[FRnOG] [TECH] Cryptolock et sauvegardes

[Michel Py]

>>> Louis a écrit :
>>> Règle sur le proxy : - interdire de se connecter via une IP sans utiliser 
>>> des noms dns
>>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres 
>>> que 443)
>> Michel Py a écrit : 
>> Impossible à mettre en pratique dans le monde réel.
> Radu-Adrian Feurdean a écrit :
> Ah bon ? Pendant presque 12 mois j'utilisais une roccade dedie(*) pour ne pas 
> etre assujeti a exactement ca.

Justement, c'est quand tu commences à mettre en place un filtrage trop 
restrictif que les utilisateurs trouvent des solutions créatives pour le 
contourner. Pareil que l'email : quand utiliser l'email du bureau devient trop 
chiant et que tes utilisateurs commencent à utiliser gmail sur leur mobile (par 
exemple parce qu'ils peuvent attacher des fichiers "louches") c'est 
contre-productif à la sécurité.

Maintenant il y a des clés USB qui ont aussi le connecteur pour le mobile (OTG) 
ou le petit câble qui va bien, une bonne sécurité c'est aussi celle qui 
n'incite pas tes utilisateurs à la contourner pour des raisons légitimes. Tu 
peux pas complètement désactiver USB, il y aura toujours une raison pour s'en 
servir "j'étais à un séminaire et ils ont donné tout les fichiers sur une clé 
USB avec leur logo".


>> Ou sur disque amovible avec quelque chose de physique pour protéger 
>> l'écriture, comme les RDX.
> On parle de disque amovible connecte en USB, prealablement desactive (voir 
> quelques lignes plus haut) ?

J'utilise çà :
http://www.backupworks.com/tandberg-rdx-quikstor.aspx (HP, Imation etc c'est 
tous les mêmes).
Le média n'est qu'un disque dur 2.5" de laptop avec un firmware propriétaire 
dans une boite en plastique. Le "drive" ou docking station ne contient presque 
rien qu'une carte USB/SATA et un petit moteur électrique pour l'éjection.

Et oh miracle sur la cartouche il y a un onglet en plastique pour protéger 
contre l'écriture, que le drive détecte.

Ca a 3 inconvénients :
- Le prix : par Giga çà coute environ 2 fois et demi le prix d'un disque dur nu 
(c'est comme les disques dans les trays Dell ou HP, en pire). C'est du 
plastique très cher, le disque lui-même étant un Seagate ou un Western Digital 
tout à fait classique.
- On ne peut pas mettre de disque dur "standard" (firmware propriétaire 
indispensable).
- Il n'y a que 2.5", limité en capacité par rapport au 3.5" qui se trouve 
maintenant en 6 Gigas et 8 Gigas.

Yàkà faire une version libre !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[frnog . kapush]

On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net wrote:
> Bonsoir,
> 
> On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
> > L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque
> > personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
> > moins cette attaque sera profitable, Ce qui est encore le meilleur moyen
> > de défense contre ce type d'attaque.
> 
> Pas vraiment d'accord, si la machine est compromise le rançongiciel est
> toujours capable de faire des dégâts et de ruiner la productivité d'une
> personne ou entreprise.

Se servir d'un rançongiciel pour saboter discrètement une entreprise c'est une 
utilisation inhabituelle de ce type d'attaque. Pour l'instant l'analyse du 
marché indique que la motivation dérrière les rançongiciels c'est de rapporter 
de l'argent, à la fois au programmeur qui le vends et aux escrocs qui s'en 
servent.

Pour ça il faut que les victimes payent la rançon, ce qui n'arrive pas quand 
on a une sauvegarde à restaurer. Le sabotage est un effet de bord qui ne 
rapporte pas d'argent en soi et donc n'intéresse pas les opérateurs actuels.

Dans tous les cas, avoir des sauvegardes limite les dégats.

Le rançongiciel laisse deux options:
 1. payer et espérer récupérer ses données
 2. renoncer à ses données et réinstaller
Avoir une sauvegarde et un plan d'action prédéfini ça rajoute une troisième 
option:
 3. restaurer le système et les données les plus récentes

> Suffit d'une toute petite variante pour ça, et
> une autre variante consistera à menacer d'envoyer tes fichier à tes
> concurrents ou les publier sur le net. Tes archives ne te protégeront
> pas de ça.

Chiffrer indistinctement les fichiers d'une machine et identifier les fichiers 
ayant de la valeur et de les transférer sur un serveur distant, ce n'est pas 
une petite variante, c'est même un tout autre type d'attaque qui existe depuis 
bien longtemps, la plus connue étant les numéros de carte bancaires.

 
> La sécurité c'est plusieurs volets : pas seulement la disponibilité des
> données mais aussi qu'elles soient disponibles au bon moment et pour la
> bonne personne.

Je parlais quand à moi du volet "quand le désastre est survenu malgré les 
mesures de prévention", c'est à dire quand les données ne sont plus 
disponibles et qu'il faut rétablir tout ça dans un délai le plus court 
possible.
 
> > C'est le même principe que pour la surveillance globale, plus les
> > internautes auront recours au chiffrement et plus le coût de cette
> > surveillance augmente, diminuant de fait son intérêt.
> 
> Pas d'accord non plus. Quand tout le monde chiffrera ses communications
> les gouvernements qui le voudront ne cesseront pas de surveiller mais
> interdiront (comme c'était le cas il y a quelques années encore en France
> avec la limitation des tailles des clés autorisées) les pratiques de
> chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
> que ceux qui disposent de la puissance publique (ou financière) gagneront,
> et donc probablement une erreur pour les autres de l'encourager ou de la
> hâter puisqu'ils arriveront certainement perdants.

Si tu as suivi un peu l'actualité politique mondiale, les gouvernements n'ont 
pas attendu que tout le monde ait recours au chiffrement, ils sont déjà en 
train d'essayer de contrôler le chiffrement.

Le but n'est pas de se débarasser de la surveillance gouvernementale (pour ça 
il faudrait se débarasser du gouvernement), il s'agit de réduire la 
surveillance globalisée, tout enregistrer tout le temps, pour revenir a de la 
surveillance ciblée.  Il est plus rentable de casser le chiffrement de cibles 
définies que de casser le chiffrement de toutes les communications pour en 
extraire celles qui nous intéressent. Un retour à la présomption innocence.

Si tu te souviens du passage de la hadopi, la NSA s'était opposée à cette loi 
parce qu'elle risquait de pousser la population a avoir recours au 
chiffrement:
http://www.generation-nt.com/hadopi-cryptologie-service-renseignement-chiffrement-actualite-1094171.html
 
> Juste mon avis perso.
> 
> Regards,
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Clement Cavadore]

On Mon, 2016-03-07 at 21:54 +0100, Radu-Adrian Feurdean wrote:
> > > Règle sur le proxy : - interdire de se connecter via une IP sans
> utiliser des noms dns
> > > - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> autres que 443)
> > 
> > Impossible à mettre en pratique dans le monde réel.
> 
> Ah bon ? Pendant presque 12 mois j'utilisais une roccade dedie(*) pour
> ne pas etre assujeti a exactement ca.

+1 :-)

On ne limite pas l'accès au net à un réseauteux ! 
Il est forcément plus con(pétant) que le responsable bureautique :-))

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Radu-Adrian Feurdean]

On Mon, Mar 7, 2016, at 18:28, Michel Py wrote:
> > Louis a écrit :
> > Règle sur le proxy : - interdire de se connecter via une IP sans utiliser 
> > des noms dns
> > - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres 
> > que 443)
> 
> Impossible à mettre en pratique dans le monde réel.

Ah bon ? Pendant presque 12 mois j'utilisais une roccade dedie(*) pour
ne pas etre assujeti a exactement ca.

(*) j'evite le terme cross-connect car batiment de bureaux.

> > - désactiver autorun sur tous les PC pour éviter de se faire véroler par 
> > clé USB
> 
> Oui, il y a des antivirus qui font çà automatiquement.
> 
> > évidemment faire aussi des sauvegardes et mettre ses archives en read-only 
> > (sans droits pour les remettre en read-write)
> 
> Ou sur disque amovible avec quelque chose de physique pour protéger
> l'écriture, comme les RDX.

On parle de disque amovible connecte en USB, prealablement desactive
(voir quelques lignes plus haut) ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[GIRARDI, Nicolas]

Neoload de Neotys. (Payant)
Avec les agents côté serveur pour corréler les metrics avec la charge.

> Le 7 mars 2016 à 20:33, Raphael Jacquot  a écrit :
> 
> 
> 
> Le 07/03/16 19:40, Michel Py a écrit :
>> Bonjour à tous,
>> 
>> Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de 
>> chargement d'une page web ?
> 
> tu as l'onglet "network" dans le debugger intégré de firefox qui fait ca
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[Raphael Jacquot]

Le 07/03/16 19:40, Michel Py a écrit :

Bonjour à tous,

Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de chargement 
d'une page web ?


tu as l'onglet "network" dans le debugger intégré de firefox qui fait ca


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[Raphael Luta]

Le meilleur outil sur le sujet est http://www.webpagetest.org qui te permet de 
faire tes tests depuis plusieurs points dans le monde avec des profils bande 
passante/latence spécifiques, faire un filmstrip, tester des scenarios de panne 
partielle, etc...

En outil à installer en local, les profilers Firefox et Chrome sont bien, tu 
peux installer sitespeed.io en plus si tu veux un diagnostic un peu plus en 
profondeur.

-- raphael

> Le 7 mars 2016 à 19:40, Michel Py  a 
> écrit :
> 
> Bonjour à tous,
> 
> Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de chargement 
> d'une page web ?
> 
>> L'Internet est lent !
> 
> Plein de bande passante, et c'est seulement certaines pages qui sont lentes. 
> Je cherche un logiciel qui permettrait d'identifier quels sont les éléments 
> de la page en question qui ralentissent le chargement, combien de requêtes 
> sont envoyées, etc. Gratuit ou abordable de préférence. C'est OK si çà 
> demande de sniffer, par exemple un add-on de Wireshark ou autre qui nécessite 
> de spanner un port serait acceptable.
> 
> Merci
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[Solarus]

Le 07/03/2016 19:40, Michel Py a écrit :
> Plein de bande passante, et c'est seulement certaines pages qui sont lentes. 
> Je cherche un logiciel qui permettrait d'identifier quels sont les éléments 
> de la page en question qui ralentissent le chargement, combien de requêtes 
> sont envoyées, etc. Gratuit ou abordable de préférence
Ctrl+Maj+K sous Firefox, ça marche pas mal.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[Leo Gaspard]

On 03/07/2016 07:40 PM, Michel Py wrote:
> Bonjour à tous,
> 
> Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de chargement 
> d'une page web ?

Firefox a un analyseur built-in. Ctrl-Maj-I, onglet Network, recharger
la page et il affiche le graphe des chargements de ressources.

Bon courage !
Léo Gaspard

>> L'Internet est lent !
> 
> Plein de bande passante, et c'est seulement certaines pages qui sont lentes. 
> Je cherche un logiciel qui permettrait d'identifier quels sont les éléments 
> de la page en question qui ralentissent le chargement, combien de requêtes 
> sont envoyées, etc. Gratuit ou abordable de préférence. C'est OK si çà 
> demande de sniffer, par exemple un add-on de Wireshark ou autre qui nécessite 
> de spanner un port serait acceptable.
> 
> Merci
> Michel.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[DiDi Abaric]

Firebug plugin sur firefox fait ça.

Généralement tu trouvera un image en HD sur un serveur merdique qui bloque
le chargement du reste de la page.
Le 7 mars 2016 19:43, "Michel Py"  a
écrit :

> Bonjour à tous,
>
> Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de
> chargement d'une page web ?
>
> > L'Internet est lent !
>
> Plein de bande passante, et c'est seulement certaines pages qui sont
> lentes. Je cherche un logiciel qui permettrait d'identifier quels sont les
> éléments de la page en question qui ralentissent le chargement, combien de
> requêtes sont envoyées, etc. Gratuit ou abordable de préférence. C'est OK
> si çà demande de sniffer, par exemple un add-on de Wireshark ou autre qui
> nécessite de spanner un port serait acceptable.
>
> Merci
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[Michel Py]

Bonjour à tous,

Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de chargement 
d'une page web ?

> L'Internet est lent !

Plein de bande passante, et c'est seulement certaines pages qui sont lentes. Je 
cherche un logiciel qui permettrait d'identifier quels sont les éléments de la 
page en question qui ralentissent le chargement, combien de requêtes sont 
envoyées, etc. Gratuit ou abordable de préférence. C'est OK si çà demande de 
sniffer, par exemple un add-on de Wireshark ou autre qui nécessite de spanner 
un port serait acceptable.

Merci
Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

http://www.lemagit.fr/actualites/4500278093/Locky-des-alertes-lancees-trop-tard-en-France

Sinon, quand on a 50k$ à claquer, FireEye semble réussir à contrer les 
Cryptolocker. J’ai bien dit « semble » :)

> Le 7 mars 2016 à 19:12, Pascal Allochon (pallocho)  a 
> écrit :
> 
> Hi Tous.
> 
> Ceci date un poil..mais la comprehension des Ransomware est identique et
> ce que nous voyons ces derniers temps est presque aussi identique à ce
> qu¹il y a sur le lien ci-dessous (un autre en plus de mon email precedent).
> http://blog.talosintel.com/2015/01/ransomware-on-steroids-cryptowall-20.htm
> l
> 
> Mais n¹oubliez pas que le RansomWAre est vraiment très, très used par les
> méchants petits hackers..Ceci est à prendre en compte comme une attaque,
> pas comme un « gentil" virus qui transite sur vos laptops ou email
> Gateways.
> Des Variantes arrivent tous les jours avec des nouvelles fonctions capable
> d¹évoluer avec par exemple des ajouts de capacités d¹évitement de Sandbox
> du sleepers etc...
> Ceci rend donc l¹analyse et la contre-mesure très difficile et complexe.
> L¹identification et l¹arrêt des ces variantes nécessité une approche
> multi-coucheŠ
> Cette approche multi-couche, permet le blocage des emails avec ce type de
> malware (blocage des connexions rsx), ainsi que l¹arrêt des activités des
> processus malveillants pour lutter efficacement pour les ransomwares.
> 
> Bon courage,
> 
> 
> Pascal,
> 
> Think before you print.This email may contain confidential and privileged
> material for the sole use of the intended recipient. Any review, use,
> distribution or disclosure by others is strictly prohibited. If you are
> not the intended recipient (or authorized to receive for the recipient),
> please contact the sender by reply email and delete all copies of this
> message.
> Please click here 
>  for
> Company Registration Information.
> 
> 
> 
> 
> 
> On 07/03/2016 18:04, "frnog-requ...@frnog.org on behalf of Sylvain
> Vallerot"  wrote:
> 
>> -BEGIN PGP SIGNED MESSAGE-
>> Hash: SHA256
>> 
>> Bonsoir,
>> 
>> On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
>>> L'éfficacité de l'extorsion par rançongiciel exploite le fait que
>>> presque 
>>> personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
>>> moins 
>>> cette attaque sera profitable, Ce qui est encore le meilleur moyen de
>>> défense 
>>> contre ce type d'attaque.
>> 
>> Pas vraiment d'accord, si la machine est compromise le rançongiciel est
>> toujours capable de faire des dégâts et de ruiner la productivité d'une
>> personne ou entreprise. Suffit d'une toute petite variante pour ça, et
>> une autre variante consistera à menacer d'envoyer tes fichier à tes
>> concurrents ou les publier sur le net. Tes archives ne te protégeront
>> pas de ça.
>> 
>> La sécurité c'est plusieurs volets : pas seulement la disponibilité des
>> données mais aussi qu'elles soient disponibles au bon moment et pour la
>> bonne personne.
>> 
>>> C'est le même principe que pour la surveillance globale, plus les
>>> internautes 
>>> auront recours au chiffrement et plus le coût de cette surveillance
>>> augmente, 
>>> diminuant de fait son intérêt.
>> 
>> Pas d'accord non plus. Quand tout le monde chiffrera ses communications
>> les gouvernements qui le voudront ne cesseront pas de surveiller mais
>> interdiront (comme c'était le cas il y a quelques années encore en France
>> avec la limitation des tailles des clés autorisées) les pratiques de
>> chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
>> que ceux qui disposent de la puissance publique (ou financière)
>> gagneront, 
>> et donc probablement une erreur pour les autres de l'encourager ou de la
>> hâter puisqu'ils arriveront certainement perdants.
>> 
>> Juste mon avis perso.
>> 
>> Regards,
>> -BEGIN PGP SIGNATURE-
>> Version: GnuPG v1
>> 
>> iF4EAREIAAYFAlbdtJgACgkQJBGsD8mtnRGIrAD9FwMFZEuKEcO04n9b525fPy14
>> KaGakAG1/z2oX4pFZ8AA/0Whwgz5ufUrtuAkKWEeXDXA4WqLiXC+Z/9mVDGbZx+x
>> =J6AU
>> -END PGP SIGNATURE-
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Pascal Allochon (pallocho)]

Hi Tous.

Ceci date un poil..mais la comprehension des Ransomware est identique et
ce que nous voyons ces derniers temps est presque aussi identique à ce
qu¹il y a sur le lien ci-dessous (un autre en plus de mon email precedent).
http://blog.talosintel.com/2015/01/ransomware-on-steroids-cryptowall-20.htm
l

Mais n¹oubliez pas que le RansomWAre est vraiment très, très used par les
méchants petits hackers..Ceci est à prendre en compte comme une attaque,
pas comme un « gentil" virus qui transite sur vos laptops ou email
Gateways.
Des Variantes arrivent tous les jours avec des nouvelles fonctions capable
d¹évoluer avec par exemple des ajouts de capacités d¹évitement de Sandbox
du sleepers etc...
Ceci rend donc l¹analyse et la contre-mesure très difficile et complexe.
L¹identification et l¹arrêt des ces variantes nécessité une approche
multi-coucheŠ
Cette approche multi-couche, permet le blocage des emails avec ce type de
malware (blocage des connexions rsx), ainsi que l¹arrêt des activités des
processus malveillants pour lutter efficacement pour les ransomwares.

Bon courage,


Pascal,

 Think before you print.This email may contain confidential and privileged
material for the sole use of the intended recipient. Any review, use,
distribution or disclosure by others is strictly prohibited. If you are
not the intended recipient (or authorized to receive for the recipient),
please contact the sender by reply email and delete all copies of this
message.
Please click here 
 for
Company Registration Information.





On 07/03/2016 18:04, "frnog-requ...@frnog.org on behalf of Sylvain
Vallerot"  wrote:

>-BEGIN PGP SIGNED MESSAGE-
>Hash: SHA256
>
>Bonsoir,
>
>On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
>> L'éfficacité de l'extorsion par rançongiciel exploite le fait que
>>presque 
>> personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
>>moins 
>> cette attaque sera profitable, Ce qui est encore le meilleur moyen de
>>défense 
>> contre ce type d'attaque.
>
>Pas vraiment d'accord, si la machine est compromise le rançongiciel est
>toujours capable de faire des dégâts et de ruiner la productivité d'une
>personne ou entreprise. Suffit d'une toute petite variante pour ça, et
>une autre variante consistera à menacer d'envoyer tes fichier à tes
>concurrents ou les publier sur le net. Tes archives ne te protégeront
>pas de ça.
>
>La sécurité c'est plusieurs volets : pas seulement la disponibilité des
>données mais aussi qu'elles soient disponibles au bon moment et pour la
>bonne personne.
>
>> C'est le même principe que pour la surveillance globale, plus les
>>internautes 
>> auront recours au chiffrement et plus le coût de cette surveillance
>>augmente, 
>> diminuant de fait son intérêt.
>
>Pas d'accord non plus. Quand tout le monde chiffrera ses communications
>les gouvernements qui le voudront ne cesseront pas de surveiller mais
>interdiront (comme c'était le cas il y a quelques années encore en France
>avec la limitation des tailles des clés autorisées) les pratiques de
>chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
>que ceux qui disposent de la puissance publique (ou financière)
>gagneront, 
>et donc probablement une erreur pour les autres de l'encourager ou de la
>hâter puisqu'ils arriveront certainement perdants.
>
>Juste mon avis perso.
>
>Regards,
>-BEGIN PGP SIGNATURE-
>Version: GnuPG v1
>
>iF4EAREIAAYFAlbdtJgACgkQJBGsD8mtnRGIrAD9FwMFZEuKEcO04n9b525fPy14
>KaGakAG1/z2oX4pFZ8AA/0Whwgz5ufUrtuAkKWEeXDXA4WqLiXC+Z/9mVDGbZx+x
>=J6AU
>-END PGP SIGNATURE-
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Cryptolock

[Michel Py]

> David Ponzone a écrit :
> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
> exe, bat, cmd, msi, etc….
> ainsi que le téléchargement de fichiers du même type.

Efficace mais impossible dans la plupart des organisations. C'est valable pour 
les geeks, tu renommes toto.zip toto.zip.xxx avant de l'envoyer,
Impossible à mettre en pratique dans le monde réel.
 
> uTorrent aussi est devenu une saloperie.

+1 hélas.

> Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.

Sous Windows je me suis mis à Tixati.


> Tony Chambon a écrit :
> Avez vous essayé de décrypté les fichiers ??

Aucun succès jusqu'à présent.


> Louis a écrit :
> Règle sur le proxy : - interdire de se connecter via une IP sans utiliser des 
> noms dns
> - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres que 
> 443)

Impossible à mettre en pratique dans le monde réel.

> - désactiver autorun sur tous les PC pour éviter de se faire véroler par clé 
> USB

Oui, il y a des antivirus qui font çà automatiquement.

> évidemment faire aussi des sauvegardes et mettre ses archives en read-only 
> (sans droits pour les remettre en read-write)

Ou sur disque amovible avec quelque chose de physique pour protéger l'écriture, 
comme les RDX.


> DiDi Abaric a écrit :
> La seule parade efficace c'est d'interdire l'exécution des .exe ou des 
> .docx.exe et autre cochonnerie dans les %tmp% ( car maintenant
> il se place dans le local AppData de l'user.)...Et donc d'interdire 
> pratiquement toutes les maj et installation logiciel...

Impossible à mettre en pratique dans le monde réel.

> Pour ce faire le logiciel Cryptoprevent fait très bien le job (malwarebyte à 
> sorti un truc équivalant en beta).

C'est pas mieux qu'un antivirus; çà va bloquer les versions connues mais pas la 
dernière évolution.

> Au niveau réseau c'est pratiquement  impossible, adresse de telechargement 
> changeante

C'est pour çà qu'il faut du blocage réseau mis à jour en temps réel et pas 1 
fois par jour.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

https://www.gartner.com/doc/339858/signaturebased-virus-detection-desktop-dying
http://blogs.gartner.com/neil_macdonald/2010/12/23/antivirus-is-dead-long-live-antivirus/

Au fait, pour être plus précis, c'est l'antivirus à base de signature qui
est visé par le Gartner. Les antivirus de nos jours intègrent des modes de
détection de comportement et autres... Ces nouveaux algorithmes
ultra-efficaces permettent de supprimer Putty (logiciel suspect) et de
laisser tous les fichiers d'un PC se faire chiffrer par un ransomware
(comportement non suspect).


Le 7 mars 2016 à 17:33, David Ponzone  a écrit :

> J’ai pas retrouvé l’analyse de Gartner mais leur magic quadrant te donne
> quand même l’impression qu’il faut en installer 5 ou 6 :)
>
> http://www.gartner.com/doc/reprints?id=1-2TXNYBS=151211=sbw
>
>
> > Le 7 mars 2016 à 16:38, Louis  a écrit :
> >
> > le proxy filtrant ne va pas empêcher la contamination mais a la
> possibilité
> > de filtrer les échanges du virus avec l'extérieur et d'empêcher le
> fishing.
> >
> > Le filtrage dns, c'est qu'une possibilité. Il y a les websense et
> consorts.
> >
> > Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> > tellement de variantes des malware. Il faut que je retrouve l'article du
> > Gartner qui préconisait d’abandonner les antivirus.
> >
> >
> > Le 7 mars 2016 à 16:13, Stephane Bortzmeyer  a écrit
> :
> >
> >> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
> >> Louis  wrote
> >> a message of 58 lines which said:
> >>
> >>> Est-ce que vous pensez que comme pour les autres attaques la clé
> >>> privée est commune à tous ou un couple clé privé / publique est
> >>> vraiment générée par PC (comme indiqué dans les messages)?
> >>
> >> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> >> sur un autre rançongiciel au dernier Botconf
> >> <
> >>
> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
> >>>
> >>
> >>>  - paramétrer dns filtrant d'un éditeur de sécu
> >>
> >> Très mauvaise idée (bricoler un service essentiel de
> >> l'infrastructure).
> >>
> >>>   - pas d'échange en direct sans proxy filtrant
> >> ...
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus
> >>
> >> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> >> malveillant alors que l'antivirus n'y arrive pas ?
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Sylvain Vallerot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

Bonsoir,

On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
> L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque 
> personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et moins 
> cette attaque sera profitable, Ce qui est encore le meilleur moyen de défense 
> contre ce type d'attaque.

Pas vraiment d'accord, si la machine est compromise le rançongiciel est
toujours capable de faire des dégâts et de ruiner la productivité d'une
personne ou entreprise. Suffit d'une toute petite variante pour ça, et
une autre variante consistera à menacer d'envoyer tes fichier à tes
concurrents ou les publier sur le net. Tes archives ne te protégeront
pas de ça.

La sécurité c'est plusieurs volets : pas seulement la disponibilité des
données mais aussi qu'elles soient disponibles au bon moment et pour la
bonne personne.

> C'est le même principe que pour la surveillance globale, plus les internautes 
> auront recours au chiffrement et plus le coût de cette surveillance augmente, 
> diminuant de fait son intérêt.

Pas d'accord non plus. Quand tout le monde chiffrera ses communications
les gouvernements qui le voudront ne cesseront pas de surveiller mais
interdiront (comme c'était le cas il y a quelques années encore en France
avec la limitation des tailles des clés autorisées) les pratiques de 
chiffrement qu'ils ne savent pas casser ou contourner. C'est une course 
que ceux qui disposent de la puissance publique (ou financière) gagneront, 
et donc probablement une erreur pour les autres de l'encourager ou de la
hâter puisqu'ils arriveront certainement perdants.

Juste mon avis perso.

Regards,
-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlbdtJgACgkQJBGsD8mtnRGIrAD9FwMFZEuKEcO04n9b525fPy14
KaGakAG1/z2oX4pFZ8AA/0Whwgz5ufUrtuAkKWEeXDXA4WqLiXC+Z/9mVDGbZx+x
=J6AU
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

[Pascal Allochon (pallocho)]

Bonjour,


Oui depuis Janvier il y à une forte augmentation de ce type de
malwareŠpour certains clients c¹est plusieurs dizaines par jourŠ
l¹AV / AS est inefficace pour ce type d¹attaque.

Sans compter les ScamsŠBref (bulletin à lire ci-dessous pour ceux en ayant
le courage et le temps ).

http://blog.talosintel.com/2016/02/tax-scams.html#more

Bon courage,

Cdlt

Pascal 




On 07/03/2016 13:51, "frnog-requ...@frnog.org on behalf of David Ponzone"
 wrote:

>Quelqu¹un a remarqué une forte augmentation des attaques type cryptolock
>par mail depuis environ 10 jours ?
>
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

J’ai pas retrouvé l’analyse de Gartner mais leur magic quadrant te donne quand 
même l’impression qu’il faut en installer 5 ou 6 :)

http://www.gartner.com/doc/reprints?id=1-2TXNYBS=151211=sbw


> Le 7 mars 2016 à 16:38, Louis  a écrit :
> 
> le proxy filtrant ne va pas empêcher la contamination mais a la possibilité
> de filtrer les échanges du virus avec l'extérieur et d'empêcher le fishing.
> 
> Le filtrage dns, c'est qu'une possibilité. Il y a les websense et consorts.
> 
> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> tellement de variantes des malware. Il faut que je retrouve l'article du
> Gartner qui préconisait d’abandonner les antivirus.
> 
> 
> Le 7 mars 2016 à 16:13, Stephane Bortzmeyer  a écrit :
> 
>> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
>> Louis  wrote
>> a message of 58 lines which said:
>> 
>>> Est-ce que vous pensez que comme pour les autres attaques la clé
>>> privée est commune à tous ou un couple clé privé / publique est
>>> vraiment générée par PC (comme indiqué dans les messages)?
>> 
>> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
>> sur un autre rançongiciel au dernier Botconf
>> <
>> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
>>> 
>> 
>>>  - paramétrer dns filtrant d'un éditeur de sécu
>> 
>> Très mauvaise idée (bricoler un service essentiel de
>> l'infrastructure).
>> 
>>>   - pas d'échange en direct sans proxy filtrant
>> ...
>>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>>> antivirus
>> 
>> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
>> malveillant alors que l'antivirus n'y arrive pas ?
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Samuel PIRON]

Bonjour !

Pour revenir sur le sujet de l'antivirus qui ne détecte pas les nouveau 
virus tout juste sorti :


Sur mon serveur de mail, j'ai récemment interfacé MIMEdefang avec un 
script d'analyse de macro sur document Office 
(http://www.decalage.info/python/olevba).


Pour l'instant, je ne fais aucun blocage, juste de l'analyse pour voir 
ce qui passe et je log tout ça. Les résultats sont plutôt encourageant, 
j'ai moins d'une dizaine de faux positifs par jour sur un volume de 
5 mails/jour. Les vagues de fichiers infectés apparaissent bien dans 
mes logs (ex: "Receipt - Order No 173535.docm").


Avez-vous d'autres solutions dans le même genre qui pourraient limiter 
la casse ?


---
Samuel PIRON


Le 07/03/2016 17:23, Dorian BECKER a écrit :

Hello,

comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas 
trouvé
de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous 
les

jours.

*J'ai eu des retours de personnes qui auraient déchiffré leur fichiers 
avec
ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer. Par contre je 
n'ai

pas pu tester de mon coté.

Le 7 mars 2016 à 17:04, Louis  a écrit :


et encore quand le virus ne désactive l'antivirus.

Le 7 mars 2016 à 16:59, David Ponzone  a 
écrit :


> Ils protègent des maladies connues et identifiées :)
>
> > Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> >
> > Hello,
> >
> >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> >> tellement de variantes des malware. Il faut que je retrouve l'article
du
> >> Gartner qui préconisait d’abandonner les antivirus.
> >
> > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> que *après* qu'un virus a été lancé dans le wild.
> >
> > Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> >
> > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége,
> mais ce n'est jamais le cas.
> >
> > Xavier
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Dorian BECKER]

Hello,

comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas trouvé
de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous les
jours.

*J'ai eu des retours de personnes qui auraient déchiffré leur fichiers avec
ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer. Par contre je n'ai
pas pu tester de mon coté.

Le 7 mars 2016 à 17:04, Louis  a écrit :

> et encore quand le virus ne désactive l'antivirus.
>
> Le 7 mars 2016 à 16:59, David Ponzone  a écrit :
>
> > Ils protègent des maladies connues et identifiées :)
> >
> > > Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> > >
> > > Hello,
> > >
> > >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> > >> tellement de variantes des malware. Il faut que je retrouve l'article
> du
> > >> Gartner qui préconisait d’abandonner les antivirus.
> > >
> > > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> > que *après* qu'un virus a été lancé dans le wild.
> > >
> > > Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> > >
> > > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége,
> > mais ce n'est jamais le cas.
> > >
> > > Xavier
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Romain]

Oh, le grand chaman qui sait tout et qui est sûr de lui alors qu'il doit
probablement pas y connaître grand chose. Il y avait longtemps.
Un AV (bon après ça dépend lequel) c'est pas juste une base de signature.
Ca permet d'interdire l'exécution de fichiers en fonction de leur
réputation/catégorie/connaissance des exécutions précédentes et du
répertoire dans lequel ils se situent, ça permet d'avoir de l'heuristique
en fonction du comportement, de surveiller les modifs système et d'en
déduire qu'un malware est à l'action, d'enregistrer toutes les modifs et de
les rétablir. Et j'en passe. Renseigne toi avant de blablater sur cette
liste.

Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :

> Hello,
>
> > Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> > tellement de variantes des malware. Il faut que je retrouve l'article du
> > Gartner qui préconisait d’abandonner les antivirus.
>
> Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> que *après* qu'un virus a été lancé dans le wild.
>
> Il n'ont rien a envier aux vaccins dans le monde animal / humain.
>
> Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége, mais
> ce n'est jamais le cas.
>
> Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Romain]

Pas toutes les versions, certains apparaissent comme un fichier texte
basique, après ça dépend de l'OS et de l'association des fichiers également.

Le 7 mars 2016 à 16:03, David Ponzone  a écrit :

> Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
> La pièce jointe apparait comme PDF alors que c’est un exe ou zip:
>
> https://en.wikipedia.org/wiki/CryptoLocker#Operation
>
>
> > Le 7 mars 2016 à 15:55, Yannick Guerrini  a
> écrit :
> >
> > Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
> > de lancer automatiquement un script avec ce type de fichier ?
> >
> > Le 07/03/2016 15:21, David Ponzone a écrit :
> >> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un
> mail entrant, avec un zip en pièce jointe, qui contient un script qui
> récupère un exe par HTTP.
> >> Pour ma part, j’ai commencé par interdire les pièces jointes contenant
> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
> même type.
> >>
> >>> Le 7 mars 2016 à 15:12, Louis  a écrit :
> >>>
> >>> c'est effectivement assez inquiétant. J'ai des proches qui se sont
> faits
> >>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> >>> solution de déchiffrement à jour. Est-ce que vous pensez que comme
> pour les
> >>> autres attaques la clé privée est commune à tous ou un couple clé
> privé /
> >>> publique est vraiment générée par PC (comme indiqué dans les messages)?
> >>>
> >>> Je pense que les bonne pratiques pour limiter le risque de se faire
> >>> infecter :
> >>>
> >>>  - pas d'échange en direct sans proxy filtrant - sauf dérogation de
> flux
> >>>  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
> >>> - interdire de se connecter via une IP sans utiliser des noms dns
> >>> - paramétrer dns filtrant d'un éditeur de sécu
> >>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> >>> autres que 443)
> >>>  - désactiver autorun sur tous les PC pour éviter de se faire véroler
> par
> >>>  clé USB
> >>>  - filtre antifishing efficace
> >>>  - (à compléter)
> >>>
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer
> des
> >>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> >>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> >>>
> >>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a
> écrit :
> >>>
>  On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>  David Ponzone  wrote
>  a message of 8 lines which said:
> 
> > Quelqu’un a remarqué une forte augmentation des attaques type
> > cryptolock par mail depuis environ 10 jours ?
> 
>  Blague à part, nos impôts paient une agence qui gère un site Web pour
>  cela (prévenir les citoyens) :
>  http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> 
> 
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> 
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Romain]

Interdire l'exécution d'applications inconnues dans %AppData% permet déjà
d'éliminer beaucoup de variantes.

Le 7 mars 2016 à 15:12, Louis  a écrit :

> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
> autres attaques la clé privée est commune à tous ou un couple clé privé /
> publique est vraiment générée par PC (comme indiqué dans les messages)?
>
> Je pense que les bonne pratiques pour limiter le risque de se faire
> infecter :
>
>- pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>   - interdire de se connecter via une IP sans utiliser des noms dns
>   - paramétrer dns filtrant d'un éditeur de sécu
>   - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>   autres que 443)
>- désactiver autorun sur tous les PC pour éviter de se faire véroler par
>clé USB
>- filtre antifishing efficace
>- (à compléter)
>
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>
> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>
> > On Mon, Mar 07, 2016 at 01:51:19PM +0100,
> >  David Ponzone  wrote
> >  a message of 8 lines which said:
> >
> > > Quelqu’un a remarqué une forte augmentation des attaques type
> > > cryptolock par mail depuis environ 10 jours ?
> >
> > Blague à part, nos impôts paient une agence qui gère un site Web pour
> > cela (prévenir les citoyens) :
> > http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

et encore quand le virus ne désactive l'antivirus.

Le 7 mars 2016 à 16:59, David Ponzone  a écrit :

> Ils protègent des maladies connues et identifiées :)
>
> > Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> >
> > Hello,
> >
> >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> >> tellement de variantes des malware. Il faut que je retrouve l'article du
> >> Gartner qui préconisait d’abandonner les antivirus.
> >
> > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> que *après* qu'un virus a été lancé dans le wild.
> >
> > Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> >
> > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége,
> mais ce n'est jamais le cas.
> >
> > Xavier
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

Ils protègent des maladies connues et identifiées :)

> Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> 
> Hello,
> 
>> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
>> tellement de variantes des malware. Il faut que je retrouve l'article du
>> Gartner qui préconisait d’abandonner les antivirus.
> 
> Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature que 
> *après* qu'un virus a été lancé dans le wild.
> 
> Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> 
> Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége, mais ce 
> n'est jamais le cas.
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Tony Chambon]

Bonjour à tous,

Avez vous essayé de décrypté les fichiers ?? Comme beaucoup d'entre vous,
mon entourage professionnel et personnel a été touché.
https://github.com/Googulator/TeslaCrack#install-python

Le 7 mars 2016 à 16:48, Guillaume GARNIER  a
écrit :

> fail []
>
> ++
>
> Guillaume
>
> Le 07/03/2016 16:27, David Ponzone a écrit :
>
>> uTorrent aussi est devenu une saloperie.
>> Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.
>>
>>
>> Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :
>>>
>>> Bonjour,
>>>
>>> Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du
>>> client Transmission vendredi dernier:
>>> http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
>>>
>>> Ca impacte les utilisateurs MacOS X.
>>>
>>> Etienne
>>>
>>> Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :
>>>
>>> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
 Louis  wrote
 a message of 58 lines which said:

 Est-ce que vous pensez que comme pour les autres attaques la clé
> privée est commune à tous ou un couple clé privé / publique est
> vraiment générée par PC (comme indiqué dans les messages)?
>
 Apparemment, oui, la clé est différente par PC. Il y avait un exposé
 sur un autre rançongiciel au dernier Botconf
 <
 https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
 >

  - paramétrer dns filtrant d'un éditeur de sécu
>
 Très mauvaise idée (bricoler un service essentiel de
 l'infrastructure).

   - pas d'échange en direct sans proxy filtrant
>
 ...

> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus
>
 Et par quel miracle le "proxy filtrant" peut filtrer le contenu
 malveillant alors que l'antivirus n'y arrive pas ?


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Xavier Beaudouin]

Hello,

> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> tellement de variantes des malware. Il faut que je retrouve l'article du
> Gartner qui préconisait d’abandonner les antivirus.

Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature que 
*après* qu'un virus a été lancé dans le wild.

Il n'ont rien a envier aux vaccins dans le monde animal / humain.

Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége, mais ce 
n'est jamais le cas.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Guillaume GARNIER]

fail []

++

Guillaume

Le 07/03/2016 16:27, David Ponzone a écrit :

uTorrent aussi est devenu une saloperie.
Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.



Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :

Bonjour,

Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client 
Transmission vendredi dernier: 
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Ca impacte les utilisateurs MacOS X.

Etienne

Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :


On Mon, Mar 07, 2016 at 03:12:46PM +0100,
Louis  wrote
a message of 58 lines which said:


Est-ce que vous pensez que comme pour les autres attaques la clé
privée est commune à tous ou un couple clé privé / publique est
vraiment générée par PC (comme indiqué dans les messages)?

Apparemment, oui, la clé est différente par PC. Il y avait un exposé
sur un autre rançongiciel au dernier Botconf



 - paramétrer dns filtrant d'un éditeur de sécu

Très mauvaise idée (bricoler un service essentiel de
l'infrastructure).


  - pas d'échange en direct sans proxy filtrant

...

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus

Et par quel miracle le "proxy filtrant" peut filtrer le contenu
malveillant alors que l'antivirus n'y arrive pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Guillaume GARNIER]

mais pas que µtorrent !

http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

++

Guillaume

Le 07/03/2016 16:27, David Ponzone a écrit :

uTorrent aussi est devenu une saloperie.
Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.



Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :

Bonjour,

Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client 
Transmission vendredi dernier: 
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Ca impacte les utilisateurs MacOS X.

Etienne

Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :


On Mon, Mar 07, 2016 at 03:12:46PM +0100,
Louis  wrote
a message of 58 lines which said:


Est-ce que vous pensez que comme pour les autres attaques la clé
privée est commune à tous ou un couple clé privé / publique est
vraiment générée par PC (comme indiqué dans les messages)?

Apparemment, oui, la clé est différente par PC. Il y avait un exposé
sur un autre rançongiciel au dernier Botconf



 - paramétrer dns filtrant d'un éditeur de sécu

Très mauvaise idée (bricoler un service essentiel de
l'infrastructure).


  - pas d'échange en direct sans proxy filtrant

...

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus

Et par quel miracle le "proxy filtrant" peut filtrer le contenu
malveillant alors que l'antivirus n'y arrive pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Louis]

le proxy filtrant ne va pas empêcher la contamination mais a la possibilité
de filtrer les échanges du virus avec l'extérieur et d'empêcher le fishing.

Le filtrage dns, c'est qu'une possibilité. Il y a les websense et consorts.

Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
tellement de variantes des malware. Il faut que je retrouve l'article du
Gartner qui préconisait d’abandonner les antivirus.


Le 7 mars 2016 à 16:13, Stephane Bortzmeyer  a écrit :

> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
>  Louis  wrote
>  a message of 58 lines which said:
>
> > Est-ce que vous pensez que comme pour les autres attaques la clé
> > privée est commune à tous ou un couple clé privé / publique est
> > vraiment générée par PC (comme indiqué dans les messages)?
>
> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> sur un autre rançongiciel au dernier Botconf
> <
> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
> >
>
> >   - paramétrer dns filtrant d'un éditeur de sécu
>
> Très mauvaise idée (bricoler un service essentiel de
> l'infrastructure).
>
> >- pas d'échange en direct sans proxy filtrant
> ...
> > Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> > antivirus
>
> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> malveillant alors que l'antivirus n'y arrive pas ?
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

[troll] la solution : utiliser des applications en mode SaaS sur un PC
linux [/troll]

Troll à part, je pense que ça fait partie des solutions.

Le 7 mars 2016 à 16:27, David Ponzone  a écrit :

> uTorrent aussi est devenu une saloperie.
> Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.
>
>
> > Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit
> :
> >
> > Bonjour,
> >
> > Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du
> client Transmission vendredi dernier:
> http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
> >
> > Ca impacte les utilisateurs MacOS X.
> >
> > Etienne
> >
> > Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :
> >
> >> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
> >> Louis  wrote
> >> a message of 58 lines which said:
> >>
> >>> Est-ce que vous pensez que comme pour les autres attaques la clé
> >>> privée est commune à tous ou un couple clé privé / publique est
> >>> vraiment générée par PC (comme indiqué dans les messages)?
> >>
> >> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> >> sur un autre rançongiciel au dernier Botconf
> >> <
> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
> >
> >>
> >>> - paramétrer dns filtrant d'un éditeur de sécu
> >>
> >> Très mauvaise idée (bricoler un service essentiel de
> >> l'infrastructure).
> >>
> >>>  - pas d'échange en direct sans proxy filtrant
> >> ...
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus
> >>
> >> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> >> malveillant alors que l'antivirus n'y arrive pas ?
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

uTorrent aussi est devenu une saloperie.
Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.


> Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :
> 
> Bonjour,
> 
> Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du 
> client Transmission vendredi dernier: 
> http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
> 
> Ca impacte les utilisateurs MacOS X.
> 
> Etienne
> 
> Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :
> 
>> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
>> Louis  wrote 
>> a message of 58 lines which said:
>> 
>>> Est-ce que vous pensez que comme pour les autres attaques la clé
>>> privée est commune à tous ou un couple clé privé / publique est
>>> vraiment générée par PC (comme indiqué dans les messages)?
>> 
>> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
>> sur un autre rançongiciel au dernier Botconf
>> 
>> 
>>> - paramétrer dns filtrant d'un éditeur de sécu
>> 
>> Très mauvaise idée (bricoler un service essentiel de
>> l'infrastructure).
>> 
>>>  - pas d'échange en direct sans proxy filtrant 
>> ...
>>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>>> antivirus
>> 
>> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
>> malveillant alors que l'antivirus n'y arrive pas ?
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

le fameuse réponse du "work as design". Dernièrement, j'ai eu un "- c'est
pas conforme à la RFC - oui mais c'est work as design. Je demande une
demande de nouvelle fonctionnalité pour changer ça"

Le 7 mars 2016 à 16:03, David Ponzone  a écrit :

> Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
> La pièce jointe apparait comme PDF alors que c’est un exe ou zip:
>
> https://en.wikipedia.org/wiki/CryptoLocker#Operation
>
>
> > Le 7 mars 2016 à 15:55, Yannick Guerrini  a
> écrit :
> >
> > Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
> > de lancer automatiquement un script avec ce type de fichier ?
> >
> > Le 07/03/2016 15:21, David Ponzone a écrit :
> >> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un
> mail entrant, avec un zip en pièce jointe, qui contient un script qui
> récupère un exe par HTTP.
> >> Pour ma part, j’ai commencé par interdire les pièces jointes contenant
> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
> même type.
> >>
> >>> Le 7 mars 2016 à 15:12, Louis  a écrit :
> >>>
> >>> c'est effectivement assez inquiétant. J'ai des proches qui se sont
> faits
> >>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> >>> solution de déchiffrement à jour. Est-ce que vous pensez que comme
> pour les
> >>> autres attaques la clé privée est commune à tous ou un couple clé
> privé /
> >>> publique est vraiment générée par PC (comme indiqué dans les messages)?
> >>>
> >>> Je pense que les bonne pratiques pour limiter le risque de se faire
> >>> infecter :
> >>>
> >>>  - pas d'échange en direct sans proxy filtrant - sauf dérogation de
> flux
> >>>  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
> >>> - interdire de se connecter via une IP sans utiliser des noms dns
> >>> - paramétrer dns filtrant d'un éditeur de sécu
> >>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> >>> autres que 443)
> >>>  - désactiver autorun sur tous les PC pour éviter de se faire véroler
> par
> >>>  clé USB
> >>>  - filtre antifishing efficace
> >>>  - (à compléter)
> >>>
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer
> des
> >>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> >>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> >>>
> >>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a
> écrit :
> >>>
>  On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>  David Ponzone  wrote
>  a message of 8 lines which said:
> 
> > Quelqu’un a remarqué une forte augmentation des attaques type
> > cryptolock par mail depuis environ 10 jours ?
> 
>  Blague à part, nos impôts paient une agence qui gère un site Web pour
>  cela (prévenir les citoyens) :
>  http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> 
> 
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> 
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Etienne CorpG]

Bonjour,

Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client 
Transmission vendredi dernier: 
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Ca impacte les utilisateurs MacOS X.

Etienne

Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :

> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
> Louis  wrote 
> a message of 58 lines which said:
> 
>> Est-ce que vous pensez que comme pour les autres attaques la clé
>> privée est commune à tous ou un couple clé privé / publique est
>> vraiment générée par PC (comme indiqué dans les messages)?
> 
> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> sur un autre rançongiciel au dernier Botconf
> 
> 
>>  - paramétrer dns filtrant d'un éditeur de sécu
> 
> Très mauvaise idée (bricoler un service essentiel de
> l'infrastructure).
> 
>>   - pas d'échange en direct sans proxy filtrant 
> ...
>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>> antivirus
> 
> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> malveillant alors que l'antivirus n'y arrive pas ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Stephane Bortzmeyer]

On Mon, Mar 07, 2016 at 03:12:46PM +0100,
 Louis  wrote 
 a message of 58 lines which said:

> Est-ce que vous pensez que comme pour les autres attaques la clé
> privée est commune à tous ou un couple clé privé / publique est
> vraiment générée par PC (comme indiqué dans les messages)?

Apparemment, oui, la clé est différente par PC. Il y avait un exposé
sur un autre rançongiciel au dernier Botconf


>   - paramétrer dns filtrant d'un éditeur de sécu

Très mauvaise idée (bricoler un service essentiel de
l'infrastructure).

>- pas d'échange en direct sans proxy filtrant 
...
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus

Et par quel miracle le "proxy filtrant" peut filtrer le contenu
malveillant alors que l'antivirus n'y arrive pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Patrick Rauld]

Déjà rencontré le problème il y 15 jours, chez une de mes connaissances,
tous ces répertoires ont été cryptés sauf par chance ceux qui commençais
pas _ underscore et c'était les plus important !

Le 7 mars 2016 à 16:08, Patrick Rauld  a écrit :

> Déjà rencontré le problème il y 15 jours, chez une de mes connaissances,
> tous ces répertoires ont été cryptés sauf par chance ceux qui commençais
> pas _ underscore et c'était les plus important !
>
> Le 7 mars 2016 à 15:55, Yannick Guerrini  a écrit
> :
>
>> Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
>> de lancer automatiquement un script avec ce type de fichier ?
>>
>> Le 07/03/2016 15:21, David Ponzone a écrit :
>> > A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un
>> mail entrant, avec un zip en pièce jointe, qui contient un script qui
>> récupère un exe par HTTP.
>> > Pour ma part, j’ai commencé par interdire les pièces jointes contenant
>> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
>> même type.
>> >
>> >> Le 7 mars 2016 à 15:12, Louis  a écrit :
>> >>
>> >> c'est effectivement assez inquiétant. J'ai des proches qui se sont
>> faits
>> >> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
>> >> solution de déchiffrement à jour. Est-ce que vous pensez que comme
>> pour les
>> >> autres attaques la clé privée est commune à tous ou un couple clé
>> privé /
>> >> publique est vraiment générée par PC (comme indiqué dans les messages)?
>> >>
>> >> Je pense que les bonne pratiques pour limiter le risque de se faire
>> >> infecter :
>> >>
>> >>   - pas d'échange en direct sans proxy filtrant - sauf dérogation de
>> flux
>> >>   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>> >>  - interdire de se connecter via une IP sans utiliser des noms dns
>> >>  - paramétrer dns filtrant d'un éditeur de sécu
>> >>  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>> >>  autres que 443)
>> >>   - désactiver autorun sur tous les PC pour éviter de se faire véroler
>> par
>> >>   clé USB
>> >>   - filtre antifishing efficace
>> >>   - (à compléter)
>> >>
>> >> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>> >> antivirus (qui ne fait en général que ralentir le PC et vous envoyer
>> des
>> >> popups). Tous ceux que je connais qui se sont faits infecter avaient un
>> >> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>> >>
>> >> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a
>> écrit :
>> >>
>> >>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>> >>> David Ponzone  wrote
>> >>> a message of 8 lines which said:
>> >>>
>>  Quelqu’un a remarqué une forte augmentation des attaques type
>>  cryptolock par mail depuis environ 10 jours ?
>> >>>
>> >>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>> >>> cela (prévenir les citoyens) :
>> >>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>> >>>
>> >>>
>> >>> ---
>> >>> Liste de diffusion du FRnOG
>> >>> http://www.frnog.org/
>> >>>
>> >>
>> >> ---
>> >> Liste de diffusion du FRnOG
>> >> http://www.frnog.org/
>> >
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>> >
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Yannick Guerrini]

Non, non, et c'est bien ça qui m'a interpellé : un véritable fichier pdf
en pièce jointe, pas un exécutable .pdf.exe dont on aurait modifié
l’icône pour le faire passer pour du pdf, comme c'est le cas d'habitude.
Et bien entendu, tout est déjà parti à la poubelle...

D'où ma question : est-ce que c'est possible qu'un pdf malicieux puisse
lancer automatiquement un script dès son ouverture ?

Le 07/03/2016 16:03, David Ponzone a écrit :
> Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
> La pièce jointe apparait comme PDF alors que c’est un exe ou zip:
> 
> https://en.wikipedia.org/wiki/CryptoLocker#Operation
> 
> 
>> Le 7 mars 2016 à 15:55, Yannick Guerrini  a écrit :
>>
>> Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
>> de lancer automatiquement un script avec ce type de fichier ?
>>
>> Le 07/03/2016 15:21, David Ponzone a écrit :
>>> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
>>> entrant, avec un zip en pièce jointe, qui contient un script qui récupère 
>>> un exe par HTTP.
>>> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
>>> exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même 
>>> type.
>>>
 Le 7 mars 2016 à 15:12, Louis  a écrit :

 c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
 avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
 solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
 autres attaques la clé privée est commune à tous ou un couple clé privé /
 publique est vraiment générée par PC (comme indiqué dans les messages)?

 Je pense que les bonne pratiques pour limiter le risque de se faire
 infecter :

  - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
 - interdire de se connecter via une IP sans utiliser des noms dns
 - paramétrer dns filtrant d'un éditeur de sécu
 - autoriser que http-80 et https-443 (interdire CONNECT sur ports
 autres que 443)
  - désactiver autorun sur tous les PC pour éviter de se faire véroler par
  clé USB
  - filtre antifishing efficace
  - (à compléter)

 Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
 antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
 popups). Tous ceux que je connais qui se sont faits infecter avaient un
 antivirus à jour. Un bon virus commence par désactiver l'antivirus.

 Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :

> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
> David Ponzone  wrote
> a message of 8 lines which said:
>
>> Quelqu’un a remarqué une forte augmentation des attaques type
>> cryptolock par mail depuis environ 10 jours ?
>
> Blague à part, nos impôts paient une agence qui gère un site Web pour
> cela (prévenir les citoyens) :
> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[DiDi Abaric]

Bonjour.

Je le connais très très bien et je peux vous dire que même certains
Antivirus passent des fois au travers. La dernière blague c'est une
détection par Trend mais avec un beau nettoyage impossible à la clef...

La seule parade efficace c'est d'interdire l'exécution des .exe ou des
.docx.exe et autre cochonnerie dans les %tmp% ( car maintenant il se place
dans le local AppData de l'user.)...Et donc d'interdire pratiquement toutes
les maj et installation logiciel...Pour ce faire le logiciel Cryptoprevent
fait très bien le job (malwarebyte à sorti un truc équivalant en beta)
sinon règles d'accès dans une gpo.

Au niveau réseau c'est pratiquement  impossible,  adresse de telechargement
changeante en plus de ça c'est tjs par une action utilisateur croyant
ouvrir un Word et exécutant un JS dans une macro alors dans ce cas là la
détection est pratiquement impossible. Eset avait essayé il se sont
retrouvé avec pleins de faux positif.
il n'y a qu'un Parfeu avec inspection Antivirus des emails, un sophos est
suffisant chez certains clients il me le bloque bien.

Et puis quand le mal est fait. Il ne reste plus que les sauvegardes!
Le 7 mars 2016 15:21, "David Ponzone"  a écrit :

> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail
> entrant, avec un zip en pièce jointe, qui contient un script qui récupère
> un exe par HTTP.
> Pour ma part, j’ai commencé par interdire les pièces jointes contenant
> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
> même type.
>
> > Le 7 mars 2016 à 15:12, Louis  a écrit :
> >
> > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> > avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> > solution de déchiffrement à jour. Est-ce que vous pensez que comme pour
> les
> > autres attaques la clé privée est commune à tous ou un couple clé privé /
> > publique est vraiment générée par PC (comme indiqué dans les messages)?
> >
> > Je pense que les bonne pratiques pour limiter le risque de se faire
> > infecter :
> >
> >   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
> >   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
> >  - interdire de se connecter via une IP sans utiliser des noms dns
> >  - paramétrer dns filtrant d'un éditeur de sécu
> >  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> >  autres que 443)
> >   - désactiver autorun sur tous les PC pour éviter de se faire véroler
> par
> >   clé USB
> >   - filtre antifishing efficace
> >   - (à compléter)
> >
> > Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> > antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> > popups). Tous ceux que je connais qui se sont faits infecter avaient un
> > antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> >
> > Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit
> :
> >
> >> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
> >> David Ponzone  wrote
> >> a message of 8 lines which said:
> >>
> >>> Quelqu’un a remarqué une forte augmentation des attaques type
> >>> cryptolock par mail depuis environ 10 jours ?
> >>
> >> Blague à part, nos impôts paient une agence qui gère un site Web pour
> >> cela (prévenir les citoyens) :
> >> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
La pièce jointe apparait comme PDF alors que c’est un exe ou zip:

https://en.wikipedia.org/wiki/CryptoLocker#Operation


> Le 7 mars 2016 à 15:55, Yannick Guerrini  a écrit :
> 
> Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
> de lancer automatiquement un script avec ce type de fichier ?
> 
> Le 07/03/2016 15:21, David Ponzone a écrit :
>> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
>> entrant, avec un zip en pièce jointe, qui contient un script qui récupère un 
>> exe par HTTP.
>> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
>> exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même 
>> type.
>> 
>>> Le 7 mars 2016 à 15:12, Louis  a écrit :
>>> 
>>> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
>>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
>>> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
>>> autres attaques la clé privée est commune à tous ou un couple clé privé /
>>> publique est vraiment générée par PC (comme indiqué dans les messages)?
>>> 
>>> Je pense que les bonne pratiques pour limiter le risque de se faire
>>> infecter :
>>> 
>>>  - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>>>  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>>> - interdire de se connecter via une IP sans utiliser des noms dns
>>> - paramétrer dns filtrant d'un éditeur de sécu
>>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>>> autres que 443)
>>>  - désactiver autorun sur tous les PC pour éviter de se faire véroler par
>>>  clé USB
>>>  - filtre antifishing efficace
>>>  - (à compléter)
>>> 
>>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
>>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
>>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>>> 
>>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>>> 
 On Mon, Mar 07, 2016 at 01:51:19PM +0100,
 David Ponzone  wrote
 a message of 8 lines which said:
 
> Quelqu’un a remarqué une forte augmentation des attaques type
> cryptolock par mail depuis environ 10 jours ?
 
 Blague à part, nos impôts paient une agence qui gère un site Web pour
 cela (prévenir les citoyens) :
 http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Yannick Guerrini]

Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
de lancer automatiquement un script avec ce type de fichier ?

Le 07/03/2016 15:21, David Ponzone a écrit :
> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
> entrant, avec un zip en pièce jointe, qui contient un script qui récupère un 
> exe par HTTP.
> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
> exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même 
> type.
> 
>> Le 7 mars 2016 à 15:12, Louis  a écrit :
>>
>> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
>> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
>> autres attaques la clé privée est commune à tous ou un couple clé privé /
>> publique est vraiment générée par PC (comme indiqué dans les messages)?
>>
>> Je pense que les bonne pratiques pour limiter le risque de se faire
>> infecter :
>>
>>   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>>   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>>  - interdire de se connecter via une IP sans utiliser des noms dns
>>  - paramétrer dns filtrant d'un éditeur de sécu
>>  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>>  autres que 443)
>>   - désactiver autorun sur tous les PC pour éviter de se faire véroler par
>>   clé USB
>>   - filtre antifishing efficace
>>   - (à compléter)
>>
>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>>
>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>>
>>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>>> David Ponzone  wrote
>>> a message of 8 lines which said:
>>>
 Quelqu’un a remarqué une forte augmentation des attaques type
 cryptolock par mail depuis environ 10 jours ?
>>>
>>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>>> cela (prévenir les citoyens) :
>>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
entrant, avec un zip en pièce jointe, qui contient un script qui récupère un 
exe par HTTP.
Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même type.

> Le 7 mars 2016 à 15:12, Louis  a écrit :
> 
> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
> autres attaques la clé privée est commune à tous ou un couple clé privé /
> publique est vraiment générée par PC (comme indiqué dans les messages)?
> 
> Je pense que les bonne pratiques pour limiter le risque de se faire
> infecter :
> 
>   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>  - interdire de se connecter via une IP sans utiliser des noms dns
>  - paramétrer dns filtrant d'un éditeur de sécu
>  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>  autres que 443)
>   - désactiver autorun sur tous les PC pour éviter de se faire véroler par
>   clé USB
>   - filtre antifishing efficace
>   - (à compléter)
> 
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> 
> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
> 
>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>> David Ponzone  wrote
>> a message of 8 lines which said:
>> 
>>> Quelqu’un a remarqué une forte augmentation des attaques type
>>> cryptolock par mail depuis environ 10 jours ?
>> 
>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>> cela (prévenir les citoyens) :
>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Stéphane | ActiNetwork]

Complément : Une politique de backup avec une rotation. Il ne faut pas 
que l'espace de stockage soit accessible pour éviter de voir les données 
se faire crypter.


Stéphane

Le 07/03/2016 15:12, Louis a écrit :

c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
autres attaques la clé privée est commune à tous ou un couple clé privé /
publique est vraiment générée par PC (comme indiqué dans les messages)?

Je pense que les bonne pratiques pour limiter le risque de se faire
infecter :

- pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
à ouvrir au cas par cas sur firewall. Règle sur le proxy :
   - interdire de se connecter via une IP sans utiliser des noms dns
   - paramétrer dns filtrant d'un éditeur de sécu
   - autoriser que http-80 et https-443 (interdire CONNECT sur ports
   autres que 443)
- désactiver autorun sur tous les PC pour éviter de se faire véroler par
clé USB
- filtre antifishing efficace
- (à compléter)

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
popups). Tous ceux que je connais qui se sont faits infecter avaient un
antivirus à jour. Un bon virus commence par désactiver l'antivirus.

Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :


On Mon, Mar 07, 2016 at 01:51:19PM +0100,
  David Ponzone  wrote
  a message of 8 lines which said:


Quelqu’un a remarqué une forte augmentation des attaques type
cryptolock par mail depuis environ 10 jours ?

Blague à part, nos impôts paient une agence qui gère un site Web pour
cela (prévenir les citoyens) :
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

évidemment faire aussi des sauvegardes et mettre ses archives en read-only
(sans droits pour les remettre en read-write)

Le 7 mars 2016 à 15:12, Louis  a écrit :

> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
> autres attaques la clé privée est commune à tous ou un couple clé privé /
> publique est vraiment générée par PC (comme indiqué dans les messages)?
>
> Je pense que les bonne pratiques pour limiter le risque de se faire
> infecter :
>
>- pas d'échange en direct sans proxy filtrant - sauf dérogation de
>flux à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>   - interdire de se connecter via une IP sans utiliser des noms dns
>   - paramétrer dns filtrant d'un éditeur de sécu
>   - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>   autres que 443)
>- désactiver autorun sur tous les PC pour éviter de se faire véroler
>par clé USB
>- filtre antifishing efficace
>- (à compléter)
>
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>
> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>
>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>>  David Ponzone  wrote
>>  a message of 8 lines which said:
>>
>> > Quelqu’un a remarqué une forte augmentation des attaques type
>> > cryptolock par mail depuis environ 10 jours ?
>>
>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>> cela (prévenir les citoyens) :
>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
autres attaques la clé privée est commune à tous ou un couple clé privé /
publique est vraiment générée par PC (comme indiqué dans les messages)?

Je pense que les bonne pratiques pour limiter le risque de se faire
infecter :

   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
  - interdire de se connecter via une IP sans utiliser des noms dns
  - paramétrer dns filtrant d'un éditeur de sécu
  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
  autres que 443)
   - désactiver autorun sur tous les PC pour éviter de se faire véroler par
   clé USB
   - filtre antifishing efficace
   - (à compléter)

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
popups). Tous ceux que je connais qui se sont faits infecter avaient un
antivirus à jour. Un bon virus commence par désactiver l'antivirus.

Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :

> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>  David Ponzone  wrote
>  a message of 8 lines which said:
>
> > Quelqu’un a remarqué une forte augmentation des attaques type
> > cryptolock par mail depuis environ 10 jours ?
>
> Blague à part, nos impôts paient une agence qui gère un site Web pour
> cela (prévenir les citoyens) :
> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Stephane Bortzmeyer]

On Mon, Mar 07, 2016 at 01:51:19PM +0100,
 David Ponzone  wrote 
 a message of 8 lines which said:

> Quelqu’un a remarqué une forte augmentation des attaques type
> cryptolock par mail depuis environ 10 jours ?

Blague à part, nos impôts paient une agence qui gère un site Web pour
cela (prévenir les citoyens) :
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

[Vincent]

En effet, il y a même un avis du CERT :

http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/CERTFR-2016-ALE-001.html

Le 07/03/2016 13:54, Romain a écrit :
> Effectivement, oui. Free Mobile, avocats, factures, tout y passe.
>
> Le 7 mars 2016 à 13:51, David Ponzone  a écrit :
>
>> Quelqu’un a remarqué une forte augmentation des attaques type cryptolock
>> par mail depuis environ 10 jours ?
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Stephane Bortzmeyer]

On Mon, Mar 07, 2016 at 01:51:19PM +0100,
 David Ponzone  wrote 
 a message of 8 lines which said:

> Quelqu’un a remarqué une forte augmentation des attaques type
> cryptolock par mail depuis environ 10 jours ?

Oui. Grâce à ses boites noires, Bernard voit tout :

http://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Un-nouveau-rancongiciel-nomme-locky-arrive-en-France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

[Romain]

Effectivement, oui. Free Mobile, avocats, factures, tout y passe.

Le 7 mars 2016 à 13:51, David Ponzone  a écrit :

> Quelqu’un a remarqué une forte augmentation des attaques type cryptolock
> par mail depuis environ 10 jours ?
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Cryptolock

[David Ponzone]

Quelqu’un a remarqué une forte augmentation des attaques type cryptolock par 
mail depuis environ 10 jours ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/