RE: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-10 Par sujet Michel Py
> frnog.kap...@antichef.net > Le rançongiciel est très profitable. c'est pour ça qu'il prolifère. +1, Hélas :-( Les gens qui font du rançonlogiciel on bien compris leur marché en ce qui concerne le prix : suffisamment pour que çà soit profitable, pas trop haut pour que la perte de données ou la

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-10 Par sujet frnog . kapush
On mardi 8 mars 2016 13:54:00 CET David Ponzone - david.ponz...@gmail.com wrote: > > Le 8 mars 2016 à 13:45, Carroussel Informatique > > a écrit : > > > > Voyons le bon coté des choses : pour des particuliers, sous linux, il y a > > encore beaucoup à faire, et pour

RE: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet Michel Py
> David Ponzone a écrit : > Puisqu’on parle de solutions, est-ce qu’il existe des filesystem réseau qui > force le client à entrer un mot de > passe quand il veut accéder en écriture à un fichier sur un partage, et qui > n’est valable que pour X minutes ? Multics ? > Dans le monde réel, l’emplo

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-08 Par sujet MANGA Willy Ted
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello, Le 08/03/2016 13:45, Carroussel Informatique a écrit : > [...] J'ai contacté le cabinet, qui développe lui même son > joliciel, et lui ai demandé s'il comptait faire une version linux. > On m'a envoyé me faire lanlaire... Tu places leur envi

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet David Ponzone
Oui mais heureusement, les modules PDF embarqués dans les navigateurs modernes sont à priori immunisés depuis un moment. > Le 8 mars 2016 à 17:21, Laurent Cheylus a écrit : > > Bonjour, > > On Mon, Mar 07, 2016 at 03:55:49PM +0100, Yannick Guerrini wrote: >> Il me semble avoir également vu pas

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet Laurent Cheylus
Bonjour, On Mon, Mar 07, 2016 at 03:55:49PM +0100, Yannick Guerrini wrote: > Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs > de lancer automatiquement un script avec ce type de fichier ? Bien sûr que ce possible, malheureusement :( Il est possible d'embarquer du Javascr

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet David Ponzone
Puisqu’on parle de solutions, est-ce qu’il existe des filesystem réseau qui force le client à entrer un mot de passe quand il veut accéder en écriture à un fichier sur un partage, et qui n’est valable que pour X minutes ? > Le 8 mars 2016 à 16:11, Sylvain Vallerot a écrit : > > -BEGIN PGP

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet Sylvain Vallerot
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 08/03/2016 15:59, Barthélémy DELUY wrote: > Je penche plutôt pour l'autre option . > > Un hacker n'a RIEN à gagner à faire grimper les enchères une fois que le > système est infecté. [..] > S'il veut toucher une fois une grosse somme, le "pira

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet Barthélémy DELUY
Je penche plutôt pour l'autre option . Un hacker n'a RIEN à gagner à faire grimper les enchères une fois que le système est infecté. S'il fait ça, il perd en crédibilité, donc plus aucun client ne paiera. Ils ont au contraire tout à gagner à livre la clé de déchiffrement le plus rapidement possibl

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-08 Par sujet Manu
Le 08/03/2016 13:45, Carroussel Informatique a écrit : J'ai contacté le cabinet, qui développe lui même son joliciel, OMG. La pire horreur que je lis aujourd'hui. -- Manu Jacquet --- Liste de diffusion du FRnOG http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-08 Par sujet David Ponzone
> Le 8 mars 2016 à 13:45, Carroussel Informatique > a écrit : > Voyons le bon coté des choses : pour des particuliers, sous linux, il y a > encore beaucoup à faire, et pour certains professionnels, il y en a encore > plus. > Deux exemples tirés de ma clientèle : >

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-08 Par sujet Carroussel Informatique
Bonjour Le 08/03/2016 12:48, err...@free.fr a écrit : À vous lire, j'ai l'impression qu'il n'y a que les ordinateurs avec windows qui sont touchés, car ça télécharge un exécutable. j'ai une pensée un peu égoïste: tant pis pour les gens qui sont encore sous windows (je ne fais plus d'acharnemen

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-08 Par sujet Alexis Lameire
Un petit dicton bien vrai sur les sauvegardes La périodicité des sauvegardes est inversement proportionel à la quantité de travail qui peut être recommancé" Alexis Le 8 mars 2016 à 12:48, a écrit : > > À vous lire, j'ai l'impression qu'il n'y a que les ordinateurs avec > windows qui sont touch

Re: [FRnOG] Re: [ALERT] Cryptolock (faites des sauvegardes)

2016-03-08 Par sujet err404
À vous lire, j'ai l'impression qu'il n'y a que les ordinateurs avec windows qui sont touchés, car ça télécharge un exécutable. j'ai une pensée un peu égoïste: tant pis pour les gens qui sont encore sous windows (je ne fais plus d'acharnement thérapeutique). tandis que sous linux, lorsqu'on télé

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet Carroussel Informatique
J'imagine que oui... mais : - Rien n’empêche le maitre chanteur de décider abruptement, une fois la rançon payé, que en fait c'est pas 300 boules, mais 400. - Le rancongiciel peut être à deux étages, se planquer et attendre quelques jours avant de repasser une seconde couche... On a affaire à

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-08 Par sujet Louis
Une question que je me pose : si on paye la rançon, est-ce qu'on récupère un moyen de déchiffrer les fichiers? Le 7 mars 2016 à 23:06, a écrit : > On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net > wrote: > > Bonsoir, > > > > On 07/03/2016 17:43, frnog.kap...@antichef.net w

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet frnog . kapush
On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net wrote: > Bonsoir, > > On 07/03/2016 17:43, frnog.kap...@antichef.net wrote: > > L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque > > personne ne fait de sauvegarde. Plus les gens feront des sauvegardes e

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Clement Cavadore
On Mon, 2016-03-07 at 21:54 +0100, Radu-Adrian Feurdean wrote: > > > Règle sur le proxy : - interdire de se connecter via une IP sans > utiliser des noms dns > > > - autoriser que http-80 et https-443 (interdire CONNECT sur ports > autres que 443) > > > > Impossible à mettre en pratique dans le mo

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Radu-Adrian Feurdean
On Mon, Mar 7, 2016, at 18:28, Michel Py wrote: > > Louis a écrit : > > Règle sur le proxy : - interdire de se connecter via une IP sans utiliser > > des noms dns > > - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres > > que 443) > > Impossible à mettre en pratique dans le

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone
http://www.lemagit.fr/actualites/4500278093/Locky-des-alertes-lancees-trop-tard-en-France Sinon, quand on a 50k$ à claquer, FireEye semble réussir à contrer les Cryptolocker. J’ai bien dit « semble » :) > Le 7 mars 2016 à 19:12, Pascal Allochon (pallocho) a > écrit : > > Hi Tous. > > Ceci da

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Pascal Allochon (pallocho)
Hi Tous. Ceci date un poil..mais la comprehension des Ransomware est identique et ce que nous voyons ces derniers temps est presque aussi identique à ce qu¹il y a sur le lien ci-dessous (un autre en plus de mon email precedent). http://blog.talosintel.com/2015/01/ransomware-on-steroids-cryptowall-

RE: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Michel Py
> David Ponzone a écrit : > Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, > exe, bat, cmd, msi, etc…. > ainsi que le téléchargement de fichiers du même type. Efficace mais impossible dans la plupart des organisations. C'est valable pour les geeks, tu renommes toto.z

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Louis
https://www.gartner.com/doc/339858/signaturebased-virus-detection-desktop-dying http://blogs.gartner.com/neil_macdonald/2010/12/23/antivirus-is-dead-long-live-antivirus/ Au fait, pour être plus précis, c'est l'antivirus à base de signature qui est visé par le Gartner. Les antivirus de nos jours in

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Sylvain Vallerot
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 Bonsoir, On 07/03/2016 17:43, frnog.kap...@antichef.net wrote: > L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque > personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et moins > cette attaque sera profita

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet frnog . kapush
On lundi 7 mars 2016 15:12:46 CET Louis - luigi.1...@gmail.com wrote: > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits > avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de > solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les > au

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone
J’ai pas retrouvé l’analyse de Gartner mais leur magic quadrant te donne quand même l’impression qu’il faut en installer 5 ou 6 :) http://www.gartner.com/doc/reprints?id=1-2TXNYBS&ct=151211&st=sbw > Le 7 mars 2016 à 16:38, Louis a écrit : > > le proxy filtrant ne va pas empêcher la contaminat

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Samuel PIRON
Bonjour ! Pour revenir sur le sujet de l'antivirus qui ne détecte pas les nouveau virus tout juste sorti : Sur mon serveur de mail, j'ai récemment interfacé MIMEdefang avec un script d'analyse de macro sur document Office (http://www.decalage.info/python/olevba). Pour l'instant, je ne fais

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Dorian BECKER
Hello, comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas trouvé de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous les jours. *J'ai eu des retours de personnes qui auraient déchiffré leur fichiers avec ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer. Par

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Romain
Oh, le grand chaman qui sait tout et qui est sûr de lui alors qu'il doit probablement pas y connaître grand chose. Il y avait longtemps. Un AV (bon après ça dépend lequel) c'est pas juste une base de signature. Ca permet d'interdire l'exécution de fichiers en fonction de leur réputation/catégorie/c

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Romain
Pas toutes les versions, certains apparaissent comme un fichier texte basique, après ça dépend de l'OS et de l'association des fichiers également. Le 7 mars 2016 à 16:03, David Ponzone a écrit : > Non, c’est une ruse qui utilise une « fonctionnalité » de Microsoft. > La pièce jointe apparait co

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Romain
Interdire l'exécution d'applications inconnues dans %AppData% permet déjà d'éliminer beaucoup de variantes. Le 7 mars 2016 à 15:12, Louis a écrit : > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits > avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de >

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Louis
et encore quand le virus ne désactive l'antivirus. Le 7 mars 2016 à 16:59, David Ponzone a écrit : > Ils protègent des maladies connues et identifiées :) > > > Le 7 mars 2016 à 16:55, Xavier Beaudouin a écrit : > > > > Hello, > > > >> Quant aux antivirus, on se demande bien à quoi ils servent.

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone
Ils protègent des maladies connues et identifiées :) > Le 7 mars 2016 à 16:55, Xavier Beaudouin a écrit : > > Hello, > >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a >> tellement de variantes des malware. Il faut que je retrouve l'article du >> Gartner qui préconisait d’a

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Tony Chambon
Bonjour à tous, Avez vous essayé de décrypté les fichiers ?? Comme beaucoup d'entre vous, mon entourage professionnel et personnel a été touché. https://github.com/Googulator/TeslaCrack#install-python Le 7 mars 2016 à 16:48, Guillaume GARNIER a écrit : > fail [] > > ++ > > Guillaume > > Le 07/0

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Xavier Beaudouin
Hello, > Quant aux antivirus, on se demande bien à quoi ils servent. Il y a > tellement de variantes des malware. Il faut que je retrouve l'article du > Gartner qui préconisait d’abandonner les antivirus. Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature que *après* qu'un v

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone
Ah ouais, un bon gros en plus :) > Le 7 mars 2016 à 16:48, Guillaume GARNIER a > écrit : > > fail [] > > ++ > > Guillaume > > Le 07/03/2016 16:27, David Ponzone a écrit : >> uTorrent aussi est devenu une saloperie. >> Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Guillaume GARNIER
fail [] ++ Guillaume Le 07/03/2016 16:27, David Ponzone a écrit : uTorrent aussi est devenu une saloperie. Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent. Le 7 mars 2016 à 16:22, Etienne CorpG a écrit : Bonjour, Dans le même sujet, un ransomware a aussi été vu

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Guillaume GARNIER
mais pas que µtorrent ! http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/ ++ Guillaume Le 07/03/2016 16:27, David Ponzone a écrit : uTorrent aussi est devenu une saloperie. Raison pour laquelle pas mal d’utilisat

[FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Louis
le proxy filtrant ne va pas empêcher la contamination mais a la possibilité de filtrer les échanges du virus avec l'extérieur et d'empêcher le fishing. Le filtrage dns, c'est qu'une possibilité. Il y a les websense et consorts. Quant aux antivirus, on se demande bien à quoi ils servent. Il y a te

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Louis
[troll] la solution : utiliser des applications en mode SaaS sur un PC linux [/troll] Troll à part, je pense que ça fait partie des solutions. Le 7 mars 2016 à 16:27, David Ponzone a écrit : > uTorrent aussi est devenu une saloperie. > Raison pour laquelle pas mal d’utilisateurs Mac basculent s

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone
uTorrent aussi est devenu une saloperie. Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent. > Le 7 mars 2016 à 16:22, Etienne CorpG a écrit : > > Bonjour, > > Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du > client Transmission vendredi dernie

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Louis
le fameuse réponse du "work as design". Dernièrement, j'ai eu un "- c'est pas conforme à la RFC - oui mais c'est work as design. Je demande une demande de nouvelle fonctionnalité pour changer ça" Le 7 mars 2016 à 16:03, David Ponzone a écrit : > Non, c’est une ruse qui utilise une « fonctionnali

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Etienne CorpG
Bonjour, Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client Transmission vendredi dernier: http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/ Ca impacte les utilisateurs MacOS X. Etienn

[FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Stephane Bortzmeyer
On Mon, Mar 07, 2016 at 03:12:46PM +0100, Louis wrote a message of 58 lines which said: > Est-ce que vous pensez que comme pour les autres attaques la clé > privée est commune à tous ou un couple clé privé / publique est > vraiment générée par PC (comme indiqué dans les messages)? Apparemment

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Patrick Rauld
Déjà rencontré le problème il y 15 jours, chez une de mes connaissances, tous ces répertoires ont été cryptés sauf par chance ceux qui commençais pas _ underscore et c'était les plus important ! Le 7 mars 2016 à 16:08, Patrick Rauld a écrit : > Déjà rencontré le problème il y 15 jours, chez une

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Yannick Guerrini
Non, non, et c'est bien ça qui m'a interpellé : un véritable fichier pdf en pièce jointe, pas un exécutable .pdf.exe dont on aurait modifié l’icône pour le faire passer pour du pdf, comme c'est le cas d'habitude. Et bien entendu, tout est déjà parti à la poubelle... D'où ma question : est-ce que c

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet DiDi Abaric
Bonjour. Je le connais très très bien et je peux vous dire que même certains Antivirus passent des fois au travers. La dernière blague c'est une détection par Trend mais avec un beau nettoyage impossible à la clef... La seule parade efficace c'est d'interdire l'exécution des .exe ou des .docx.exe

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone
Non, c’est une ruse qui utilise une « fonctionnalité » de Microsoft. La pièce jointe apparait comme PDF alors que c’est un exe ou zip: https://en.wikipedia.org/wiki/CryptoLocker#Operation > Le 7 mars 2016 à 15:55, Yannick Guerrini a écrit : > > Il me semble avoir également vu passer du pdf. C

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Yannick Guerrini
Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs de lancer automatiquement un script avec ce type de fichier ? Le 07/03/2016 15:21, David Ponzone a écrit : > A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail > entrant, avec un zip en pièce jointe,

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone
A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail entrant, avec un zip en pièce jointe, qui contient un script qui récupère un exe par HTTP. Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Stéphane | ActiNetwork
Complément : Une politique de backup avec une rotation. Il ne faut pas que l'espace de stockage soit accessible pour éviter de voir les données se faire crypter. Stéphane Le 07/03/2016 15:12, Louis a écrit : c'est effectivement assez inquiétant. J'ai des proches qui se sont faits avoir. Les f

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Louis
évidemment faire aussi des sauvegardes et mettre ses archives en read-only (sans droits pour les remettre en read-write) Le 7 mars 2016 à 15:12, Louis a écrit : > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits > avoir. Les fichiers sont chiffrés et prennent l'extension

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Louis
c'est effectivement assez inquiétant. J'ai des proches qui se sont faits avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les autres attaques la clé privée est commune à tous ou un couple clé privé / publiq

[FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Stephane Bortzmeyer
On Mon, Mar 07, 2016 at 01:51:19PM +0100, David Ponzone wrote a message of 8 lines which said: > Quelqu’un a remarqué une forte augmentation des attaques type > cryptolock par mail depuis environ 10 jours ? Blague à part, nos impôts paient une agence qui gère un site Web pour cela (prévenir l

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Romain
Ici également :) http://cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html Le 7 mars 2016 à 13:56, Stephane Bortzmeyer a écrit : > On Mon, Mar 07, 2016 at 01:51:19PM +0100, > David Ponzone wrote > a message of 8 lines which said: > > > Quelqu’un a remarqué une forte augmentation des attaque

[FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Stephane Bortzmeyer
On Mon, Mar 07, 2016 at 01:51:19PM +0100, David Ponzone wrote a message of 8 lines which said: > Quelqu’un a remarqué une forte augmentation des attaques type > cryptolock par mail depuis environ 10 jours ? Oui. Grâce à ses boites noires, Bernard voit tout : http://www.interieur.gouv.fr/Actu