\*\AppData\
        OSDRIVE\Windows\Temp\
    Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
        UserProfile\AppData
        SystemRoot\Temp

le trucs relou ce sont les effets de bords avec les applis légitimes  qui se foutent là dedans.
Faut faire des exceptions à chaque fois.

un truc interessant
 
http://www.it-connect.fr/fsrm-prot [...] ansomwares

interessant oui et non. On ne sait pas comment fonctionne locky ou les ransomwares de facon générale. Dans les commentaires de cet article on se pose la question de savoir ce que vont devenir les fichiers si ils sont mis en ram par locky, supprimés et ensuite non réécrits car pas le droit. Donc il faudrait tester avec un ransomware et cette méthode. Qui est volontaire ?

pas mal, mais en effet, la question se pose. qu'advient il de l'original, comme on ne bloque pas le process d'exécution du crypto, mais juste le fait d'écrire les fichiers cryptés sur le disque.
Mais là ou ça peut avoir de l'intéret, c'est d'avoir un mail immédiatement permettant d'identifier et isoler rapidement le poste infecté. (voir même avec la suite de script, bloqué l'utilisateur fautif, ce qui devrait empêcher le crypto d'attaquer plus qu'un seul et unique fichier sur la ressource partagée)  
Solution malheureusement pas envisageable chez moi, les partages étant du cifs sur baie NetApp....(par contre, je peux fouiller pour voir si ce genre de truc peut être piloter par un serveur windows "externe", ou par des outils netapp.....)

LEXSI propose un vaccin via la base de registre :  
 
https://www.lexsi.com/securityhub/c [...] are-locky/
 

Hier au jbo, un collègue arrivait plus à ouvrir un fichier sur le serveur, je zieute ça, tous les fichiers sont en *.locky, on a apris après que quelqu'un avait exécuté les macro d'un fichier Word reçu par mail...
 
Une grande galère, merci aux backup hors ligne pour prévenir ça, au final, une aprèm de perdu, backup du lundi restauré, plus de peur que de mal.

   
 
Au Taf on a utilisé cette méthode, mais au lieu d'un avertissement lors de la détection, on coupe la carte réseau.  
 
Ça fait un arrêt de prod mais bloque l'infection direct.  

Tu as juste à couper le poste contaminé, tu n'as pas besoin de couper toute la prod.

 
J'ai pas fait directement le script donc je sais pas Si on peut faire autrement.  
 
Mais comment couper l'accès au réseau d'un poste spécifique, une fois que tu as détecté qu'il y a un crypto ?

Si tu as un firewall sur ton serveur,  tu rajoutes une règle qui bloque l'ip du poste.
Sinon tu peux faire un script powershell qui coupe à distance la carte reseau du client

Edit : cf http://www.it-connect.fr/chapitres [...] owershell/

 
C'est justement le script powershell qui à partir du serveur coupe la carte réseau du poste distant que je voudrais  
 
La c'est un article pour couper la carte du serveur.  
 
Et je sais pas si la détection de l'extension nous donne le nom ou l'ip du poste infecté.  
 
Ya la session AD sur par contre

Les dernières versions du crypto disparaissent avec un simple reboot de la machine.

 
Non la dernière arrête le poste elle même mais il redémarrera pas ensuite
 
http://www.journaldugeek.com/2016/ [...] du-disque/

C'est intéressant le fonctionnement ce nouveau ransomware (Petya).
Suite au téléchargement de la pièce jointe par mail, on a l'uac qui s'active et qui demande à l'utilisateur s'il est sûr de vouloir lancer le programme.
Ensuite Petya ne crypte pas le disque mais modifie le MBR pour éxécuter un launcher et fait redémarrer le PC.
 
Si les antivirus arrivent à bloquer la menace à ce niveau là, ça devrait être bon.
Sinon il lance un scandisk au boot qui est un faux et qui crypte le disque.
Ensuite il affiche une tête de mort rouge qui clignotte au boot, ca devrait faire petit son effet sur les utilisateurs, et il demande de payer.
 
Je lisais que des gens essayaient de faire un fixmbr, cela va le réparer et supprimer le nouveau loader mais on aura toujours les données cryptées.
 
Avec ce nouveau type de ransomware, on ne pourra rien récupérer sur le poste.
Par contre l'avantage c'est qu'il ne semble que crypter le disque local et ne va pas chercher les partages réseaux.
Ce serait plus Ransomware destiné aux particuliers.

Voilà un truc bien vicieux, si tu as pas une image de ton PC sur un disque dur externe, tu es mal...

 
J'ai eu le cas ce soir au bureau, et aucun fichier n'a été touché sur notre fileserver et j'ai été prévenu automatiquement par mail, ce qui m'a permis d'identifier rapidement le PC infecté.

Ils sont admin de leur postes les users chez vous ?

Les cryptos fonctionnent très bien avec des droits standards.