Reprise du message précédent :
Les cryptos fonctionnent très bien avec des droits standards.

Il me semble pas qu'il fait avoir les droit d'admin pour exécuter une macro sur Word, ni pour ouvrir le fichier.

 
Non.

Je pensais que Petya utilisait des droits admin pour arriver à modifier le mbr.

J'ai pas encore vu ce que donne Petya mais effectivement il doit utiliser les droits admin.

Perso ce soir c'était encore une attaque de Locky.

Locky s'attarde encore un peu Nous avons à nouveau une recrudescence de mail pourris Invoice & Co mais pour le moment (je touche du bois) la com que l'on fait désormais très régulièrement semble porter ses fruits chez nos users.
Petya me fait un peu moins peur, bien qu'une belle cochonnerie, je pense que les lecteurs réseaux devraient être épargnés. (et les users, sauf exception très ciblée, ne sont pas admin)

Petra, au contraire de Locky qui cible les entreprise, devrait cibler les particuliers.  
 
Vu qu'il chiffre le disque entier (donc plus de Windows, plus de soft...) sans parler des pertes de donnés, c'est beaucoup de temps de perdu pour remette le poste en état.

Un truc bête,  si on utilise un disque dur crypté,  petra recrypte les données cryptés  ou ne fonctionne pas ?

bah, remettre un poste en état, c'est reclaquer une image, repersonnaliser deux trois trucs, c'est torché en 1h avec les larmes de l'utilisateur en prime qui a perdu les dernières photos de vacance avec Mamie Gertrude.
Actuellement, le ciblage est mixte. Certes, la méthode touche plus le particulier, mais la diffusion est aussi massive que le reste, vont pas s'emmer... à filtrer les envois juste aux particuliers
 
Bonne question Com21.... d'un côté je me dis qu'il n'y a pas de raison qu'il ne puisse pas crypter les données, l'infection se faisant post boot....à partir du moment ou tu entre ton mdp pour décrypter le DD et executer l'OS, les données sont vulnérables, non ? (j'avoue que c'est un domaine ou mes compétences sont au raz des pâquerettes)

 
En entreprise, je veux bien, mais pour un particulier, j'en connais pas beaucoup qui font des images de leur systèmes, qui sont stocké sur un support externe.
 
Je redoute de voir un message d'un pote / amis / connaissance "help, j'ai un écran rouge au démarrage de mon PC, je peux rien faire, je comprend pas..."

Je ne pense pas que le disque crypté va empêcher Petya de fonctionner.

 
 
Et surtout pour une entreprise qui a des centaines de clients différents, si plusieurs dizaines de postes le chope en même temps, faut du temps pour envoyer des techs sur place ou ghoster chaque postes à distance.  
 

d’où l’intérêt de sensibiliser aussi les clients (et amis, qui parfois prennent au sérieux les conseils des potes dont c'est réellement le métier) sur les risques et les délais de remise en route....parfois un peu de comm peut éviter pas mal de boulot.

Le plus grand ami du cryptolocker est la personne réfractaire à l'informatique.
Tu as beau lui expliquer qu'il faut faire attention, elle s'en fiche, l'informatique ne l’intéresse pas et elle n'a pas l'intention de changer.
Et on rencontre ce problème chez un grand nombre de clients.
Quand je trouve la personne qui a lancé le crypto, je dis que ce serait bien d'aller lui expliquer, on m'a souvent répondu que c'était peine perdue.

C'est pas faux, donc nous on a une autre politique :
milieu professionnel = conscience professionnelle = respect des règles = charte informatique = direction impliquée
Et si problème, on remonte que l'utilisateur ne respecte pas ces principes et il se prend un avertissement
 
Ca c'est parce que je suis en interne, mais effectivement dans le cas de prestataires extérieurs, ça peut être plus compliqué....

même en interne sans volonté du DSI et de la direction...

 
Je fais aussi pareil.  
 
Au début je m'étais mis tous les utilisateurs à dos de ceux qui y connaissent rien, ou qui voulait rien savoir. Ceux qui s'y connaissent un peu, ont vite compris que j'avais raison. Faut dire que le fait de passer tous les postes sans droit admin, plus des règles au niveau du firewall/proxy très drastiques, plus une nouvelle charte informatique, forcément, cela plait pas à tout le monde. Mais en attendant, je suis pas dérangé toutes les 5 minutes pour des problèmes, et tout le monde est content que tout fonctionne correctement sans problèmes majeur.
Je suis le premier à être content d'aider les utilisateurs, mais si c'est pour qu'ils fassent qu'à leurs tête, c'est pas la peine. Surtout que certains se font un malin plaisir à faire n'importe quoi
 
Si évidemment votre DSI et direction s'en fou, là c'est problématique. Mais avec tous les cryptolocker qui se trainent, et tous les autres dangers potentiels c'est un comportement irresponsable. Et pour moi, la productivité du salarié, augmente en flèche.

Personne n'a testé la protection via FSRM ?

étant une buse ici ,

il n'y à pas moyen de faire une whitelist des fichiers exécutable & des mails consultables (domaine ) ?

comme dans les boites mail ,plutôt que blacklisté les possibles dangereux
faire l'inverse ,tout interdire
sauf les exécutables/fichiers  / contacts de l'entreprise.
après un contrôle crc ou md3 ?

après dans le monde de l'entreprise :
interdiction de consulté ses mails perso sur réseau de l'entreprise
avertissement -> la porte ...

après collé 2 gus à la porte ,la leçon va être retenue ....

Sauf que même dans le monde de l'entreprise, tu n'as pas le droit d'interdire la consultation de mails perso. : vie privée résiduelle , arrêt Nikon

Tu peux tout à fait bloquer l'accès à d'autres messageries que celles d'entreprise.
Tu donnes accès à ce que tu veux.
 
Par contre le salarié peut échanger, dans la limite du raisonnable, des emails perso avec la messagerie d'entreprise. Ces derniers doivent être formatés d'une certaine manière sinon ils sont réputés professionnels.

Merci et désolé je l'ai pas vu passé, du coup autres questions    :
Ta stratégie est la liste blanche ou la liste noire?
Ton volume est il dédié aux partages seulement ou d'autres systèmes tournes dessus?
As tu mesuré un impact sur les perfs?
 
D'avance merci pour ton retour  

 
Ma stratégie est la liste noire, ça tourne sur un fileserver et je ne vise que les dossiers partagés.  
 
Il n'y a pas eu d'impact sur les perfs (du moins pas ressenti).

Samsam est intéressant aussi, il utilise des vulnérabilités (JBOSS notamment) pour infiltrer un serveur web depuis le net, puis scanne les IP en DMZ pour trouver des serveurs Windows accessibles.
 
Les autres comme Locky utilisent aussi des vulnérabilités, Flash notamment, mais c'est via des exploit-kits (Angler par exemple). Ce qui est peut-être pire au final: infecté sans aucune action autre que seulement visiter une page web piégée.
 
Les ransomwares ont beaucoup évolué depuis le virus gendarmerie, mais ils n'ont pas fini. Un de ces 4 on va voir apparaître un ransomware qui utilise une 0day...

Un ransomware sur un vers  qui utilise un 0 day  

Ce que je redoute le plus (et j'dois pas être le seul )

Petya vaincu :

http://www.linformaticien.com/actu [...] petya.aspx

j'allais le poster !
 

drap !

On a eu deux cas, merci aux users qui font pas gaffe malgré la prévention...

Heureusement on avait investit dans du bon gros back up installé 3 mois avant la première attaque... ouf !

Pour s'amuser avec un poto de formation on a mis un cryptolocker sur un XP virtualisé depuis un MacOSx en cliquant un peu partout sur le net. Édifiant.

edit : et on a eu une fausse alerte encore aujourd'hui, un user qui clique sur un lien dans un mail inconnu.

http://hightech.bfmtv.com/internet [...] 75981.html

L'article est "rassurant" jusqu’à cette phrase : "Au premier trimestre 2016, Kaspersky a détecté 372.602 attaques de ransomwares, soit 30 % de plus qu'au trimestre précédent."
 
C'est impressionnant une évolution aussi importante en si peu de temps.  

ça ne m'étonne guère, c'est le truc à la mode, c'est facile à faire (ils ont des générateur de variante) et ça rapporte des sous.
Il y a des mafias derrière.

Si cela peut en aider certains, FSRM fait pas mal son boulot a condition de maintenir les listes a jours.
 
http://www.it-connect.fr/fsrm-prot [...] nsomwares/
 
Bien sur cela n'empeche pas les traditionnels clichés/antivirus/antispam/sauvegarde physique

intéressant cette technique mais comme demandé dans les commentaires est ce que d’empêcher la création du fichier crypter empêche de supprimer l'original ?
 
mise a part la prévention, qui est toujours obligatoire, quelles autres solitions utilisez vous ?
il y a Malwarebytes Anti-Ransomware en beta, quelqu'un a deja testé ?

 
cela genere une exception non prévu au niveau du programme, de ce fait il plante.
cela étant dit, un malin peut gérer ce genre d'exeption et recourir a un plan b.

 
Oui, mis en place au taf, les fichiers originaux ne sont pas touchés.

top merci on va tenter ca comme parade alors

drap.

édit: ca serait cool de pouvoir executer un script powershell avec la détection de l'outil FSRM. Comme ça en cas d'infection -> désactivation du compte. j'ai vu un onglet 'Commande', c'est peut être ça.

 
ça existe deja :
 
https://gallery.technet.microsoft.c [...] r-f3722fce