Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

[frnog . kapush]

On mardi 8 mars 2016 13:54:00 CET David Ponzone - david.ponz...@gmail.com 
wrote:
> > Le 8 mars 2016 à 13:45, Carroussel Informatique  > > a écrit :
> > 
> > Voyons le bon coté des choses : pour des particuliers, sous linux, il y a
> > encore beaucoup à faire, et pour certains professionnels, il y en a
> > encore plus. Deux exemples tirés de ma clientèle :
> > - Un couple d'agriculteurs travaillant en Bio. A priori, plutôt tentés par
> > le passage à linux, oui, mais voila, le logiciel de compta utilisé par
> > leur cabinet comptable ne tourne "que" sous Windows XP, et requiert .Net
> > Framework ! J'ai contacté le cabinet, qui développe lui même son
> > joliciel, et lui ai demandé s'il comptait faire une version linux. On m'a
> > envoyé me faire lanlaire... - Un cabinet de gynécologie et un cabinet
> > médical : Le logiciel Vitale (qui permet au praticien d’être payé )
> > tourne sous windows. Le logiciel de compta, idem…
> T’as essayé avec Wine ou Crossover ?
> Ou au pire VirtualBox ?
> C’est pas complètement délirant puisque avoir l’application métier dans une
> VM propre, où on ne fait pas autre chose, c’est plutôt élégant.

C'est même recommandé. ça facilite énormément les sauvegardes et la 
restauration.

> > Pour en revenir à cette affaire de cryptolock, combien de temps avant que
> > linux soit aussi affecté ?
> C’est justement à ça que Windows et ses 9X% de part de marché sert: occuper
> les badass hackers pour qu’ils continuent à ignorer Linux et MacOSX.

Linux est Mac OSX ont déjà leur rançongiciel dédié depuis quelques années.
Il y a même une variante en javascript et des versions dédiées pour android et 
iOS ainsi que des versions qui touchent les sauvegarde de nuages populaires.

On peut même trouver des fake low-tech à base de popup en javascript qui se 
relance quelques milliers de fois: reveton.

Le rançongiciel est très profitable. c'est pour ça qu'il prolifère.

https://www.undernews.fr/malwares-virus-antivirus/le-ransomware-gendarmerie-nationale-debarque-sur-mac-os-x.html
https://korben.info/linux-encoder-1.html
http://www.tomsguide.fr/actualite/virus-ransom32-ransomware-javascript,
49719.html
http://bits.blogs.nytimes.com/2014/08/22/android-phones-hit-by-ransomware/?
_r=0
https://blog.kaspersky.com/ransomware_targets_ios_osx/4903/

Et chez krebs on security il y a plus de détails:
par exemple: 
http://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware-operation/
http://www.krebsonsecurity.com/tag/ransomware/

> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Cryptolock

[Michel Py]

> David Ponzone a écrit :
> Puisqu’on parle de solutions, est-ce qu’il existe des filesystem réseau qui 
> force le client à entrer un mot de
> passe quand il veut accéder en écriture à un fichier sur un partage, et qui 
> n’est valable que pour X minutes ?

Multics ?

> Dans le monde réel, l’employé de base (au niveau IT) ne devrait JAMAIS
> télécharger un exe ou un msi sur son PC pour l’installer lui-même.

Je suis à peu près d'accord sur cette partie, sauf que j'ai déjà une exception 
: mon masque de clavier QWERTY avec les accents, c'est un .exe. Pourquoi ? 
parce que j'avais pas envie de ré-inventer la roue et que le générateur produit 
un .exe. C'est facile à dire, pas forcément à faire.


> De même, l’employé de base ne devrait jamais utiliser le mail pour échanger 
> des zip, ou autre.

Ca dans mon monde c'est carrément impossible, les utilisateurs faisant çà toute 
la journée. Dans une banque ou un hopital quand la majorité de tes employés 
sont des droides (pour ce qui est d'utiliser l'informatique) c'est possible 
(d'ailleurs ils n'ont probablement pas de client mail) mais dès que tu commence 
à avoir des utilisateurs un peu au dessus du niveau "script monkey", c'est pas 
possible de bloquer zip.


> Clement Cavadore a écrit :
> On ne limite pas l'accès au net à un réseauteux ! 
> Il est forcément plus con(pétant) que le responsable bureautique :-))

Je vote pour Clement :-)


> Sylvain Vallerot a écrit :
> Il a par contre intérêt à se faire respecter : la boite qui contre l'attaque 
> en restaurant ses backups c'est pas bon pour lui.
> C'est pourquoi une évolution logique de ces rançongiciels serait que le 
> sinistre soit réitéré jusqu'au paiement effectif.
> C'est aussi le mécanisme qui fait que le dirigeant va être motivé à payer la 
> rançon, il n'y a pas que la perte de certaines
> données, il y a aussi la perte de productivité Quand une boite passe une 
> journée à restaurer ses backups le temps perdu a un
> coût qui peut être très important. Sans compter la nécessité de nettoyer les 
> postes infectés qui peut nécessiter un travail
> voire une expertise, coûteux eux aussi.

C'est malheureusement vrai. Ceci étant dit, le dirigeant qui est assez con pour 
payer alors qu'il a une sauvegarde pour se retrouver dans la même situation un 
peu plus tard mérite de se faire virer. Payer la rançon quand on n'a pas de 
sauvegarde viable, c'est comme "l'apprentissage par le kilométrage" : en 
général une fois suffit pour comprendre. Payer la rançon pour faire des 
économies, c'est impardonnable. La perte de productivité elle va devenir pire 
si on n'éradique pas le problème. Vous avez 3 heures, rangez votre bureau.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

[MANGA Willy Ted]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hello,

Le 08/03/2016 13:45, Carroussel Informatique a écrit :
> [...] J'ai contacté le cabinet, qui développe lui même son 
> joliciel, et lui ai demandé s'il comptait faire une version linux. 
> On m'a envoyé me faire lanlaire...

Tu places leur environnement dans une VM (gérée par KVM) :P

- -- 
Willy Manga
freenode: ongolaBoy
Ubuntu Cameroonian Loco Team
https://launchpad.net/~manga-willy
-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.17 (GNU/Linux)
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=ZScN
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Laurent Cheylus]

Bonjour,

On Mon, Mar 07, 2016 at 03:55:49PM +0100, Yannick Guerrini wrote:
> Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
> de lancer automatiquement un script avec ce type de fichier ?

Bien sûr que ce possible, malheureusement :( Il est possible d'embarquer
du Javascript dans du PDF et de le faire exécuter à l'ouverture par
Adobe Reader : https://www.adobe.com/devnet/acrobat/javascript.html

J'ai pas vérifié dernièrement la conf. par défaut mais pour ceux qui
utilisent Adobe (crap) Reader pour lire du PDF, c'est une sage
précaution de désactiver l'exécution du Javascript dans ses paramètres
de conf.

PS : SVP "chiffrés" les fichiers ils sont, pas "cryptés" ! Allez relire le
Bortz :) http://www.bortzmeyer.org/cryptage-n-existe-pas.html

A++ Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Sylvain Vallerot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256



On 08/03/2016 15:59, Barthélémy DELUY wrote:
> Je penche plutôt pour l'autre option .
> 
> Un hacker n'a RIEN à gagner à faire grimper les enchères une fois que le
> système est infecté. 
[..]
> S'il veut toucher une fois une grosse somme, le "pirate" s'attaquera à une
> cible spécifique dont il connaîtra les moyens financiers.

Il a par contre intérêt à se faire respecter : la boite qui contre l'attaque
en restaurant ses backups c'est pas bon pour lui. C'est pourquoi une évolution
logique de ces rançongiciels serait que le sinistre soit réitéré jusqu'au
paiement effectif.


On 07/03/2016 23:06, frnog.kap...@antichef.net wrote:
> Se servir d'un rançongiciel pour saboter discrètement une entreprise c'est 
> une 
> utilisation inhabituelle de ce type d'attaque.

C'est aussi le mécanisme qui fait que le dirigeant va être motivé à payer la 
rançon,
il n'y a pas que la perte de certaines données, il y a aussi la perte de 
productivité
Quand une boite passe une journée à restaurer ses backups le temps perdu a un 
coût qui
peut être très important. Sans compter la nécessité de nettoyer les postes 
infectés
qui peut nécessiter un travail voire une expertise, coûteux eux aussi.

Si ça se produit à répétition la restauration des archives n'est plus d'un très
grand secours.

-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlbe67MACgkQJBGsD8mtnRHDXAEAhX6BpfzjThcoSS6qCvxgYMCU
2HgbYSpefxV0JLDHr1QA/RZaORuGxYIDKt/4dfluT4Iq8aaCBOjLeVuvwlBrE8uw
=Jbio
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Barthélémy DELUY]

Je penche plutôt pour l'autre option .

Un hacker n'a RIEN à gagner à faire grimper les enchères une fois que le
système est infecté. S'il fait ça, il perd en crédibilité, donc plus aucun
client ne paiera. Ils ont au contraire tout à gagner à livre la clé de
déchiffrement le plus rapidement possible, pour gagner la "confiance" d'un
maximum de victimes potentielles. Il vaut mieux tirer cent fois 1000$
qu'une fois 10'000$ parce que les autres se seront résignés à perdre leurs
données...
Ce genre de malwares est fait pour infecter beaucoup de machines
rapidement, donc le pirate doit réclamer une somme que tout américain moyen
serait capable de payer s'il veut espérer recevoir un maximum de paiements.
S'il veut toucher une fois une grosse somme, le "pirate" s'attaquera à une
cible spécifique dont il connaîtra les moyens financiers.



Le 8 mars 2016 à 12:22, Carroussel Informatique  a
écrit :

> J'imagine que oui... mais :
> - Rien n’empêche le maitre chanteur de décider abruptement, une fois la
> rançon payé,  que en fait c'est pas 300 boules, mais 400.
> - Le rancongiciel peut être à deux étages, se planquer et attendre
> quelques jours avant de repasser une seconde couche...
>
> On a affaire à des maitres chanteurs... ne pas l'oublier. :(
>
>
> Le 08/03/2016 12:09, Louis a écrit :
>
>> Une question que je me pose : si on paye la rançon, est-ce qu'on récupère
>> un moyen de déchiffrer les fichiers?
>>
>>
>> Le 7 mars 2016 à 23:06,  a écrit :
>>
>> On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net
>>> wrote:
>>>
 Bonsoir,

 On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:

> L'éfficacité de l'extorsion par rançongiciel exploite le fait que
>
 presque
>>>
 personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
> moins cette attaque sera profitable, Ce qui est encore le meilleur
>
 moyen
>>>
 de défense contre ce type d'attaque.
>
 Pas vraiment d'accord, si la machine est compromise le rançongiciel est
 toujours capable de faire des dégâts et de ruiner la productivité d'une
 personne ou entreprise.

>>> Se servir d'un rançongiciel pour saboter discrètement une entreprise
>>> c'est
>>> une
>>> utilisation inhabituelle de ce type d'attaque. Pour l'instant l'analyse
>>> du
>>> marché indique que la motivation dérrière les rançongiciels c'est de
>>> rapporter
>>> de l'argent, à la fois au programmeur qui le vends et aux escrocs qui
>>> s'en
>>> servent.
>>>
>>> Pour ça il faut que les victimes payent la rançon, ce qui n'arrive pas
>>> quand
>>> on a une sauvegarde à restaurer. Le sabotage est un effet de bord qui ne
>>> rapporte pas d'argent en soi et donc n'intéresse pas les opérateurs
>>> actuels.
>>>
>>> Dans tous les cas, avoir des sauvegardes limite les dégats.
>>>
>>> Le rançongiciel laisse deux options:
>>>   1. payer et espérer récupérer ses données
>>>   2. renoncer à ses données et réinstaller
>>> Avoir une sauvegarde et un plan d'action prédéfini ça rajoute une
>>> troisième
>>> option:
>>>   3. restaurer le système et les données les plus récentes
>>>
>>> Suffit d'une toute petite variante pour ça, et
 une autre variante consistera à menacer d'envoyer tes fichier à tes
 concurrents ou les publier sur le net. Tes archives ne te protégeront
 pas de ça.

>>> Chiffrer indistinctement les fichiers d'une machine et identifier les
>>> fichiers
>>> ayant de la valeur et de les transférer sur un serveur distant, ce n'est
>>> pas
>>> une petite variante, c'est même un tout autre type d'attaque qui existe
>>> depuis
>>> bien longtemps, la plus connue étant les numéros de carte bancaires.
>>>
>>>
>>> La sécurité c'est plusieurs volets : pas seulement la disponibilité des
 données mais aussi qu'elles soient disponibles au bon moment et pour la
 bonne personne.

>>> Je parlais quand à moi du volet "quand le désastre est survenu malgré les
>>> mesures de prévention", c'est à dire quand les données ne sont plus
>>> disponibles et qu'il faut rétablir tout ça dans un délai le plus court
>>> possible.
>>>
>>> C'est le même principe que pour la surveillance globale, plus les
> internautes auront recours au chiffrement et plus le coût de cette
> surveillance augmente, diminuant de fait son intérêt.
>
 Pas d'accord non plus. Quand tout le monde chiffrera ses communications
 les gouvernements qui le voudront ne cesseront pas de surveiller mais
 interdiront (comme c'était le cas il y a quelques années encore en
 France
 avec la limitation des tailles des clés autorisées) les pratiques de
 chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
 que ceux qui disposent de la puissance publique (ou financière)

>>> gagneront,
>>>
 et donc probablement une erreur pour les autres de l'encourager ou de la
 hâter puisqu'ils arriveront certainement perdants.

>>> Si tu as suivi 

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

[Manu]

Le 08/03/2016 13:45, Carroussel Informatique a écrit :

J'ai contacté le cabinet, qui développe lui même son joliciel,


OMG. La pire horreur que je lis aujourd'hui.

--
Manu Jacquet


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

[Carroussel Informatique]

Bonjour

Le 08/03/2016 12:48, err...@free.fr a écrit :

À vous lire, j'ai l'impression qu'il n'y a que les ordinateurs avec windows qui 
sont touchés, car ça télécharge un exécutable.
j'ai une pensée un peu égoïste: tant pis pour les gens qui sont encore sous 
windows (je ne fais plus d'acharnement thérapeutique).

tandis que sous linux, lorsqu'on télécharge un fichier, il n'est pas executable 
par defaut, il faut le faire volontairement.
ce qui représente une protection naturelle (quoique...)
Et quand bien même on rendrait ce fichier executable, cela n'affecterait que 
les données de l'utilisateur et les fichiers dont il à le droit en écriture.
(ce qui peut faire beaucoup)

mais il y a des environnement de bureau qui utilisent le javascript, ce qui 
pourrai représenter un problème car il ne s'agira pas d'un executable?

on arrive à une forme de selection naturelle sur les systèmes d'exploitation.
sélection naturelle qui est biaisée par la vente forcée (il est encore 
difficile, et pas automatique de se faire rembourser les logiciels fournis avec 
le matériel)
J'ai quelques objections vis à vis du concept de "sélection naturelle" 
des OS...


S'il est vrai que dans le problématique qui nous occupe, ça éliminerais 
beaucoup de problèmes, ça en créerait d'autres :
Déjà, laisser les windowsiens se démener dans leur panade, ça reviens à 
construire un navire, et ne mettre des canots de sauvetage que pour les 
premières classes... Caymal  :)
Ensuite, toutes ces utilisateurs de windows, régulièrement infectés ou 
emmiellés, ça fait des clients et ça me permet de nourrir ma famille 
autrement qu'en perçant des coffres-forts ou en tabassant des petites 
vieilles à la sortie de la messe:p
Et cela fait aussi un paquet d'utilisateur à migrer sous Sinux et à 
éduquer...
Voyons le bon coté des choses : pour des particuliers, sous linux, il y 
a encore beaucoup à faire, et pour certains professionnels, il y en a 
encore plus.

Deux exemples tirés de ma clientèle :
- Un couple d'agriculteurs travaillant en Bio. A priori, plutôt tentés 
par le passage à linux, oui, mais voila, le logiciel de compta utilisé 
par leur cabinet comptable ne tourne "que" sous Windows XP, et requiert 
.Net Framework !
J'ai contacté le cabinet, qui développe lui même son joliciel, et lui ai 
demandé s'il comptait faire une version linux. On m'a envoyé me faire 
lanlaire...
- Un cabinet de gynécologie et un cabinet médical : Le logiciel Vitale 
(qui permet au praticien d’être payé ) tourne sous windows. Le logiciel 
de compta, idem...


Dans l'absolu, ces deux là seraient bien passés sous Sinux, oui, mais 
des outils qui leur sont essentiels ne sont (a priori) pas disponible...
Alors je fait quoi ? Ils me paient pour leur porter assistance, je ne 
peux pas leur sortir l'argument de la sélection naturelle...
Sinon, la sélection naturelle fera son œuvre et c'est moi qui vais 
crever. De faim.


J'enrage, la survie de mon activité est subordonnée à la pérennité d'un 
OS que je n'aime pas.

C'est y pas une belle contradiction ?

Alors je biaise. Les utilisateurs qui n'ont pas spécifiquement besoin de 
Windows, je les passe sous linux, progressivement... au coup par coup...
Mais chez certains, linux marche tellement bien, qu'ils ne m’appellent 
plus pour les dépanner...


Pour en revenir à cette affaire de cryptolock, combien de temps avant 
que linux soit aussi affecté ?


Je crois que je vais tout plaquer et aller faire pousser des chèvres 
dans le Larzac ! ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

[Alexis Lameire]

Un petit dicton bien vrai sur les sauvegardes

La périodicité des sauvegardes est inversement proportionel à la quantité
de travail qui peut être recommancé"

Alexis

Le 8 mars 2016 à 12:48,  a écrit :

>
> À vous lire, j'ai l'impression qu'il n'y a que les ordinateurs avec
> windows qui sont touchés, car ça télécharge un exécutable.
> j'ai une pensée un peu égoïste: tant pis pour les gens qui sont encore
> sous windows (je ne fais plus d'acharnement thérapeutique).
>
> tandis que sous linux, lorsqu'on télécharge un fichier, il n'est pas
> executable par defaut, il faut le faire volontairement.
> ce qui représente une protection naturelle (quoique...)
> Et quand bien même on rendrait ce fichier executable, cela n'affecterait
> que les données de l'utilisateur et les fichiers dont il à le droit en
> écriture.
> (ce qui peut faire beaucoup)
>
> mais il y a des environnement de bureau qui utilisent le javascript, ce
> qui pourrai représenter un problème car il ne s'agira pas d'un executable?
>
> on arrive à une forme de selection naturelle sur les systèmes
> d'exploitation.
> sélection naturelle qui est biaisée par la vente forcée (il est encore
> difficile, et pas automatique de se faire rembourser les logiciels fournis
> avec le matériel)
>
> Dans tous les cas (quelque soit le système d'exploitation), il faut faire
> des sauvegarde des fichiers importants
> (celà a déjà été dit plusieurs fois dans le fil de discussion)
> car on n'est pas toujours à l'abri d'un accident (innondation, incendie,
> foudre...)
> ou d'une erreur de manipulation (sans parler des vols ou cambriolages).
>
> j'ai déjà subi des pertes de fichiers importants, soit parce que je
> n'avais pas de sauvegarde, soit parce que la sauvegarde ne fonctionnait pas
> non plus.
> (on finit par devenir de plus en plus mefiant :p )
> Ces pertes de fichiers ont été dues à des disques durs qui sont mort avant
> que j'ai le temps de récupérer les données,
> ou parce qu'un admin s'était trompé de client et avait écrasé les données
> de mon serveur brutalement (ça ne m'est arrivé qu'une seule fois, pour un
> serveur chez Online).
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

[err404]

À vous lire, j'ai l'impression qu'il n'y a que les ordinateurs avec windows qui 
sont touchés, car ça télécharge un exécutable.
j'ai une pensée un peu égoïste: tant pis pour les gens qui sont encore sous 
windows (je ne fais plus d'acharnement thérapeutique).

tandis que sous linux, lorsqu'on télécharge un fichier, il n'est pas executable 
par defaut, il faut le faire volontairement.
ce qui représente une protection naturelle (quoique...)
Et quand bien même on rendrait ce fichier executable, cela n'affecterait que 
les données de l'utilisateur et les fichiers dont il à le droit en écriture.
(ce qui peut faire beaucoup)

mais il y a des environnement de bureau qui utilisent le javascript, ce qui 
pourrai représenter un problème car il ne s'agira pas d'un executable?

on arrive à une forme de selection naturelle sur les systèmes d'exploitation.
sélection naturelle qui est biaisée par la vente forcée (il est encore 
difficile, et pas automatique de se faire rembourser les logiciels fournis avec 
le matériel)

Dans tous les cas (quelque soit le système d'exploitation), il faut faire des 
sauvegarde des fichiers importants
(celà a déjà été dit plusieurs fois dans le fil de discussion)
car on n'est pas toujours à l'abri d'un accident (innondation, incendie, 
foudre...)
ou d'une erreur de manipulation (sans parler des vols ou cambriolages).

j'ai déjà subi des pertes de fichiers importants, soit parce que je n'avais pas 
de sauvegarde, soit parce que la sauvegarde ne fonctionnait pas non plus.
(on finit par devenir de plus en plus mefiant :p )
Ces pertes de fichiers ont été dues à des disques durs qui sont mort avant que 
j'ai le temps de récupérer les données,
ou parce qu'un admin s'était trompé de client et avait écrasé les données de 
mon serveur brutalement (ça ne m'est arrivé qu'une seule fois, pour un serveur 
chez Online).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Carroussel Informatique]

J'imagine que oui... mais :
- Rien n’empêche le maitre chanteur de décider abruptement, une fois la 
rançon payé,  que en fait c'est pas 300 boules, mais 400.
- Le rancongiciel peut être à deux étages, se planquer et attendre 
quelques jours avant de repasser une seconde couche...


On a affaire à des maitres chanteurs... ne pas l'oublier. :(

Le 08/03/2016 12:09, Louis a écrit :

Une question que je me pose : si on paye la rançon, est-ce qu'on récupère
un moyen de déchiffrer les fichiers?


Le 7 mars 2016 à 23:06,  a écrit :


On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net
wrote:

Bonsoir,

On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:

L'éfficacité de l'extorsion par rançongiciel exploite le fait que

presque

personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
moins cette attaque sera profitable, Ce qui est encore le meilleur

moyen

de défense contre ce type d'attaque.

Pas vraiment d'accord, si la machine est compromise le rançongiciel est
toujours capable de faire des dégâts et de ruiner la productivité d'une
personne ou entreprise.

Se servir d'un rançongiciel pour saboter discrètement une entreprise c'est
une
utilisation inhabituelle de ce type d'attaque. Pour l'instant l'analyse du
marché indique que la motivation dérrière les rançongiciels c'est de
rapporter
de l'argent, à la fois au programmeur qui le vends et aux escrocs qui s'en
servent.

Pour ça il faut que les victimes payent la rançon, ce qui n'arrive pas
quand
on a une sauvegarde à restaurer. Le sabotage est un effet de bord qui ne
rapporte pas d'argent en soi et donc n'intéresse pas les opérateurs
actuels.

Dans tous les cas, avoir des sauvegardes limite les dégats.

Le rançongiciel laisse deux options:
  1. payer et espérer récupérer ses données
  2. renoncer à ses données et réinstaller
Avoir une sauvegarde et un plan d'action prédéfini ça rajoute une troisième
option:
  3. restaurer le système et les données les plus récentes


Suffit d'une toute petite variante pour ça, et
une autre variante consistera à menacer d'envoyer tes fichier à tes
concurrents ou les publier sur le net. Tes archives ne te protégeront
pas de ça.

Chiffrer indistinctement les fichiers d'une machine et identifier les
fichiers
ayant de la valeur et de les transférer sur un serveur distant, ce n'est
pas
une petite variante, c'est même un tout autre type d'attaque qui existe
depuis
bien longtemps, la plus connue étant les numéros de carte bancaires.



La sécurité c'est plusieurs volets : pas seulement la disponibilité des
données mais aussi qu'elles soient disponibles au bon moment et pour la
bonne personne.

Je parlais quand à moi du volet "quand le désastre est survenu malgré les
mesures de prévention", c'est à dire quand les données ne sont plus
disponibles et qu'il faut rétablir tout ça dans un délai le plus court
possible.


C'est le même principe que pour la surveillance globale, plus les
internautes auront recours au chiffrement et plus le coût de cette
surveillance augmente, diminuant de fait son intérêt.

Pas d'accord non plus. Quand tout le monde chiffrera ses communications
les gouvernements qui le voudront ne cesseront pas de surveiller mais
interdiront (comme c'était le cas il y a quelques années encore en France
avec la limitation des tailles des clés autorisées) les pratiques de
chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
que ceux qui disposent de la puissance publique (ou financière)

gagneront,

et donc probablement une erreur pour les autres de l'encourager ou de la
hâter puisqu'ils arriveront certainement perdants.

Si tu as suivi un peu l'actualité politique mondiale, les gouvernements
n'ont
pas attendu que tout le monde ait recours au chiffrement, ils sont déjà en
train d'essayer de contrôler le chiffrement.

Le but n'est pas de se débarasser de la surveillance gouvernementale (pour
ça
il faudrait se débarasser du gouvernement), il s'agit de réduire la
surveillance globalisée, tout enregistrer tout le temps, pour revenir a de
la
surveillance ciblée.  Il est plus rentable de casser le chiffrement de
cibles
définies que de casser le chiffrement de toutes les communications pour en
extraire celles qui nous intéressent. Un retour à la présomption innocence.

Si tu te souviens du passage de la hadopi, la NSA s'était opposée à cette
loi
parce qu'elle risquait de pousser la population a avoir recours au
chiffrement:

http://www.generation-nt.com/hadopi-cryptologie-service-renseignement-chiffrement-actualite-1094171.html


Juste mon avis perso.

Regards,


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

Une question que je me pose : si on paye la rançon, est-ce qu'on récupère
un moyen de déchiffrer les fichiers?


Le 7 mars 2016 à 23:06,  a écrit :

> On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net
> wrote:
> > Bonsoir,
> >
> > On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
> > > L'éfficacité de l'extorsion par rançongiciel exploite le fait que
> presque
> > > personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
> > > moins cette attaque sera profitable, Ce qui est encore le meilleur
> moyen
> > > de défense contre ce type d'attaque.
> >
> > Pas vraiment d'accord, si la machine est compromise le rançongiciel est
> > toujours capable de faire des dégâts et de ruiner la productivité d'une
> > personne ou entreprise.
>
> Se servir d'un rançongiciel pour saboter discrètement une entreprise c'est
> une
> utilisation inhabituelle de ce type d'attaque. Pour l'instant l'analyse du
> marché indique que la motivation dérrière les rançongiciels c'est de
> rapporter
> de l'argent, à la fois au programmeur qui le vends et aux escrocs qui s'en
> servent.
>
> Pour ça il faut que les victimes payent la rançon, ce qui n'arrive pas
> quand
> on a une sauvegarde à restaurer. Le sabotage est un effet de bord qui ne
> rapporte pas d'argent en soi et donc n'intéresse pas les opérateurs
> actuels.
>
> Dans tous les cas, avoir des sauvegardes limite les dégats.
>
> Le rançongiciel laisse deux options:
>  1. payer et espérer récupérer ses données
>  2. renoncer à ses données et réinstaller
> Avoir une sauvegarde et un plan d'action prédéfini ça rajoute une troisième
> option:
>  3. restaurer le système et les données les plus récentes
>
> > Suffit d'une toute petite variante pour ça, et
> > une autre variante consistera à menacer d'envoyer tes fichier à tes
> > concurrents ou les publier sur le net. Tes archives ne te protégeront
> > pas de ça.
>
> Chiffrer indistinctement les fichiers d'une machine et identifier les
> fichiers
> ayant de la valeur et de les transférer sur un serveur distant, ce n'est
> pas
> une petite variante, c'est même un tout autre type d'attaque qui existe
> depuis
> bien longtemps, la plus connue étant les numéros de carte bancaires.
>
>
> > La sécurité c'est plusieurs volets : pas seulement la disponibilité des
> > données mais aussi qu'elles soient disponibles au bon moment et pour la
> > bonne personne.
>
> Je parlais quand à moi du volet "quand le désastre est survenu malgré les
> mesures de prévention", c'est à dire quand les données ne sont plus
> disponibles et qu'il faut rétablir tout ça dans un délai le plus court
> possible.
>
> > > C'est le même principe que pour la surveillance globale, plus les
> > > internautes auront recours au chiffrement et plus le coût de cette
> > > surveillance augmente, diminuant de fait son intérêt.
> >
> > Pas d'accord non plus. Quand tout le monde chiffrera ses communications
> > les gouvernements qui le voudront ne cesseront pas de surveiller mais
> > interdiront (comme c'était le cas il y a quelques années encore en France
> > avec la limitation des tailles des clés autorisées) les pratiques de
> > chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
> > que ceux qui disposent de la puissance publique (ou financière)
> gagneront,
> > et donc probablement une erreur pour les autres de l'encourager ou de la
> > hâter puisqu'ils arriveront certainement perdants.
>
> Si tu as suivi un peu l'actualité politique mondiale, les gouvernements
> n'ont
> pas attendu que tout le monde ait recours au chiffrement, ils sont déjà en
> train d'essayer de contrôler le chiffrement.
>
> Le but n'est pas de se débarasser de la surveillance gouvernementale (pour
> ça
> il faudrait se débarasser du gouvernement), il s'agit de réduire la
> surveillance globalisée, tout enregistrer tout le temps, pour revenir a de
> la
> surveillance ciblée.  Il est plus rentable de casser le chiffrement de
> cibles
> définies que de casser le chiffrement de toutes les communications pour en
> extraire celles qui nous intéressent. Un retour à la présomption innocence.
>
> Si tu te souviens du passage de la hadopi, la NSA s'était opposée à cette
> loi
> parce qu'elle risquait de pousser la population a avoir recours au
> chiffrement:
>
> http://www.generation-nt.com/hadopi-cryptologie-service-renseignement-chiffrement-actualite-1094171.html
>
> > Juste mon avis perso.
> >
> > Regards,
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[frnog . kapush]

On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net wrote:
> Bonsoir,
> 
> On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
> > L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque
> > personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
> > moins cette attaque sera profitable, Ce qui est encore le meilleur moyen
> > de défense contre ce type d'attaque.
> 
> Pas vraiment d'accord, si la machine est compromise le rançongiciel est
> toujours capable de faire des dégâts et de ruiner la productivité d'une
> personne ou entreprise.

Se servir d'un rançongiciel pour saboter discrètement une entreprise c'est une 
utilisation inhabituelle de ce type d'attaque. Pour l'instant l'analyse du 
marché indique que la motivation dérrière les rançongiciels c'est de rapporter 
de l'argent, à la fois au programmeur qui le vends et aux escrocs qui s'en 
servent.

Pour ça il faut que les victimes payent la rançon, ce qui n'arrive pas quand 
on a une sauvegarde à restaurer. Le sabotage est un effet de bord qui ne 
rapporte pas d'argent en soi et donc n'intéresse pas les opérateurs actuels.

Dans tous les cas, avoir des sauvegardes limite les dégats.

Le rançongiciel laisse deux options:
 1. payer et espérer récupérer ses données
 2. renoncer à ses données et réinstaller
Avoir une sauvegarde et un plan d'action prédéfini ça rajoute une troisième 
option:
 3. restaurer le système et les données les plus récentes

> Suffit d'une toute petite variante pour ça, et
> une autre variante consistera à menacer d'envoyer tes fichier à tes
> concurrents ou les publier sur le net. Tes archives ne te protégeront
> pas de ça.

Chiffrer indistinctement les fichiers d'une machine et identifier les fichiers 
ayant de la valeur et de les transférer sur un serveur distant, ce n'est pas 
une petite variante, c'est même un tout autre type d'attaque qui existe depuis 
bien longtemps, la plus connue étant les numéros de carte bancaires.

 
> La sécurité c'est plusieurs volets : pas seulement la disponibilité des
> données mais aussi qu'elles soient disponibles au bon moment et pour la
> bonne personne.

Je parlais quand à moi du volet "quand le désastre est survenu malgré les 
mesures de prévention", c'est à dire quand les données ne sont plus 
disponibles et qu'il faut rétablir tout ça dans un délai le plus court 
possible.
 
> > C'est le même principe que pour la surveillance globale, plus les
> > internautes auront recours au chiffrement et plus le coût de cette
> > surveillance augmente, diminuant de fait son intérêt.
> 
> Pas d'accord non plus. Quand tout le monde chiffrera ses communications
> les gouvernements qui le voudront ne cesseront pas de surveiller mais
> interdiront (comme c'était le cas il y a quelques années encore en France
> avec la limitation des tailles des clés autorisées) les pratiques de
> chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
> que ceux qui disposent de la puissance publique (ou financière) gagneront,
> et donc probablement une erreur pour les autres de l'encourager ou de la
> hâter puisqu'ils arriveront certainement perdants.

Si tu as suivi un peu l'actualité politique mondiale, les gouvernements n'ont 
pas attendu que tout le monde ait recours au chiffrement, ils sont déjà en 
train d'essayer de contrôler le chiffrement.

Le but n'est pas de se débarasser de la surveillance gouvernementale (pour ça 
il faudrait se débarasser du gouvernement), il s'agit de réduire la 
surveillance globalisée, tout enregistrer tout le temps, pour revenir a de la 
surveillance ciblée.  Il est plus rentable de casser le chiffrement de cibles 
définies que de casser le chiffrement de toutes les communications pour en 
extraire celles qui nous intéressent. Un retour à la présomption innocence.

Si tu te souviens du passage de la hadopi, la NSA s'était opposée à cette loi 
parce qu'elle risquait de pousser la population a avoir recours au 
chiffrement:
http://www.generation-nt.com/hadopi-cryptologie-service-renseignement-chiffrement-actualite-1094171.html
 
> Juste mon avis perso.
> 
> Regards,
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Clement Cavadore]

On Mon, 2016-03-07 at 21:54 +0100, Radu-Adrian Feurdean wrote:
> > > Règle sur le proxy : - interdire de se connecter via une IP sans
> utiliser des noms dns
> > > - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> autres que 443)
> > 
> > Impossible à mettre en pratique dans le monde réel.
> 
> Ah bon ? Pendant presque 12 mois j'utilisais une roccade dedie(*) pour
> ne pas etre assujeti a exactement ca.

+1 :-)

On ne limite pas l'accès au net à un réseauteux ! 
Il est forcément plus con(pétant) que le responsable bureautique :-))

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Radu-Adrian Feurdean]

On Mon, Mar 7, 2016, at 18:28, Michel Py wrote:
> > Louis a écrit :
> > Règle sur le proxy : - interdire de se connecter via une IP sans utiliser 
> > des noms dns
> > - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres 
> > que 443)
> 
> Impossible à mettre en pratique dans le monde réel.

Ah bon ? Pendant presque 12 mois j'utilisais une roccade dedie(*) pour
ne pas etre assujeti a exactement ca.

(*) j'evite le terme cross-connect car batiment de bureaux.

> > - désactiver autorun sur tous les PC pour éviter de se faire véroler par 
> > clé USB
> 
> Oui, il y a des antivirus qui font çà automatiquement.
> 
> > évidemment faire aussi des sauvegardes et mettre ses archives en read-only 
> > (sans droits pour les remettre en read-write)
> 
> Ou sur disque amovible avec quelque chose de physique pour protéger
> l'écriture, comme les RDX.

On parle de disque amovible connecte en USB, prealablement desactive
(voir quelques lignes plus haut) ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

http://www.lemagit.fr/actualites/4500278093/Locky-des-alertes-lancees-trop-tard-en-France

Sinon, quand on a 50k$ à claquer, FireEye semble réussir à contrer les 
Cryptolocker. J’ai bien dit « semble » :)

> Le 7 mars 2016 à 19:12, Pascal Allochon (pallocho)  a 
> écrit :
> 
> Hi Tous.
> 
> Ceci date un poil..mais la comprehension des Ransomware est identique et
> ce que nous voyons ces derniers temps est presque aussi identique à ce
> qu¹il y a sur le lien ci-dessous (un autre en plus de mon email precedent).
> http://blog.talosintel.com/2015/01/ransomware-on-steroids-cryptowall-20.htm
> l
> 
> Mais n¹oubliez pas que le RansomWAre est vraiment très, très used par les
> méchants petits hackers..Ceci est à prendre en compte comme une attaque,
> pas comme un « gentil" virus qui transite sur vos laptops ou email
> Gateways.
> Des Variantes arrivent tous les jours avec des nouvelles fonctions capable
> d¹évoluer avec par exemple des ajouts de capacités d¹évitement de Sandbox
> du sleepers etc...
> Ceci rend donc l¹analyse et la contre-mesure très difficile et complexe.
> L¹identification et l¹arrêt des ces variantes nécessité une approche
> multi-coucheŠ
> Cette approche multi-couche, permet le blocage des emails avec ce type de
> malware (blocage des connexions rsx), ainsi que l¹arrêt des activités des
> processus malveillants pour lutter efficacement pour les ransomwares.
> 
> Bon courage,
> 
> 
> Pascal,
> 
> Think before you print.This email may contain confidential and privileged
> material for the sole use of the intended recipient. Any review, use,
> distribution or disclosure by others is strictly prohibited. If you are
> not the intended recipient (or authorized to receive for the recipient),
> please contact the sender by reply email and delete all copies of this
> message.
> Please click here 
>  for
> Company Registration Information.
> 
> 
> 
> 
> 
> On 07/03/2016 18:04, "frnog-requ...@frnog.org on behalf of Sylvain
> Vallerot"  wrote:
> 
>> -BEGIN PGP SIGNED MESSAGE-
>> Hash: SHA256
>> 
>> Bonsoir,
>> 
>> On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
>>> L'éfficacité de l'extorsion par rançongiciel exploite le fait que
>>> presque 
>>> personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
>>> moins 
>>> cette attaque sera profitable, Ce qui est encore le meilleur moyen de
>>> défense 
>>> contre ce type d'attaque.
>> 
>> Pas vraiment d'accord, si la machine est compromise le rançongiciel est
>> toujours capable de faire des dégâts et de ruiner la productivité d'une
>> personne ou entreprise. Suffit d'une toute petite variante pour ça, et
>> une autre variante consistera à menacer d'envoyer tes fichier à tes
>> concurrents ou les publier sur le net. Tes archives ne te protégeront
>> pas de ça.
>> 
>> La sécurité c'est plusieurs volets : pas seulement la disponibilité des
>> données mais aussi qu'elles soient disponibles au bon moment et pour la
>> bonne personne.
>> 
>>> C'est le même principe que pour la surveillance globale, plus les
>>> internautes 
>>> auront recours au chiffrement et plus le coût de cette surveillance
>>> augmente, 
>>> diminuant de fait son intérêt.
>> 
>> Pas d'accord non plus. Quand tout le monde chiffrera ses communications
>> les gouvernements qui le voudront ne cesseront pas de surveiller mais
>> interdiront (comme c'était le cas il y a quelques années encore en France
>> avec la limitation des tailles des clés autorisées) les pratiques de
>> chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
>> que ceux qui disposent de la puissance publique (ou financière)
>> gagneront, 
>> et donc probablement une erreur pour les autres de l'encourager ou de la
>> hâter puisqu'ils arriveront certainement perdants.
>> 
>> Juste mon avis perso.
>> 
>> Regards,
>> -BEGIN PGP SIGNATURE-
>> Version: GnuPG v1
>> 
>> iF4EAREIAAYFAlbdtJgACgkQJBGsD8mtnRGIrAD9FwMFZEuKEcO04n9b525fPy14
>> KaGakAG1/z2oX4pFZ8AA/0Whwgz5ufUrtuAkKWEeXDXA4WqLiXC+Z/9mVDGbZx+x
>> =J6AU
>> -END PGP SIGNATURE-
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Pascal Allochon (pallocho)]

Hi Tous.

Ceci date un poil..mais la comprehension des Ransomware est identique et
ce que nous voyons ces derniers temps est presque aussi identique à ce
qu¹il y a sur le lien ci-dessous (un autre en plus de mon email precedent).
http://blog.talosintel.com/2015/01/ransomware-on-steroids-cryptowall-20.htm
l

Mais n¹oubliez pas que le RansomWAre est vraiment très, très used par les
méchants petits hackers..Ceci est à prendre en compte comme une attaque,
pas comme un « gentil" virus qui transite sur vos laptops ou email
Gateways.
Des Variantes arrivent tous les jours avec des nouvelles fonctions capable
d¹évoluer avec par exemple des ajouts de capacités d¹évitement de Sandbox
du sleepers etc...
Ceci rend donc l¹analyse et la contre-mesure très difficile et complexe.
L¹identification et l¹arrêt des ces variantes nécessité une approche
multi-coucheŠ
Cette approche multi-couche, permet le blocage des emails avec ce type de
malware (blocage des connexions rsx), ainsi que l¹arrêt des activités des
processus malveillants pour lutter efficacement pour les ransomwares.

Bon courage,


Pascal,

 Think before you print.This email may contain confidential and privileged
material for the sole use of the intended recipient. Any review, use,
distribution or disclosure by others is strictly prohibited. If you are
not the intended recipient (or authorized to receive for the recipient),
please contact the sender by reply email and delete all copies of this
message.
Please click here 
 for
Company Registration Information.





On 07/03/2016 18:04, "frnog-requ...@frnog.org on behalf of Sylvain
Vallerot"  wrote:

>-BEGIN PGP SIGNED MESSAGE-
>Hash: SHA256
>
>Bonsoir,
>
>On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
>> L'éfficacité de l'extorsion par rançongiciel exploite le fait que
>>presque 
>> personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et
>>moins 
>> cette attaque sera profitable, Ce qui est encore le meilleur moyen de
>>défense 
>> contre ce type d'attaque.
>
>Pas vraiment d'accord, si la machine est compromise le rançongiciel est
>toujours capable de faire des dégâts et de ruiner la productivité d'une
>personne ou entreprise. Suffit d'une toute petite variante pour ça, et
>une autre variante consistera à menacer d'envoyer tes fichier à tes
>concurrents ou les publier sur le net. Tes archives ne te protégeront
>pas de ça.
>
>La sécurité c'est plusieurs volets : pas seulement la disponibilité des
>données mais aussi qu'elles soient disponibles au bon moment et pour la
>bonne personne.
>
>> C'est le même principe que pour la surveillance globale, plus les
>>internautes 
>> auront recours au chiffrement et plus le coût de cette surveillance
>>augmente, 
>> diminuant de fait son intérêt.
>
>Pas d'accord non plus. Quand tout le monde chiffrera ses communications
>les gouvernements qui le voudront ne cesseront pas de surveiller mais
>interdiront (comme c'était le cas il y a quelques années encore en France
>avec la limitation des tailles des clés autorisées) les pratiques de
>chiffrement qu'ils ne savent pas casser ou contourner. C'est une course
>que ceux qui disposent de la puissance publique (ou financière)
>gagneront, 
>et donc probablement une erreur pour les autres de l'encourager ou de la
>hâter puisqu'ils arriveront certainement perdants.
>
>Juste mon avis perso.
>
>Regards,
>-BEGIN PGP SIGNATURE-
>Version: GnuPG v1
>
>iF4EAREIAAYFAlbdtJgACgkQJBGsD8mtnRGIrAD9FwMFZEuKEcO04n9b525fPy14
>KaGakAG1/z2oX4pFZ8AA/0Whwgz5ufUrtuAkKWEeXDXA4WqLiXC+Z/9mVDGbZx+x
>=J6AU
>-END PGP SIGNATURE-
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Cryptolock

[Michel Py]

> David Ponzone a écrit :
> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
> exe, bat, cmd, msi, etc….
> ainsi que le téléchargement de fichiers du même type.

Efficace mais impossible dans la plupart des organisations. C'est valable pour 
les geeks, tu renommes toto.zip toto.zip.xxx avant de l'envoyer,
Impossible à mettre en pratique dans le monde réel.
 
> uTorrent aussi est devenu une saloperie.

+1 hélas.

> Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.

Sous Windows je me suis mis à Tixati.


> Tony Chambon a écrit :
> Avez vous essayé de décrypté les fichiers ??

Aucun succès jusqu'à présent.


> Louis a écrit :
> Règle sur le proxy : - interdire de se connecter via une IP sans utiliser des 
> noms dns
> - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres que 
> 443)

Impossible à mettre en pratique dans le monde réel.

> - désactiver autorun sur tous les PC pour éviter de se faire véroler par clé 
> USB

Oui, il y a des antivirus qui font çà automatiquement.

> évidemment faire aussi des sauvegardes et mettre ses archives en read-only 
> (sans droits pour les remettre en read-write)

Ou sur disque amovible avec quelque chose de physique pour protéger l'écriture, 
comme les RDX.


> DiDi Abaric a écrit :
> La seule parade efficace c'est d'interdire l'exécution des .exe ou des 
> .docx.exe et autre cochonnerie dans les %tmp% ( car maintenant
> il se place dans le local AppData de l'user.)...Et donc d'interdire 
> pratiquement toutes les maj et installation logiciel...

Impossible à mettre en pratique dans le monde réel.

> Pour ce faire le logiciel Cryptoprevent fait très bien le job (malwarebyte à 
> sorti un truc équivalant en beta).

C'est pas mieux qu'un antivirus; çà va bloquer les versions connues mais pas la 
dernière évolution.

> Au niveau réseau c'est pratiquement  impossible, adresse de telechargement 
> changeante

C'est pour çà qu'il faut du blocage réseau mis à jour en temps réel et pas 1 
fois par jour.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

https://www.gartner.com/doc/339858/signaturebased-virus-detection-desktop-dying
http://blogs.gartner.com/neil_macdonald/2010/12/23/antivirus-is-dead-long-live-antivirus/

Au fait, pour être plus précis, c'est l'antivirus à base de signature qui
est visé par le Gartner. Les antivirus de nos jours intègrent des modes de
détection de comportement et autres... Ces nouveaux algorithmes
ultra-efficaces permettent de supprimer Putty (logiciel suspect) et de
laisser tous les fichiers d'un PC se faire chiffrer par un ransomware
(comportement non suspect).


Le 7 mars 2016 à 17:33, David Ponzone  a écrit :

> J’ai pas retrouvé l’analyse de Gartner mais leur magic quadrant te donne
> quand même l’impression qu’il faut en installer 5 ou 6 :)
>
> http://www.gartner.com/doc/reprints?id=1-2TXNYBS=151211=sbw
>
>
> > Le 7 mars 2016 à 16:38, Louis  a écrit :
> >
> > le proxy filtrant ne va pas empêcher la contamination mais a la
> possibilité
> > de filtrer les échanges du virus avec l'extérieur et d'empêcher le
> fishing.
> >
> > Le filtrage dns, c'est qu'une possibilité. Il y a les websense et
> consorts.
> >
> > Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> > tellement de variantes des malware. Il faut que je retrouve l'article du
> > Gartner qui préconisait d’abandonner les antivirus.
> >
> >
> > Le 7 mars 2016 à 16:13, Stephane Bortzmeyer  a écrit
> :
> >
> >> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
> >> Louis  wrote
> >> a message of 58 lines which said:
> >>
> >>> Est-ce que vous pensez que comme pour les autres attaques la clé
> >>> privée est commune à tous ou un couple clé privé / publique est
> >>> vraiment générée par PC (comme indiqué dans les messages)?
> >>
> >> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> >> sur un autre rançongiciel au dernier Botconf
> >> <
> >>
> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
> >>>
> >>
> >>>  - paramétrer dns filtrant d'un éditeur de sécu
> >>
> >> Très mauvaise idée (bricoler un service essentiel de
> >> l'infrastructure).
> >>
> >>>   - pas d'échange en direct sans proxy filtrant
> >> ...
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus
> >>
> >> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> >> malveillant alors que l'antivirus n'y arrive pas ?
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Sylvain Vallerot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

Bonsoir,

On 07/03/2016 17:43, frnog.kap...@antichef.net wrote:
> L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque 
> personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et moins 
> cette attaque sera profitable, Ce qui est encore le meilleur moyen de défense 
> contre ce type d'attaque.

Pas vraiment d'accord, si la machine est compromise le rançongiciel est
toujours capable de faire des dégâts et de ruiner la productivité d'une
personne ou entreprise. Suffit d'une toute petite variante pour ça, et
une autre variante consistera à menacer d'envoyer tes fichier à tes
concurrents ou les publier sur le net. Tes archives ne te protégeront
pas de ça.

La sécurité c'est plusieurs volets : pas seulement la disponibilité des
données mais aussi qu'elles soient disponibles au bon moment et pour la
bonne personne.

> C'est le même principe que pour la surveillance globale, plus les internautes 
> auront recours au chiffrement et plus le coût de cette surveillance augmente, 
> diminuant de fait son intérêt.

Pas d'accord non plus. Quand tout le monde chiffrera ses communications
les gouvernements qui le voudront ne cesseront pas de surveiller mais
interdiront (comme c'était le cas il y a quelques années encore en France
avec la limitation des tailles des clés autorisées) les pratiques de 
chiffrement qu'ils ne savent pas casser ou contourner. C'est une course 
que ceux qui disposent de la puissance publique (ou financière) gagneront, 
et donc probablement une erreur pour les autres de l'encourager ou de la
hâter puisqu'ils arriveront certainement perdants.

Juste mon avis perso.

Regards,
-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlbdtJgACgkQJBGsD8mtnRGIrAD9FwMFZEuKEcO04n9b525fPy14
KaGakAG1/z2oX4pFZ8AA/0Whwgz5ufUrtuAkKWEeXDXA4WqLiXC+Z/9mVDGbZx+x
=J6AU
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

J’ai pas retrouvé l’analyse de Gartner mais leur magic quadrant te donne quand 
même l’impression qu’il faut en installer 5 ou 6 :)

http://www.gartner.com/doc/reprints?id=1-2TXNYBS=151211=sbw


> Le 7 mars 2016 à 16:38, Louis  a écrit :
> 
> le proxy filtrant ne va pas empêcher la contamination mais a la possibilité
> de filtrer les échanges du virus avec l'extérieur et d'empêcher le fishing.
> 
> Le filtrage dns, c'est qu'une possibilité. Il y a les websense et consorts.
> 
> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> tellement de variantes des malware. Il faut que je retrouve l'article du
> Gartner qui préconisait d’abandonner les antivirus.
> 
> 
> Le 7 mars 2016 à 16:13, Stephane Bortzmeyer  a écrit :
> 
>> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
>> Louis  wrote
>> a message of 58 lines which said:
>> 
>>> Est-ce que vous pensez que comme pour les autres attaques la clé
>>> privée est commune à tous ou un couple clé privé / publique est
>>> vraiment générée par PC (comme indiqué dans les messages)?
>> 
>> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
>> sur un autre rançongiciel au dernier Botconf
>> <
>> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
>>> 
>> 
>>>  - paramétrer dns filtrant d'un éditeur de sécu
>> 
>> Très mauvaise idée (bricoler un service essentiel de
>> l'infrastructure).
>> 
>>>   - pas d'échange en direct sans proxy filtrant
>> ...
>>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>>> antivirus
>> 
>> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
>> malveillant alors que l'antivirus n'y arrive pas ?
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Samuel PIRON]

Bonjour !

Pour revenir sur le sujet de l'antivirus qui ne détecte pas les nouveau 
virus tout juste sorti :


Sur mon serveur de mail, j'ai récemment interfacé MIMEdefang avec un 
script d'analyse de macro sur document Office 
(http://www.decalage.info/python/olevba).


Pour l'instant, je ne fais aucun blocage, juste de l'analyse pour voir 
ce qui passe et je log tout ça. Les résultats sont plutôt encourageant, 
j'ai moins d'une dizaine de faux positifs par jour sur un volume de 
5 mails/jour. Les vagues de fichiers infectés apparaissent bien dans 
mes logs (ex: "Receipt - Order No 173535.docm").


Avez-vous d'autres solutions dans le même genre qui pourraient limiter 
la casse ?


---
Samuel PIRON


Le 07/03/2016 17:23, Dorian BECKER a écrit :

Hello,

comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas 
trouvé
de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous 
les

jours.

*J'ai eu des retours de personnes qui auraient déchiffré leur fichiers 
avec
ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer. Par contre je 
n'ai

pas pu tester de mon coté.

Le 7 mars 2016 à 17:04, Louis  a écrit :


et encore quand le virus ne désactive l'antivirus.

Le 7 mars 2016 à 16:59, David Ponzone  a 
écrit :


> Ils protègent des maladies connues et identifiées :)
>
> > Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> >
> > Hello,
> >
> >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> >> tellement de variantes des malware. Il faut que je retrouve l'article
du
> >> Gartner qui préconisait d’abandonner les antivirus.
> >
> > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> que *après* qu'un virus a été lancé dans le wild.
> >
> > Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> >
> > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége,
> mais ce n'est jamais le cas.
> >
> > Xavier
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Dorian BECKER]

Hello,

comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas trouvé
de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous les
jours.

*J'ai eu des retours de personnes qui auraient déchiffré leur fichiers avec
ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer. Par contre je n'ai
pas pu tester de mon coté.

Le 7 mars 2016 à 17:04, Louis  a écrit :

> et encore quand le virus ne désactive l'antivirus.
>
> Le 7 mars 2016 à 16:59, David Ponzone  a écrit :
>
> > Ils protègent des maladies connues et identifiées :)
> >
> > > Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> > >
> > > Hello,
> > >
> > >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> > >> tellement de variantes des malware. Il faut que je retrouve l'article
> du
> > >> Gartner qui préconisait d’abandonner les antivirus.
> > >
> > > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> > que *après* qu'un virus a été lancé dans le wild.
> > >
> > > Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> > >
> > > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége,
> > mais ce n'est jamais le cas.
> > >
> > > Xavier
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Romain]

Oh, le grand chaman qui sait tout et qui est sûr de lui alors qu'il doit
probablement pas y connaître grand chose. Il y avait longtemps.
Un AV (bon après ça dépend lequel) c'est pas juste une base de signature.
Ca permet d'interdire l'exécution de fichiers en fonction de leur
réputation/catégorie/connaissance des exécutions précédentes et du
répertoire dans lequel ils se situent, ça permet d'avoir de l'heuristique
en fonction du comportement, de surveiller les modifs système et d'en
déduire qu'un malware est à l'action, d'enregistrer toutes les modifs et de
les rétablir. Et j'en passe. Renseigne toi avant de blablater sur cette
liste.

Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :

> Hello,
>
> > Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> > tellement de variantes des malware. Il faut que je retrouve l'article du
> > Gartner qui préconisait d’abandonner les antivirus.
>
> Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> que *après* qu'un virus a été lancé dans le wild.
>
> Il n'ont rien a envier aux vaccins dans le monde animal / humain.
>
> Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége, mais
> ce n'est jamais le cas.
>
> Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Romain]

Pas toutes les versions, certains apparaissent comme un fichier texte
basique, après ça dépend de l'OS et de l'association des fichiers également.

Le 7 mars 2016 à 16:03, David Ponzone  a écrit :

> Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
> La pièce jointe apparait comme PDF alors que c’est un exe ou zip:
>
> https://en.wikipedia.org/wiki/CryptoLocker#Operation
>
>
> > Le 7 mars 2016 à 15:55, Yannick Guerrini  a
> écrit :
> >
> > Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
> > de lancer automatiquement un script avec ce type de fichier ?
> >
> > Le 07/03/2016 15:21, David Ponzone a écrit :
> >> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un
> mail entrant, avec un zip en pièce jointe, qui contient un script qui
> récupère un exe par HTTP.
> >> Pour ma part, j’ai commencé par interdire les pièces jointes contenant
> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
> même type.
> >>
> >>> Le 7 mars 2016 à 15:12, Louis  a écrit :
> >>>
> >>> c'est effectivement assez inquiétant. J'ai des proches qui se sont
> faits
> >>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> >>> solution de déchiffrement à jour. Est-ce que vous pensez que comme
> pour les
> >>> autres attaques la clé privée est commune à tous ou un couple clé
> privé /
> >>> publique est vraiment générée par PC (comme indiqué dans les messages)?
> >>>
> >>> Je pense que les bonne pratiques pour limiter le risque de se faire
> >>> infecter :
> >>>
> >>>  - pas d'échange en direct sans proxy filtrant - sauf dérogation de
> flux
> >>>  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
> >>> - interdire de se connecter via une IP sans utiliser des noms dns
> >>> - paramétrer dns filtrant d'un éditeur de sécu
> >>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> >>> autres que 443)
> >>>  - désactiver autorun sur tous les PC pour éviter de se faire véroler
> par
> >>>  clé USB
> >>>  - filtre antifishing efficace
> >>>  - (à compléter)
> >>>
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer
> des
> >>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> >>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> >>>
> >>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a
> écrit :
> >>>
>  On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>  David Ponzone  wrote
>  a message of 8 lines which said:
> 
> > Quelqu’un a remarqué une forte augmentation des attaques type
> > cryptolock par mail depuis environ 10 jours ?
> 
>  Blague à part, nos impôts paient une agence qui gère un site Web pour
>  cela (prévenir les citoyens) :
>  http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> 
> 
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> 
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Romain]

Interdire l'exécution d'applications inconnues dans %AppData% permet déjà
d'éliminer beaucoup de variantes.

Le 7 mars 2016 à 15:12, Louis  a écrit :

> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
> autres attaques la clé privée est commune à tous ou un couple clé privé /
> publique est vraiment générée par PC (comme indiqué dans les messages)?
>
> Je pense que les bonne pratiques pour limiter le risque de se faire
> infecter :
>
>- pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>   - interdire de se connecter via une IP sans utiliser des noms dns
>   - paramétrer dns filtrant d'un éditeur de sécu
>   - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>   autres que 443)
>- désactiver autorun sur tous les PC pour éviter de se faire véroler par
>clé USB
>- filtre antifishing efficace
>- (à compléter)
>
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>
> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>
> > On Mon, Mar 07, 2016 at 01:51:19PM +0100,
> >  David Ponzone  wrote
> >  a message of 8 lines which said:
> >
> > > Quelqu’un a remarqué une forte augmentation des attaques type
> > > cryptolock par mail depuis environ 10 jours ?
> >
> > Blague à part, nos impôts paient une agence qui gère un site Web pour
> > cela (prévenir les citoyens) :
> > http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

et encore quand le virus ne désactive l'antivirus.

Le 7 mars 2016 à 16:59, David Ponzone  a écrit :

> Ils protègent des maladies connues et identifiées :)
>
> > Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> >
> > Hello,
> >
> >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> >> tellement de variantes des malware. Il faut que je retrouve l'article du
> >> Gartner qui préconisait d’abandonner les antivirus.
> >
> > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> que *après* qu'un virus a été lancé dans le wild.
> >
> > Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> >
> > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége,
> mais ce n'est jamais le cas.
> >
> > Xavier
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

Ils protègent des maladies connues et identifiées :)

> Le 7 mars 2016 à 16:55, Xavier Beaudouin  a écrit :
> 
> Hello,
> 
>> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
>> tellement de variantes des malware. Il faut que je retrouve l'article du
>> Gartner qui préconisait d’abandonner les antivirus.
> 
> Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature que 
> *après* qu'un virus a été lancé dans le wild.
> 
> Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> 
> Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége, mais ce 
> n'est jamais le cas.
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Tony Chambon]

Bonjour à tous,

Avez vous essayé de décrypté les fichiers ?? Comme beaucoup d'entre vous,
mon entourage professionnel et personnel a été touché.
https://github.com/Googulator/TeslaCrack#install-python

Le 7 mars 2016 à 16:48, Guillaume GARNIER  a
écrit :

> fail []
>
> ++
>
> Guillaume
>
> Le 07/03/2016 16:27, David Ponzone a écrit :
>
>> uTorrent aussi est devenu une saloperie.
>> Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.
>>
>>
>> Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :
>>>
>>> Bonjour,
>>>
>>> Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du
>>> client Transmission vendredi dernier:
>>> http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
>>>
>>> Ca impacte les utilisateurs MacOS X.
>>>
>>> Etienne
>>>
>>> Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :
>>>
>>> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
 Louis  wrote
 a message of 58 lines which said:

 Est-ce que vous pensez que comme pour les autres attaques la clé
> privée est commune à tous ou un couple clé privé / publique est
> vraiment générée par PC (comme indiqué dans les messages)?
>
 Apparemment, oui, la clé est différente par PC. Il y avait un exposé
 sur un autre rançongiciel au dernier Botconf
 <
 https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
 >

  - paramétrer dns filtrant d'un éditeur de sécu
>
 Très mauvaise idée (bricoler un service essentiel de
 l'infrastructure).

   - pas d'échange en direct sans proxy filtrant
>
 ...

> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus
>
 Et par quel miracle le "proxy filtrant" peut filtrer le contenu
 malveillant alors que l'antivirus n'y arrive pas ?


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Xavier Beaudouin]

Hello,

> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> tellement de variantes des malware. Il faut que je retrouve l'article du
> Gartner qui préconisait d’abandonner les antivirus.

Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature que 
*après* qu'un virus a été lancé dans le wild.

Il n'ont rien a envier aux vaccins dans le monde animal / humain.

Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége, mais ce 
n'est jamais le cas.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Guillaume GARNIER]

fail []

++

Guillaume

Le 07/03/2016 16:27, David Ponzone a écrit :

uTorrent aussi est devenu une saloperie.
Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.



Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :

Bonjour,

Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client 
Transmission vendredi dernier: 
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Ca impacte les utilisateurs MacOS X.

Etienne

Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :


On Mon, Mar 07, 2016 at 03:12:46PM +0100,
Louis  wrote
a message of 58 lines which said:


Est-ce que vous pensez que comme pour les autres attaques la clé
privée est commune à tous ou un couple clé privé / publique est
vraiment générée par PC (comme indiqué dans les messages)?

Apparemment, oui, la clé est différente par PC. Il y avait un exposé
sur un autre rançongiciel au dernier Botconf



 - paramétrer dns filtrant d'un éditeur de sécu

Très mauvaise idée (bricoler un service essentiel de
l'infrastructure).


  - pas d'échange en direct sans proxy filtrant

...

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus

Et par quel miracle le "proxy filtrant" peut filtrer le contenu
malveillant alors que l'antivirus n'y arrive pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Guillaume GARNIER]

mais pas que µtorrent !

http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

++

Guillaume

Le 07/03/2016 16:27, David Ponzone a écrit :

uTorrent aussi est devenu une saloperie.
Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.



Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :

Bonjour,

Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client 
Transmission vendredi dernier: 
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Ca impacte les utilisateurs MacOS X.

Etienne

Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :


On Mon, Mar 07, 2016 at 03:12:46PM +0100,
Louis  wrote
a message of 58 lines which said:


Est-ce que vous pensez que comme pour les autres attaques la clé
privée est commune à tous ou un couple clé privé / publique est
vraiment générée par PC (comme indiqué dans les messages)?

Apparemment, oui, la clé est différente par PC. Il y avait un exposé
sur un autre rançongiciel au dernier Botconf



 - paramétrer dns filtrant d'un éditeur de sécu

Très mauvaise idée (bricoler un service essentiel de
l'infrastructure).


  - pas d'échange en direct sans proxy filtrant

...

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus

Et par quel miracle le "proxy filtrant" peut filtrer le contenu
malveillant alors que l'antivirus n'y arrive pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Louis]

le proxy filtrant ne va pas empêcher la contamination mais a la possibilité
de filtrer les échanges du virus avec l'extérieur et d'empêcher le fishing.

Le filtrage dns, c'est qu'une possibilité. Il y a les websense et consorts.

Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
tellement de variantes des malware. Il faut que je retrouve l'article du
Gartner qui préconisait d’abandonner les antivirus.


Le 7 mars 2016 à 16:13, Stephane Bortzmeyer  a écrit :

> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
>  Louis  wrote
>  a message of 58 lines which said:
>
> > Est-ce que vous pensez que comme pour les autres attaques la clé
> > privée est commune à tous ou un couple clé privé / publique est
> > vraiment générée par PC (comme indiqué dans les messages)?
>
> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> sur un autre rançongiciel au dernier Botconf
> <
> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
> >
>
> >   - paramétrer dns filtrant d'un éditeur de sécu
>
> Très mauvaise idée (bricoler un service essentiel de
> l'infrastructure).
>
> >- pas d'échange en direct sans proxy filtrant
> ...
> > Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> > antivirus
>
> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> malveillant alors que l'antivirus n'y arrive pas ?
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

[troll] la solution : utiliser des applications en mode SaaS sur un PC
linux [/troll]

Troll à part, je pense que ça fait partie des solutions.

Le 7 mars 2016 à 16:27, David Ponzone  a écrit :

> uTorrent aussi est devenu une saloperie.
> Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.
>
>
> > Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit
> :
> >
> > Bonjour,
> >
> > Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du
> client Transmission vendredi dernier:
> http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
> >
> > Ca impacte les utilisateurs MacOS X.
> >
> > Etienne
> >
> > Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :
> >
> >> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
> >> Louis  wrote
> >> a message of 58 lines which said:
> >>
> >>> Est-ce que vous pensez que comme pour les autres attaques la clé
> >>> privée est commune à tous ou un couple clé privé / publique est
> >>> vraiment générée par PC (comme indiqué dans les messages)?
> >>
> >> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> >> sur un autre rançongiciel au dernier Botconf
> >> <
> https://www.botconf.eu/2015/the-story-of-cryptowall-a-historical-analysis-of-a-large-scale-cryptographic-ransomware-threat/
> >
> >>
> >>> - paramétrer dns filtrant d'un éditeur de sécu
> >>
> >> Très mauvaise idée (bricoler un service essentiel de
> >> l'infrastructure).
> >>
> >>>  - pas d'échange en direct sans proxy filtrant
> >> ...
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus
> >>
> >> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> >> malveillant alors que l'antivirus n'y arrive pas ?
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

uTorrent aussi est devenu une saloperie.
Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent.


> Le 7 mars 2016 à 16:22, Etienne CorpG  a écrit :
> 
> Bonjour,
> 
> Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du 
> client Transmission vendredi dernier: 
> http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
> 
> Ca impacte les utilisateurs MacOS X.
> 
> Etienne
> 
> Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :
> 
>> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
>> Louis  wrote 
>> a message of 58 lines which said:
>> 
>>> Est-ce que vous pensez que comme pour les autres attaques la clé
>>> privée est commune à tous ou un couple clé privé / publique est
>>> vraiment générée par PC (comme indiqué dans les messages)?
>> 
>> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
>> sur un autre rançongiciel au dernier Botconf
>> 
>> 
>>> - paramétrer dns filtrant d'un éditeur de sécu
>> 
>> Très mauvaise idée (bricoler un service essentiel de
>> l'infrastructure).
>> 
>>>  - pas d'échange en direct sans proxy filtrant 
>> ...
>>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>>> antivirus
>> 
>> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
>> malveillant alors que l'antivirus n'y arrive pas ?
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

le fameuse réponse du "work as design". Dernièrement, j'ai eu un "- c'est
pas conforme à la RFC - oui mais c'est work as design. Je demande une
demande de nouvelle fonctionnalité pour changer ça"

Le 7 mars 2016 à 16:03, David Ponzone  a écrit :

> Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
> La pièce jointe apparait comme PDF alors que c’est un exe ou zip:
>
> https://en.wikipedia.org/wiki/CryptoLocker#Operation
>
>
> > Le 7 mars 2016 à 15:55, Yannick Guerrini  a
> écrit :
> >
> > Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
> > de lancer automatiquement un script avec ce type de fichier ?
> >
> > Le 07/03/2016 15:21, David Ponzone a écrit :
> >> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un
> mail entrant, avec un zip en pièce jointe, qui contient un script qui
> récupère un exe par HTTP.
> >> Pour ma part, j’ai commencé par interdire les pièces jointes contenant
> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
> même type.
> >>
> >>> Le 7 mars 2016 à 15:12, Louis  a écrit :
> >>>
> >>> c'est effectivement assez inquiétant. J'ai des proches qui se sont
> faits
> >>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> >>> solution de déchiffrement à jour. Est-ce que vous pensez que comme
> pour les
> >>> autres attaques la clé privée est commune à tous ou un couple clé
> privé /
> >>> publique est vraiment générée par PC (comme indiqué dans les messages)?
> >>>
> >>> Je pense que les bonne pratiques pour limiter le risque de se faire
> >>> infecter :
> >>>
> >>>  - pas d'échange en direct sans proxy filtrant - sauf dérogation de
> flux
> >>>  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
> >>> - interdire de se connecter via une IP sans utiliser des noms dns
> >>> - paramétrer dns filtrant d'un éditeur de sécu
> >>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> >>> autres que 443)
> >>>  - désactiver autorun sur tous les PC pour éviter de se faire véroler
> par
> >>>  clé USB
> >>>  - filtre antifishing efficace
> >>>  - (à compléter)
> >>>
> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> >>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer
> des
> >>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> >>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> >>>
> >>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a
> écrit :
> >>>
>  On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>  David Ponzone  wrote
>  a message of 8 lines which said:
> 
> > Quelqu’un a remarqué une forte augmentation des attaques type
> > cryptolock par mail depuis environ 10 jours ?
> 
>  Blague à part, nos impôts paient une agence qui gère un site Web pour
>  cela (prévenir les citoyens) :
>  http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> 
> 
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> 
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Etienne CorpG]

Bonjour,

Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client 
Transmission vendredi dernier: 
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Ca impacte les utilisateurs MacOS X.

Etienne

Le 7 mars 2016 à 16:13, Stephane Bortzmeyer a écrit :

> On Mon, Mar 07, 2016 at 03:12:46PM +0100,
> Louis  wrote 
> a message of 58 lines which said:
> 
>> Est-ce que vous pensez que comme pour les autres attaques la clé
>> privée est commune à tous ou un couple clé privé / publique est
>> vraiment générée par PC (comme indiqué dans les messages)?
> 
> Apparemment, oui, la clé est différente par PC. Il y avait un exposé
> sur un autre rançongiciel au dernier Botconf
> 
> 
>>  - paramétrer dns filtrant d'un éditeur de sécu
> 
> Très mauvaise idée (bricoler un service essentiel de
> l'infrastructure).
> 
>>   - pas d'échange en direct sans proxy filtrant 
> ...
>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>> antivirus
> 
> Et par quel miracle le "proxy filtrant" peut filtrer le contenu
> malveillant alors que l'antivirus n'y arrive pas ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Stephane Bortzmeyer]

On Mon, Mar 07, 2016 at 03:12:46PM +0100,
 Louis  wrote 
 a message of 58 lines which said:

> Est-ce que vous pensez que comme pour les autres attaques la clé
> privée est commune à tous ou un couple clé privé / publique est
> vraiment générée par PC (comme indiqué dans les messages)?

Apparemment, oui, la clé est différente par PC. Il y avait un exposé
sur un autre rançongiciel au dernier Botconf


>   - paramétrer dns filtrant d'un éditeur de sécu

Très mauvaise idée (bricoler un service essentiel de
l'infrastructure).

>- pas d'échange en direct sans proxy filtrant 
...
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus

Et par quel miracle le "proxy filtrant" peut filtrer le contenu
malveillant alors que l'antivirus n'y arrive pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Patrick Rauld]

Déjà rencontré le problème il y 15 jours, chez une de mes connaissances,
tous ces répertoires ont été cryptés sauf par chance ceux qui commençais
pas _ underscore et c'était les plus important !

Le 7 mars 2016 à 16:08, Patrick Rauld  a écrit :

> Déjà rencontré le problème il y 15 jours, chez une de mes connaissances,
> tous ces répertoires ont été cryptés sauf par chance ceux qui commençais
> pas _ underscore et c'était les plus important !
>
> Le 7 mars 2016 à 15:55, Yannick Guerrini  a écrit
> :
>
>> Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
>> de lancer automatiquement un script avec ce type de fichier ?
>>
>> Le 07/03/2016 15:21, David Ponzone a écrit :
>> > A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un
>> mail entrant, avec un zip en pièce jointe, qui contient un script qui
>> récupère un exe par HTTP.
>> > Pour ma part, j’ai commencé par interdire les pièces jointes contenant
>> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
>> même type.
>> >
>> >> Le 7 mars 2016 à 15:12, Louis  a écrit :
>> >>
>> >> c'est effectivement assez inquiétant. J'ai des proches qui se sont
>> faits
>> >> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
>> >> solution de déchiffrement à jour. Est-ce que vous pensez que comme
>> pour les
>> >> autres attaques la clé privée est commune à tous ou un couple clé
>> privé /
>> >> publique est vraiment générée par PC (comme indiqué dans les messages)?
>> >>
>> >> Je pense que les bonne pratiques pour limiter le risque de se faire
>> >> infecter :
>> >>
>> >>   - pas d'échange en direct sans proxy filtrant - sauf dérogation de
>> flux
>> >>   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>> >>  - interdire de se connecter via une IP sans utiliser des noms dns
>> >>  - paramétrer dns filtrant d'un éditeur de sécu
>> >>  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>> >>  autres que 443)
>> >>   - désactiver autorun sur tous les PC pour éviter de se faire véroler
>> par
>> >>   clé USB
>> >>   - filtre antifishing efficace
>> >>   - (à compléter)
>> >>
>> >> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>> >> antivirus (qui ne fait en général que ralentir le PC et vous envoyer
>> des
>> >> popups). Tous ceux que je connais qui se sont faits infecter avaient un
>> >> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>> >>
>> >> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a
>> écrit :
>> >>
>> >>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>> >>> David Ponzone  wrote
>> >>> a message of 8 lines which said:
>> >>>
>>  Quelqu’un a remarqué une forte augmentation des attaques type
>>  cryptolock par mail depuis environ 10 jours ?
>> >>>
>> >>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>> >>> cela (prévenir les citoyens) :
>> >>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>> >>>
>> >>>
>> >>> ---
>> >>> Liste de diffusion du FRnOG
>> >>> http://www.frnog.org/
>> >>>
>> >>
>> >> ---
>> >> Liste de diffusion du FRnOG
>> >> http://www.frnog.org/
>> >
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>> >
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Yannick Guerrini]

Non, non, et c'est bien ça qui m'a interpellé : un véritable fichier pdf
en pièce jointe, pas un exécutable .pdf.exe dont on aurait modifié
l’icône pour le faire passer pour du pdf, comme c'est le cas d'habitude.
Et bien entendu, tout est déjà parti à la poubelle...

D'où ma question : est-ce que c'est possible qu'un pdf malicieux puisse
lancer automatiquement un script dès son ouverture ?

Le 07/03/2016 16:03, David Ponzone a écrit :
> Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
> La pièce jointe apparait comme PDF alors que c’est un exe ou zip:
> 
> https://en.wikipedia.org/wiki/CryptoLocker#Operation
> 
> 
>> Le 7 mars 2016 à 15:55, Yannick Guerrini  a écrit :
>>
>> Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
>> de lancer automatiquement un script avec ce type de fichier ?
>>
>> Le 07/03/2016 15:21, David Ponzone a écrit :
>>> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
>>> entrant, avec un zip en pièce jointe, qui contient un script qui récupère 
>>> un exe par HTTP.
>>> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
>>> exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même 
>>> type.
>>>
 Le 7 mars 2016 à 15:12, Louis  a écrit :

 c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
 avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
 solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
 autres attaques la clé privée est commune à tous ou un couple clé privé /
 publique est vraiment générée par PC (comme indiqué dans les messages)?

 Je pense que les bonne pratiques pour limiter le risque de se faire
 infecter :

  - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
 - interdire de se connecter via une IP sans utiliser des noms dns
 - paramétrer dns filtrant d'un éditeur de sécu
 - autoriser que http-80 et https-443 (interdire CONNECT sur ports
 autres que 443)
  - désactiver autorun sur tous les PC pour éviter de se faire véroler par
  clé USB
  - filtre antifishing efficace
  - (à compléter)

 Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
 antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
 popups). Tous ceux que je connais qui se sont faits infecter avaient un
 antivirus à jour. Un bon virus commence par désactiver l'antivirus.

 Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :

> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
> David Ponzone  wrote
> a message of 8 lines which said:
>
>> Quelqu’un a remarqué une forte augmentation des attaques type
>> cryptolock par mail depuis environ 10 jours ?
>
> Blague à part, nos impôts paient une agence qui gère un site Web pour
> cela (prévenir les citoyens) :
> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[DiDi Abaric]

Bonjour.

Je le connais très très bien et je peux vous dire que même certains
Antivirus passent des fois au travers. La dernière blague c'est une
détection par Trend mais avec un beau nettoyage impossible à la clef...

La seule parade efficace c'est d'interdire l'exécution des .exe ou des
.docx.exe et autre cochonnerie dans les %tmp% ( car maintenant il se place
dans le local AppData de l'user.)...Et donc d'interdire pratiquement toutes
les maj et installation logiciel...Pour ce faire le logiciel Cryptoprevent
fait très bien le job (malwarebyte à sorti un truc équivalant en beta)
sinon règles d'accès dans une gpo.

Au niveau réseau c'est pratiquement  impossible,  adresse de telechargement
changeante en plus de ça c'est tjs par une action utilisateur croyant
ouvrir un Word et exécutant un JS dans une macro alors dans ce cas là la
détection est pratiquement impossible. Eset avait essayé il se sont
retrouvé avec pleins de faux positif.
il n'y a qu'un Parfeu avec inspection Antivirus des emails, un sophos est
suffisant chez certains clients il me le bloque bien.

Et puis quand le mal est fait. Il ne reste plus que les sauvegardes!
Le 7 mars 2016 15:21, "David Ponzone"  a écrit :

> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail
> entrant, avec un zip en pièce jointe, qui contient un script qui récupère
> un exe par HTTP.
> Pour ma part, j’ai commencé par interdire les pièces jointes contenant
> zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du
> même type.
>
> > Le 7 mars 2016 à 15:12, Louis  a écrit :
> >
> > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> > avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> > solution de déchiffrement à jour. Est-ce que vous pensez que comme pour
> les
> > autres attaques la clé privée est commune à tous ou un couple clé privé /
> > publique est vraiment générée par PC (comme indiqué dans les messages)?
> >
> > Je pense que les bonne pratiques pour limiter le risque de se faire
> > infecter :
> >
> >   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
> >   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
> >  - interdire de se connecter via une IP sans utiliser des noms dns
> >  - paramétrer dns filtrant d'un éditeur de sécu
> >  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
> >  autres que 443)
> >   - désactiver autorun sur tous les PC pour éviter de se faire véroler
> par
> >   clé USB
> >   - filtre antifishing efficace
> >   - (à compléter)
> >
> > Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> > antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> > popups). Tous ceux que je connais qui se sont faits infecter avaient un
> > antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> >
> > Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit
> :
> >
> >> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
> >> David Ponzone  wrote
> >> a message of 8 lines which said:
> >>
> >>> Quelqu’un a remarqué une forte augmentation des attaques type
> >>> cryptolock par mail depuis environ 10 jours ?
> >>
> >> Blague à part, nos impôts paient une agence qui gère un site Web pour
> >> cela (prévenir les citoyens) :
> >> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

Non, c’est une ruse qui utilise une « fonctionnalité »  de Microsoft.
La pièce jointe apparait comme PDF alors que c’est un exe ou zip:

https://en.wikipedia.org/wiki/CryptoLocker#Operation


> Le 7 mars 2016 à 15:55, Yannick Guerrini  a écrit :
> 
> Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
> de lancer automatiquement un script avec ce type de fichier ?
> 
> Le 07/03/2016 15:21, David Ponzone a écrit :
>> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
>> entrant, avec un zip en pièce jointe, qui contient un script qui récupère un 
>> exe par HTTP.
>> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
>> exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même 
>> type.
>> 
>>> Le 7 mars 2016 à 15:12, Louis  a écrit :
>>> 
>>> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
>>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
>>> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
>>> autres attaques la clé privée est commune à tous ou un couple clé privé /
>>> publique est vraiment générée par PC (comme indiqué dans les messages)?
>>> 
>>> Je pense que les bonne pratiques pour limiter le risque de se faire
>>> infecter :
>>> 
>>>  - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>>>  à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>>> - interdire de se connecter via une IP sans utiliser des noms dns
>>> - paramétrer dns filtrant d'un éditeur de sécu
>>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>>> autres que 443)
>>>  - désactiver autorun sur tous les PC pour éviter de se faire véroler par
>>>  clé USB
>>>  - filtre antifishing efficace
>>>  - (à compléter)
>>> 
>>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
>>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
>>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>>> 
>>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>>> 
 On Mon, Mar 07, 2016 at 01:51:19PM +0100,
 David Ponzone  wrote
 a message of 8 lines which said:
 
> Quelqu’un a remarqué une forte augmentation des attaques type
> cryptolock par mail depuis environ 10 jours ?
 
 Blague à part, nos impôts paient une agence qui gère un site Web pour
 cela (prévenir les citoyens) :
 http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Yannick Guerrini]

Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs
de lancer automatiquement un script avec ce type de fichier ?

Le 07/03/2016 15:21, David Ponzone a écrit :
> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
> entrant, avec un zip en pièce jointe, qui contient un script qui récupère un 
> exe par HTTP.
> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
> exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même 
> type.
> 
>> Le 7 mars 2016 à 15:12, Louis  a écrit :
>>
>> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
>> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
>> autres attaques la clé privée est commune à tous ou un couple clé privé /
>> publique est vraiment générée par PC (comme indiqué dans les messages)?
>>
>> Je pense que les bonne pratiques pour limiter le risque de se faire
>> infecter :
>>
>>   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>>   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>>  - interdire de se connecter via une IP sans utiliser des noms dns
>>  - paramétrer dns filtrant d'un éditeur de sécu
>>  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>>  autres que 443)
>>   - désactiver autorun sur tous les PC pour éviter de se faire véroler par
>>   clé USB
>>   - filtre antifishing efficace
>>   - (à compléter)
>>
>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
>> popups). Tous ceux que je connais qui se sont faits infecter avaient un
>> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>>
>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>>
>>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>>> David Ponzone  wrote
>>> a message of 8 lines which said:
>>>
 Quelqu’un a remarqué une forte augmentation des attaques type
 cryptolock par mail depuis environ 10 jours ?
>>>
>>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>>> cela (prévenir les citoyens) :
>>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[David Ponzone]

A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail 
entrant, avec un zip en pièce jointe, qui contient un script qui récupère un 
exe par HTTP.
Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même type.

> Le 7 mars 2016 à 15:12, Louis  a écrit :
> 
> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
> autres attaques la clé privée est commune à tous ou un couple clé privé /
> publique est vraiment générée par PC (comme indiqué dans les messages)?
> 
> Je pense que les bonne pratiques pour limiter le risque de se faire
> infecter :
> 
>   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
>   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>  - interdire de se connecter via une IP sans utiliser des noms dns
>  - paramétrer dns filtrant d'un éditeur de sécu
>  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>  autres que 443)
>   - désactiver autorun sur tous les PC pour éviter de se faire véroler par
>   clé USB
>   - filtre antifishing efficace
>   - (à compléter)
> 
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
> 
> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
> 
>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>> David Ponzone  wrote
>> a message of 8 lines which said:
>> 
>>> Quelqu’un a remarqué une forte augmentation des attaques type
>>> cryptolock par mail depuis environ 10 jours ?
>> 
>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>> cela (prévenir les citoyens) :
>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Stéphane | ActiNetwork]

Complément : Une politique de backup avec une rotation. Il ne faut pas 
que l'espace de stockage soit accessible pour éviter de voir les données 
se faire crypter.


Stéphane

Le 07/03/2016 15:12, Louis a écrit :

c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
autres attaques la clé privée est commune à tous ou un couple clé privé /
publique est vraiment générée par PC (comme indiqué dans les messages)?

Je pense que les bonne pratiques pour limiter le risque de se faire
infecter :

- pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
à ouvrir au cas par cas sur firewall. Règle sur le proxy :
   - interdire de se connecter via une IP sans utiliser des noms dns
   - paramétrer dns filtrant d'un éditeur de sécu
   - autoriser que http-80 et https-443 (interdire CONNECT sur ports
   autres que 443)
- désactiver autorun sur tous les PC pour éviter de se faire véroler par
clé USB
- filtre antifishing efficace
- (à compléter)

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
popups). Tous ceux que je connais qui se sont faits infecter avaient un
antivirus à jour. Un bon virus commence par désactiver l'antivirus.

Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :


On Mon, Mar 07, 2016 at 01:51:19PM +0100,
  David Ponzone  wrote
  a message of 8 lines which said:


Quelqu’un a remarqué une forte augmentation des attaques type
cryptolock par mail depuis environ 10 jours ?

Blague à part, nos impôts paient une agence qui gère un site Web pour
cela (prévenir les citoyens) :
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

évidemment faire aussi des sauvegardes et mettre ses archives en read-only
(sans droits pour les remettre en read-write)

Le 7 mars 2016 à 15:12, Louis  a écrit :

> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
> autres attaques la clé privée est commune à tous ou un couple clé privé /
> publique est vraiment générée par PC (comme indiqué dans les messages)?
>
> Je pense que les bonne pratiques pour limiter le risque de se faire
> infecter :
>
>- pas d'échange en direct sans proxy filtrant - sauf dérogation de
>flux à ouvrir au cas par cas sur firewall. Règle sur le proxy :
>   - interdire de se connecter via une IP sans utiliser des noms dns
>   - paramétrer dns filtrant d'un éditeur de sécu
>   - autoriser que http-80 et https-443 (interdire CONNECT sur ports
>   autres que 443)
>- désactiver autorun sur tous les PC pour éviter de se faire véroler
>par clé USB
>- filtre antifishing efficace
>- (à compléter)
>
> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
> popups). Tous ceux que je connais qui se sont faits infecter avaient un
> antivirus à jour. Un bon virus commence par désactiver l'antivirus.
>
> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :
>
>> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>>  David Ponzone  wrote
>>  a message of 8 lines which said:
>>
>> > Quelqu’un a remarqué une forte augmentation des attaques type
>> > cryptolock par mail depuis environ 10 jours ?
>>
>> Blague à part, nos impôts paient une agence qui gère un site Web pour
>> cela (prévenir les citoyens) :
>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

[Louis]

c'est effectivement assez inquiétant. J'ai des proches qui se sont faits
avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de
solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les
autres attaques la clé privée est commune à tous ou un couple clé privé /
publique est vraiment générée par PC (comme indiqué dans les messages)?

Je pense que les bonne pratiques pour limiter le risque de se faire
infecter :

   - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux
   à ouvrir au cas par cas sur firewall. Règle sur le proxy :
  - interdire de se connecter via une IP sans utiliser des noms dns
  - paramétrer dns filtrant d'un éditeur de sécu
  - autoriser que http-80 et https-443 (interdire CONNECT sur ports
  autres que 443)
   - désactiver autorun sur tous les PC pour éviter de se faire véroler par
   clé USB
   - filtre antifishing efficace
   - (à compléter)

Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel
antivirus (qui ne fait en général que ralentir le PC et vous envoyer des
popups). Tous ceux que je connais qui se sont faits infecter avaient un
antivirus à jour. Un bon virus commence par désactiver l'antivirus.

Le 7 mars 2016 à 14:07, Stephane Bortzmeyer  a écrit :

> On Mon, Mar 07, 2016 at 01:51:19PM +0100,
>  David Ponzone  wrote
>  a message of 8 lines which said:
>
> > Quelqu’un a remarqué une forte augmentation des attaques type
> > cryptolock par mail depuis environ 10 jours ?
>
> Blague à part, nos impôts paient une agence qui gère un site Web pour
> cela (prévenir les citoyens) :
> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Stephane Bortzmeyer]

On Mon, Mar 07, 2016 at 01:51:19PM +0100,
 David Ponzone  wrote 
 a message of 8 lines which said:

> Quelqu’un a remarqué une forte augmentation des attaques type
> cryptolock par mail depuis environ 10 jours ?

Blague à part, nos impôts paient une agence qui gère un site Web pour
cela (prévenir les citoyens) :
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Cryptolock

[Stephane Bortzmeyer]

On Mon, Mar 07, 2016 at 01:51:19PM +0100,
 David Ponzone  wrote 
 a message of 8 lines which said:

> Quelqu’un a remarqué une forte augmentation des attaques type
> cryptolock par mail depuis environ 10 jours ?

Oui. Grâce à ses boites noires, Bernard voit tout :

http://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Un-nouveau-rancongiciel-nomme-locky-arrive-en-France


---
Liste de diffusion du FRnOG
http://www.frnog.org/