Ransomware

[Patapon]

Yo,

Cela fait plusieurs années que le phénomène est connu, mais explose littéralement en ce moment. Le ransomware est un virus qui n'a qu'une utilité: crypter les fichiers et demander une rançon pour les libérer. Dans certains cas il s'attaquent "qu'aux" fichiers utilisateurs (.doc, docx, odt, xls, etc) dans d'autres ils peuvent également crypter les fichiers nécessaires au fonctionnement du système; la plupart du temps, ils accèdent également aux lecteurs réseau connectés (genre on crois que la sauvegarde sur le NAS est suffisante, et pan: un lecteur était connecté et tout ce qui se trouvait dans le lecteur est crypté)

Une fois les fichiers cryptés il n'y a que 4 solutions:

• Payer la rançon (risqué, mais aux dernières nouvelles cela fonctionnait; là, pour l'ordre de grandeur, il réclamait 2.5 bitcoins à un client pour lui rendre 18Go de fichiers)
• Dire adieu aux fichiers
• Restaurer une sauvegarde
• Il arrive, des fois, qu'on en retrouve dans les snapshot (mais ce n'est pas garanti)

Décrypter n'est pas une option: généralement on est sur des cryptages AES 256 bits (c'est trop costaud pour être "cassé" simplement).

Comment cela se produit il?

Comme la plupart des infections: un mail contenant un fichier vérolés (en ce moment, la grande mode est "d'imiter" un un mail en provenance d'un scan réseau, envoyé avec le bon nom de domaine; j'en reçois approximativement une dizaine par jour), un fichier téléchargé, un clic malencontreux sur une bannière publicitaire, etc

Comment s'en prémunir?

Ne jamais ouvrir de mail non sollicités dont on a pas identifié avec certitude la provenance, lorsqu'on télécharge un soft, le faire depuis le site de l'éditeur, lire avant de cliquer sur toute les bannières du web, se méfier de ce qui apparait sur une page web (beaucoup de pub vous indiquant que votre pc est vérolés, toussa: c'est de la connerie). (NB: un bête fichier .doc peut très bien contenir un bout de programme qui ira télécharger le crypto-virus (=ransonware) et l'exécutera sur votre machine; c'est un des moyens pour passer les protection anti-virus sur les mails)

Faire des copies de sauvegardes: cad, une copie des données importantes qui n'est pas constamment accessible depuis la machine (Dropmachin ou Googletruc ne sont pas des sauvegardes: un crypto-virus, les cryptera de la même façon, et sera synchronisé sur le web).

Edit: si vous avez été crypté, avant de courir brancher votre précieuse sauvegarde, scan antivirus, antimalware, etc : même si la plupart du temps les crypto connu ne sont plus actifs après leur méfait, ça serait quand même con de brancher la sauvegarde et de la crypter.

Edit2: voilà à quoi ressemble la page de paiement de la rançon (ici pour Locky):

Tcho

Hugo

[Troll]

Hello,

Les anti-virus, même à jour, ne sont-ils pas capables de détecter un fichier potentiellement dangereux que l'ouvre depuis un mail ? (question sans doute niaise...)

Pour ma part, je n'ouvre pas les mails dont je ne connais pas l'expéditeur, ou bien dont je n'attends rien justifiant une PJ.

Bien cordialement,

Troll

[Patapon]

yo,

Le problème d'un antivirus c'est que c'est comme un vaccin: ce n'est efficace que contre ce qu'il "connait".

Il "suffit" de changer la forme du virus pour qu'il ne soit plus détecté.....

Tcho

Hugo

[Troll]

Hello,

Donc si je comprends bien, il peut être efficace contre UN ransomware, mais pas contre l'ensemble des ransomwares existants ?

Comme tu dis, rien ne vaut la prudence !

Ceci dit (naturellement, tu auras sans doute un œil plus expert que moi pour juger de la qualité de ce qui suit), voici quelques articles parlant de la protection contre ce type de malware:

https://www.microsoft.com/fr-fr/security/resources/ransomware-whatis.aspx
https://stopransomware.fr/se-proteger/
http://www.bitdefender.fr/blog/Ransomwares-mieux-vaut-perdre-ses-donnees-ou-son-argent-Partie-1-1585.html

Bien à toi,

Cordialement

[Patapon]

Yo,

Donc si je comprends bien, il peut être efficace contre UN ransomware, mais pas contre l'ensemble des ransomwares existants ?

Nan: ce que je veux dire, c'est que l'efficacité de ton antivirus dépend de la base de virus qu'il connait. Si tu exécute une vérole qu'il ne connait pas, il ne bloque pas. Donc, un virus est dangereux dans les quelques jours qui suivent sa "sortie".

Pour le reste: je n'ai pas parlé des virus qui bloquent l'utilisation du PC, parce que, comme le cryptage des fichiers systèmes, ça n'a qu'un impact minime en vérité: tu format/réinstall, sur récupères ton système. Les données ont une valeur inquantifiable (et, selon les cas, tu peux foutre une boutique en faillite), et irremplaçable (cad qu'en cas de perte, tu seras incapable de tout refaire).

Tcho

Hugo

[Troll]

Hello,

Je vois ! 

Est-ce que typiquement, partitionner son disque dur peut-être d'une quelconque utilité (c'est ce que j'ai fait "dans le doute").

Ainsi, si je viens à télécharger un fichier vérolé, j'ai paramétré mon navigateur pour qu'il enregistre sur une partition dédiée. De cette façon il ne peut [logiquement] être crypté que le contenu de cette partition qui ne doit rien contenir de précieux / sensible, etc...

Certes il s'agit de ce que je crois être du bricolage informatique plus qu'autre chose mais bon quand on y connait rien

Bien cordialement,

Troll

[onc roger]

Est-ce que typiquement, partitionner son disque dur peut-être d'une quelconque utilité (c'est ce que j'ai fait "dans le doute").

Malheureusement non !

A partir du moment où un truc vérolé s’exécute il se retrouve avec (au moins !) les mêmes droits que toi donc tout emplacement où tu as le droit d'écrire qu'il soit sur un autre disque, une autre partition ou même à l'autre bout d'un réseau (comme indiqué par Hugo) peut être modifié (et donc, entre-autres, crypté)

La seule parade efficace consiste à avoir une sauvegarde de tes données totalement isolée du reste. Un disque externe, non connecté et rangé à l'abri, constitue un bon exemple, un second disque stocké dans un autre lieu est encore mieux si vraiment tes données sont importantes à tes yeux.

Comme en plus cela permet de se protéger des autres problèmes possibles (crash etc) ...

[Patapon]

Yep! 

La seule vrai solution (et ça résoud tellement de problèmes que c'est couillon de pas le faire): la révolu...euh...les sauvegardes

Après, on est pas obligé de faire des trucs compliqués (mais c'est moins drôles): ne serait ce qu'une copie à jour, c'est tellement simple et ça évite tant de choses..... 

Simples démonstrations:

• Tu te fais crypter toutes tes données: t'en fout! T'as une sauvegarde
• Ton disque dur lâche: t'en fout! T'as une sauvegarde
• Ta maison brûle: t'en fout! T'as une sauvegarde
• Les zombis débarquent: t'en fout! T'as une sauvegarde 
• C'est la fin du monde? P't'être, mais toi, t'as une sauvegarde

Tcho

Hugo

[François]

C'est là que le choix de la stratégie de sauvegarde et d'archivage prend tout sa valeur. Périodicité, sauvegardes incrémentales, rotation des supports de sauvegarde. Le but étant de ne risquer de perdre qu'une quantité de données supportable (ça c'est différent pour chacun). Et de prendre en compte le fait que souvent on ne se rend pas compte immédiatement que des fichiers sont vérolés, cryptés, ou écrasés; que ce soit pour cause de panne, de malveillance, ou de sa propre connerie
Si on écrase à chaque fois la sauvegarde précédente, c'est foutu.

[Claude Ponthieu]

N’avez-vous pas un logiciel équivalent à MyPopBarrier pour les systèmes que vous utilisez?
Il permet de filtrer ses emails sur le serveur avant récupération sur votre machine.

La sauvegarde est essentielle, la doubler c’est bien, la tripler c’est mieux, mais elles peuvent être totalement inutiles par manque de réflexion — l’exemple type est de conserver/stocker les sauvegardes dans le même local que la machine…

[Troll]

Hello,

Un article présentant un nouveau site relatif à la lutte contre les ransomwares.

C'est un site qui apporte d'une part des conseils et différents outils de prévention / protection.

D'autre part, il propose également l'upload de fichiers préalablement cryptés afin de tenter de les décrypter.

Bien à vous,

Troll

[Patapon]

Yo,

Intéressant, merci! 

En plus les mecs derrière ne sont pas des billes.

D'autre part, il propose également l'upload de fichiers préalablement cryptés afin de tenter de les décrypter.

Alors, la dessus, il s'agit de tenter un brute force avec un dictionnaire de 160K clefs....honnêtement, c'est peu et surtout pas pro-actif: les mecs vont générer d'autres clefs et se sera la course a trouver la clef le plus vite. Je pense plus raisonnable de protéger et sauvegarder....

Tcho

Hugo

[laflap]

C'est vrai qu'en cas d'attaque se zombies  une sauvegarde semble très utile. En plus si le disque est durci on peut la jeter à la tête des zombies. Je valide en complément dune bonne batte de baseball 

[Troll]

Heelo,

A celles et ceux qui ont un serveur perso tournant sous linux, un ransomware est actuellement à l'oeuvre: Fairware. Le lien ici.

Bien à vous,

Troll

[Jco]

Heelo,

A celles et ceux qui ont un serveur perso tournant sous linux, un ransomware est actuellement à l'oeuvre: Fairware. Le lien ici.

Bien à vous,

Troll

Merci pour le signalement!

Je suis tombé sur cet article intéressant:
http://www.bleepingcomputer.com/news/security/hacked-redis-servers-being-used-to-install-the-fairware-ransomware-attack/

qui fait un lien entre le ransomware (Fareware) et des serveurs hackés qui utilisaient le logiciel "Redis". Le vecteur pourrait donc être Redis, d'autres sources parlent d'une attaque "brute force" sur le port SSH.

Quoi qu'il en soit, et si on accepte le "lien" fait entre les deux attaques, l'article cite une série de commandes retrouvées sur les serveurs en question:
rm -rf /var/www/
rm -rf /usr/share/nginx
rm -rf /var/lib/mysql/
rm -rf /data/
echo "Hi, please view: http://xxx for further information in regards to your files" > /root/READ_TO_DECRYPT

Ces commandes suppriment la plupart des fichiers, puis colle le petit fichier demandant la rançon. Si on estime que le "dump" présenté est complet, cela voudrait dire que le paiement de la rançon ne servirait à rien, puisque les fichiers sont supprimés tout simplement.

Bref, faites des sauvegardes...

[Troll]

Hello,

Pour rebondir sur les sauvegarde, je laisse sur le fil suivant:
Vie Sauvage et Survie → Techniques et savoirs de survie → Survie en milieu urbain → [Topic général] Le back-up de vos documents essentiels

un petit mode opératoire pour faire des sauvegarde automatique.

Bien à vous,

Troll

[LiamJ74]

Hello à tous 

Je viens juste apporter peut être une solution si quelqu'un a été victime d'un ransomware (à savoir que je n'ai pas testé mais c'est le site de kaspersky j'ai donc plutôt confiance dans l'efficacité de ces logiciels)

La suite ici : https://noransom.kaspersky.com

 

[a.blabla]

Bonjour,

La police néerlandaise a bossé avec Kaspersky et a également fait un site :   https://www.nomoreransom.org/  Vous transmettez un  ou deux fichiers chiffrés, voire vous copiez-collez le message laissé par les méchants : cela leur permet de voire quel est le ransomware et de vous dire tout de suite s'il y a un moyen actuel de décrypter vos documents.

Dans tous les cas gardez vos documents qui ont été chiffrés : ils pourront être déchiffrés ou décryptés suivant les progrès que font les sociétés d'antivirus,  voire les regrets des malfaisants http://www.spamfighter.com/News-19666-Locker-Ransomware-Author-Regrets-Action-Releases-Decryption-Keys.htm

[LiamJ74]

Bonjour,

La police néerlandaise a bossé avec Kaspersky et a également fait un site :   https://www.nomoreransom.org/  Vous transmettez un  ou deux fichiers chiffrés, voire vous copiez-collez le message laissé par les méchants : cela leur permet de voire quel est le ransomware et de vous dire tout de suite s'il y a un moyen actuel de décrypter vos documents.

Dans tous les cas gardez vos documents qui ont été chiffrés : ils pourront être déchiffrés ou décryptés suivant les progrès que font les sociétés d'antivirus,  voire les regrets des malfaisants http://www.spamfighter.com/News-19666-Locker-Ransomware-Author-Regrets-Action-Releases-Decryption-Keys.htm

Je confirme également le lien,  j'avais du mal hier soir à retrouver mes liens

Merci pour la précision

[Troll]

Hello,

Juste pour info:
Un lien avec un outil de décryptage du ransomware Telecrypt.

Bien à vous,

Troll