Cyber-attaque en cours

Accueil Forums Partager avec la communauté Cyber-attaque en cours

Affichage de 15 réponses de 1 à 15 (sur un total de 23)
  • Auteur
    Réponses
  • #21038
    Avatar photoAZAMOS
    Modérateur

    Merci pour l'info :good:

    #21052
    Avatar photoAZAMOS
    Modérateur

    Re,

    Je double-post, je sais B-)

    Grace à ton alerte j'ai pu prendre les mesures préventives auprès de mes clients abonnés à la téléassistance, et je croise les doigts car tout se passe bien pour le moment.

    Encore un grand merci pour la veille de sécurité. :rose:

    En tout cas ces attaques et le battage médiatique auront eu le mérite d'alerter et éveiller les utilisateurs sur les bons gestes et précautions à avoir avec leur ordinateur. :good:

    merci!! merci!!  merci!!

    #21054
    Vulcain
    Participant

    Bonjour à tous,

    Ce matin sur BFM à l'annonce des précautions à prendre serait d'appliquer les correctifs pour éviter d'être atteint, mais comment appliquer un correctif sur un ransomware inconnu, une nouvelle attaque. Si c'est la même attaque que la précédente, oui le correctif de la précédente attaque aura fait barrage sinon non. C'est bien notre comportement et notre précaution dans l'utilisation d'un PC qui sera pour moi la meilleure solution et cela ne veux pas dire que les mises à jour et protection Firewall + Antivirus ne doit être appliqués, bien au contraire.

    Attention aux Email donc, les pièces jointes sont à surveiller. L'infection est ultra rapide puisqu'au niveau mondiale elle se propage en 10 minutes alors sur un poste local, c'est le temps d'un clic.

    Analyser tous fichiers tant en pièces jointes par Email que téléchargement, au moins avec Virustotal et votre protection. Cela ne veux toujours pas dire que vous serez à l'abri à 100%, mais limitera les dégâts.

    Très cordialement,
    Vulcain
    -------------------------------------------------------------
    Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !

    #21058
    Avatar photoG r e y Cat
    Participant

    Bonjour

    Je viens de voir que Microsoft préconise de désactiver le processus SMB1 sur Windows 10-8 et 7 .

    Ce serait efficace contre wannacry ? ! qu'en est 'il pour cette nouvelle attaque ?

    SMB1 est un protocole de partage d'imprimante et de fichier , donc il se peut que cela bloque sur certain réseau ( mais SMB1 serait obsolète !! ) par contre SMB2 et 3 ?

    Qu'en pensez vous ?

    :bye:

    #21060
    Vulcain
    Participant

    Oui effectivement, il est de mise de désactiver toutes synchronisations PC et partage, Androïd etc..

    Si votre téléphone est infecté, la synchro infecte le PC.

    Le souci est que cette nouvelle attaque ne se comporte pas contre celle d'y a 6 semaines, ce qui était bon il y a 6 semaines ne l'est plus.

    Très cordialement,
    Vulcain
    -------------------------------------------------------------
    Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !

    #21068
    Non abonné
    Participant

    Salut à tous,

    Voici ce que j'avais dans la boîte courriel de mon FAI !

    BitDefender qui saute sur l'opportunité suite au “ ransomware ” d'hier !

    Le service de protection de mon FAI est en partenariat avec BitDefender, l'occasion était trop belle !

    “ Marketing ”, “ Marketing ”, “ Marrrketing ” !  :yahoo:

    A+ :bye:

    Attachments:
    #21086
    D a r k s k y
    Participant

    :bye:

    Il y a au moins 5 entreprises en Belgique qui sont touchées aussi (dont TNT, qui n'a pas pu faire décoller ses avions ni livrer ses colis, ainsi qu'un transporteur maritime danois basé à Zeebruges).

    On sait que cette nouvelle attaque utilise la même faille que Wannacrypt, mais pas que celle-là.

    Elle utilise également d'autres moyens de diffusions.

    Encore une fois, et même si je comprend bien le soucis que peut poser une upgrade de système en entreprise, surtout niveau production, je suis toujours aussi "choqué" de voir que certaines (et pas des petites!) n'ont toujours pas appliqué le correctif déployé il y a 2 mois, ni mis en place une politique plus stricte au niveau de l'ouverture des pièces jointes dans les mails.

    Pour moi, au delà du profit escompté par ces attaques, j'y vois un préambule à quelque chose de plus gros à venir. Cette attaque a déjà permis de stopper l'alimentation en électricité dans quelques usines... Là aussi, ces systèmes sensibles étaient à la merci de tout ça... C'est affligeant!

    Quelques infos en vrac:

    Pour le reste, que ce soit la FCCU (Federal Computer Crime Unit, l'organisme de la police fédérale en charge de cette matière en Belgique), leurs homologues européens ou les sociétés de sécurité, ils en sont encore à l'analyse de l'impact et du ransomware pour en comprendre son fonctionnement complet.

    - "Il ne savaient pas que c'était impossible, alors ils l'ont fait" - M.Twain

    Image

    #21089
    Avatar photoAZAMOS
    Modérateur

    comme tu le dis si bien Darksky c'est à peine pensable que les services informatique de ces boites n'aient pas réagit, au moins par l'application des patchs et mises à jour du système.

    Après peut-être que certains ont été bloqués par leur hiérarchie ("faut pas arrêter la prod !"), ou bien les tech ont préférés préserver leurs soirées et weekend pour les passer en famille (là ça sent la porte direct).

    Le maillon faible dans tout cela c'est la personne qui ouvre le mail et sa pièce jointe : après pas toujours facile de faire un tri dans les dizaines/centaines de mails quotidiens, surtout dans les boites à l'internationale où toutes les langues sont utilisées :unsure:

    Dans les quelques boites où j'ai fais des infos sécurité j'en remarque qui ont les mêmes mauvaises habitudes.... Il y a du mieux toujours après la séance, mais les recommandations ne sont pas toujours suivies par certains, par inconscience ou tout simplement parce que "c'est plus simple comme cela". :-(

    #21090
    Avatar photoAdmin-Christ
    Maître des clés

    Lien utile : https://www.tech2tech.fr/comment-bloquer-le-ransomware-petya-notpetya/

    Les sujets non suivis sont supprimés au delà de 7 jours d'inactivité.

    #21092
    D a r k s k y
    Participant

    C'est vrai.

    Ceci-dit, mis à part pour quelques personnes, là où je bosse, tout ce qui est en .exe et autres formats courants comportant un risque, tout est supprimé quand ça arrive par mail. Il arrive parfois qu'un document nécessaire soit ainsi filtré, mais ça reste marginal par rapport aux bénéfices que ça apporte.

    Un des 300PC de mon administration a été touché l'année passée par un ransomware. Heureusement, il ne s'est pas propagé et c'était l'utilisatrice en "faute", elle est passée outre les avertissements de l'antivirus (Eset) pour aller ouvrir une pièce jointe qui pointait sur Dropbox.

    Depuis,, que ce soit dropbox ou les pièces jointes, y a plus moyen d'y accéder :unsure: Et c'est pareil pour pas mal d'autres sites d'ailleurs, le pare-feu ayant été changé au niveau du serveur.

    - "Il ne savaient pas que c'était impossible, alors ils l'ont fait" - M.Twain

    Image

    #21093
    Vulcain
    Participant

    Bonjour

    J'ai eu aussi le mail de bitdefender et je suis maintenant SFR.

    Il a fallu que cela devienne au niveau mondial pour que les médias en parlent mais combien de particulier se sont fait avoir avant ça.

    Très cordialement,
    Vulcain
    -------------------------------------------------------------
    Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !

    #21094
    Avatar photoAZAMOS
    Modérateur

    Merci Christophe pour le lien :good:

    @ Darsky : l'utilisatrice (teur), le maillon faible, comme toujours :scratch: . T'as beau interdire, prévenir, mettre des messages en plein écran disant "non, touche pas p'tit con", il/elle ignorera et foncera tête baissée.... :negative:

    #21095
    Vulcain
    Participant

    Je veux bien mais sous windows le fichier C:\Windows\perfc.dll n'existe pas, alors pourquoi que le ransomware chercherait un fichier qui n'existe pas d'origine sous l'OS.

    re

    D'après ce que je viens de lire sur divers sites, il crée le fichier et que tout serait basé là dessus, que le ransomware ne serait pas un ramsomware pointu et crée seulement pour la panique.

    Bon, je ne sais pas vous, mais je pense qu'à ce jour les pro de la sécurité émettent des hypothèses et n'en savent pas grand chose.

    Nous devons attendre pour en savoir plus.

    Donc on garde son calme et restons prudent

    Très cordialement,
    Vulcain
    -------------------------------------------------------------
    Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !

    #21193
    D a r k s k y
    Participant

    :bye:

    De nouvelles infos, à prendre au conditionnel toujours:

    Petrwrap ne serait pas un ransomware, mais un "wiper". Son but n'est pas de chiffrer les données, et obtenir une rançon, mais bien d'effacer et rendre inopérants les systèmes.

    Kaspersky ainsi que d'autres acteurs de la sécurité ont continué et continue d'analyser le code, et ils se sont aperçu que d'emblée, Petrwrap efface les 25 premiers blocs du disque, ce qui fait que les auteurs même du malware ne peuvent pas décrypter les données qui sont chiffrées par leur bestiole.

    Il semble donc bel et bien que l'attaque avait (ait) pour but de paralyser des systèmes, et non en obtenir une rançon.

    D'ailleurs, le fait que l'adresse mail des pirates apparaisse en clair (ce qui a permis de la neutraliser rapidement), que le porte feuille bitcoin des pirates soit unique (ce qui permet de les tracer rapidement) tant à prouver qu'ils se fichaient pas mal de la rançon, puisque tout a permis de bloquer cette rançon.

    On est donc bien, visiblement, dans un autre type d'attaque, bien différente de wannacrypt, d'autant plus que tout était fait pour que Petrwrap se propage rapidement. Des explications de son fonctionnement et de sa méthode de propagation ici: https://news.drweb.fr/show/?i=11351&c=5&lng=fr&p=0

    Bref, restez prudent, faite des copies de sauvegarde de vos données !, n'ouvrez pas n'importe quoi, faite des copies de sauvegarde de vos données !, mettez à jour vos systèmes d'exploitations, même les anciens (vista et XP) qui ont une mise à jour proposée tout exprès, faite des copies de sauvegarde de vos données ! 

    P.S: à l'heure actuelle, et depuis quasi le début en fait de ce type de saloperies, seul Windows est fortement impacté... Les ransomware ciblent Windows, le système de fichiers NTFS, etc.. Il y a bien eu des tentatives sur GNU-Linux, mais c'était codé avec les pieds, ça a mis 2h aux experts pour trouver la clés, et au final y a pas grand chose qui atteint le système (gestion des droits différente, déjà). On est pas à l'abri, que ce soit clair, mais on est clairement plus tranquille sur GNU-Linux :whistle:

    - "Il ne savaient pas que c'était impossible, alors ils l'ont fait" - M.Twain

    Image

    #21213
    Avatar photoAZAMOS
    Modérateur

    Pour info : le logiciel de mise à jour de pilote que j'ai présenté sur Le Garage du PC permet de vérifier et d'installer les 3 correctifs édités par Microsoft, comme vous pouvez le voir sur la capture mise en EDIT tout en bas (on en vois que 2 là, la capture ayant quelques semaines maintenant) : https://legaragedupc.fr/driverpack-solution-installeur-pilotes-performant-azamos/

    Cela fonctionne pour toutes les édition de Windows, d'XP à Windows 10 ;-)

Affichage de 15 réponses de 1 à 15 (sur un total de 23)
  • Vous devez être connecté pour répondre à ce sujet.