Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Ranscam, le faux ransomware qui efface les données

Crise de « confiance »

Ranscam, le faux ransomware qui efface les données

Le 14 juillet 2016 à 15h00

Le groupe de sécurité de Cisco a récemment mis en évidence un malware se faisant passer pour un ransomware. Mais une fois le paiement effectué, la victime se rend compte que ses fichiers ne seront jamais récupérés. Et pour cause : ils ont été effacés.

Un ransomware, ou « rançongiciel », fonctionne toujours de la même manière. Il se déguise souvent sous forme de logiciel sans danger ou dont l’objectif est d’aider les utilisateurs, quitte à lui promettre monts et merveilles. Il peut également être présent comme parasite dans un installeur à la base authentique. Une fois lancé, il chiffre les fichiers personnels de l’utilisateur puis lui réclame une rançon, la plupart du temps en bitcoins via une adresse située dans le réseau Tor.

Un déguisement de ransomware

On a pu voir récemment que certains concepteurs pouvaient s’amuser à rendre un ransomware inoffensif en fournissant la précieuse clé de déchiffrement à des fins « éducatives ». Mais Talos, le groupe de sécurité de Cisco, avertit d’un nouveau genre : le ransomscam. Comprendre un malware qui prétend être un ransomware, mais qui n’en est pas un.

Le premier, récemment découvert, a été nommé Ranscam. Comme l’explique Talos, son exécution ne chiffre pas les fichiers : il les supprime directement. Il affiche ensuite un panneau d’information pour expliquer à la victime que ses données ont été chiffrées. Seule solution pour les récupérer, payer la rançon de 0,2 bitcoin, soit au cours actuel environ 116 euros. Tout est fait pour que l’utilisateur ait peur et paye la somme demandée, d’autant qu’elle est assez peu élevée.

ranscam ransomware

L'utilisateur paye et... rien

Malheureusement, et comme on s’en doute, l’utilisateur ne reverra jamais ses données, qu’il ait payé ou non. Talos recommande évidemment de ne pas verser le moindre centime, et indique qu’il y a pour l’instant deux éléments positifs. D’une part, l’attaque semble pour le moment très limitée et ne touchant donc que très peu de personnes. D’autre part, les auteurs de Ranscam n’auraient pas perçu la moindre somme pour l’instant.

Il est difficile de savoir quel est réellement l’objectif réel de ce malware. Les ransomwares se sont multipliés ces dernières années car l’activité est globalement rentable : beaucoup de victimes payent. Elle fonctionne d’autant mieux que dans la plupart des cas, la clé est envoyée et les données sont bien récupérées. C’est d’ailleurs en se basent sur ce constat que le FBI avait recommandé très officiellement de payer la rançon, à l’inverse de la gendarmerie française.

Une remise de la fragile confiance autour des ransomwares

Le fait est que Ranscam est un type de malware qui peut causer du tort… à d’autres malwares. Si les victimes ne récupèrent par leurs données et constatent au contraire qu’elles ont tout bonnement disparu, elles ne s’aventureront pas à payer la fois suivante, si elle se présente, sans parler de passer le mot et de raconter leur mésaventure. C’est bien la notion de « confiance » toute relative autour des ransomwares qui pourrait en être brisée. Certains diront même peut-être merci aux auteurs de Ranscam pour avoir jeté un tel pavé dans la marre.

Commentaires (87)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

oui ca ça montre ce qu’il fait mais ça ne dit pas que la clef de décryptage reste lettre morte après paiement..

votre avatar

Bah si tu sais ce qu’il fait, tu sais aussi ce qu’il ne fait pas. En l’occurrence, il ne permet pas de récupérer les données, clef de déchiffrage ou pas, vu que celles-ci ont été effacées…

votre avatar

donc c’est pas un ransomware, si y a plus de fichiers cryptés parce qu’ils ont été deleter.

Comme quoi cet article est bien trop succinct pour etre sérieux.

votre avatar







gvaudan a écrit :



donc c’est pas un ransomware, si y a plus de fichiers cryptés parce qu’ils ont été deleter.

Comme quoi cet article est bien trop succinct pour etre sérieux.





 Première phrase de l’article: “Le groupe de sécurité de Cisco a récemment mis en évidence un malware se faisant passer pour un ransomware. ” En fait il n’est pas succinct, il suffit de le lire.


votre avatar







kvasir a écrit :



Première phrase de l’article: “Le groupe de sécurité de Cisco a récemment mis en évidence un malware se faisant passer pour un ransomware. ” En fait il n’est pas succinct, il suffit de le lire comprendre.





<img data-src=" />

Et, là, ce n’est pas gagné avec celui-là !


votre avatar

Tout dépend aussi de quelle version de l’article on lit.

Les mots que je citais ont semble t il été “remaniés”. (mais je vois pas d’indication de mise à jour, procédé honnête s’il en est)

&nbsp;

votre avatar

Ça a toujours été clair pourtant (rien que le titre).

votre avatar

Un seul mot pour ne pas se faire avoir : sauvegardez !!!

votre avatar

Supprimons l’informatique !

&nbsp;

votre avatar

Il en faudrait plus souvent des ransomscams, comme ca plus personne ne paierait du tout et l’intérêt de créer un ransomware disparaitrait.

votre avatar

Question de béotien : n’est-il pas possible que les OS concernés aient un moyen de vérification en cas de cryptage “à la volée” des données ? Que seuls des moyens de cryptage autorisés par l’utilisateur soient possible sur la machine ? Ou bien…

votre avatar

Si ton HDD de 4To a plateau se met a gratter comme un fou, tu peux te douter qu’un truc louche se passe… .


Pour le SSD c’est mort, je concède… .



Si les victimes ne récupèrent par leurs données et constatent au contraire qu’elles ont tout bonnement disparu, elles ne s’aventureront pas à payer la fois suivante

Si elles ne s’aventuraient pas a telecharger de la merde, ce serait pas mal non plus. Et un bon anti malware, spa mal non plus… .

votre avatar

Ça me semblerait logique aussi…&nbsp;

votre avatar

Restauration d’une sauvegarde et hop tout rentre dans l’ordre. Celui qui n’en a pas ca lui servira de leçon.

votre avatar







CryoGen a écrit :



Il en faudrait plus souvent des ransomscams, comme ca plus personne ne paierait du tout et l’intérêt de créer un ransomware disparaitrait.







Ca ne m’étonnerait qu’a moitié que ce soit le but recherché…



A voir si les auteurs des vrais ransomwares vont répliquer pour châtier ce trouble-fête.


votre avatar







UnBruitSourd a écrit :



Ça me semblerait logique aussi…





Tout ceci est logique… c’est de l’informatique <img data-src=" />


votre avatar

de mon avis c’est surtout un petit developpeur qui n’a pas assez de competences pour en creer un vrai et a fait ça a la va vite pour pomper du pognon :)

&nbsp;

votre avatar







127.0.0.1 a écrit :



Ca ne m’étonnerait qu’a moitié que ce soit le but recherché…



A voir si les auteurs des vrais ransomwares vont répliquer pour châtier ce trouble-fête.





Remarque, on est en 2016 tout de même. C’est peut-être enfin une version automatisée du virus belge ! <img data-src=" />


votre avatar

A voir comment les fichiers sont supprimés, ça reste peut-être récupérable.

votre avatar







YohAsAkUrA a écrit :



de mon avis c’est surtout un petit developpeur qui n’a pas assez de competences pour en creer un vrai et a fait ça a la va vite pour pomper du pognon :)







Si tu sais créer ce genre de virus mais qu’il te manque la partie chiffrement, tu tentes le coup de bluff avec “attrib H S” pour “faire disparaitre” les fichiers, puis tu délivres une “clé” (à la con) qui ne fait que lancer “attrib -H -S” et les fichiers sont de retours <img data-src=" />


votre avatar

Est-ce vraiment plus compliqué de chiffrer plutôt que d’effacer efficacement ?

votre avatar

Par curiosité, quelle solution technique préconises-tu stp ?

votre avatar

Même question que ci-dessus :

Par curiosité, quelle solution technique préconises-tu stp ?

votre avatar







jeje07bis a écrit :



Ça fait combien d’exemplaires en tout de tes données?&nbsp;<img data-src=" />





Trop opur une gestion manuelle <img data-src=" /><img data-src=" />


votre avatar







Jarodd a écrit :



Trop opur une gestion manuelle <img data-src=" /><img data-src=" />





3 exemplaires suffisent.

au delà, ça devient ridicule.



pour automatiser tes sauvegardes : syncbackfree

&nbsp;


votre avatar

Jamais réussi à le faire fonctionner sur FTP, partage Samba, ou cloud.

votre avatar

Pour les ransomwares c’est souvent des failles pdf que j’ai rencontré.

Mais le zip à la con est toujours bien présent aussi effectivement.

votre avatar

tu peux reacceder a des donnees si tu les ecrases, c’est juste beaucoup plus complique mais fesable. (sur un disque meca)

votre avatar

Je me suis fait la même réflexion… Un mec qui ne savait juste pas faire techniquement et qui est donc allé au plus simple… :)

votre avatar

À moins que je n’aie manqué quelque chose, il me semble qu’il manque une information critique dans l’article : quelles sont les plates-formes concernées par ce ransomscam ?

votre avatar

si personne n’a payé (puisqu’ils n’auraient rien “recu”) alors qui permet de dire que après paiement, les données restent perdues ????



Faut arrêter avec les articles pas cohérents là.. &nbsp;c’est quoi ? un coup de pub a la Cisco comme en avait a la McAffee il y a 20 ans ?



c’est criminel de colporter ce genre de chose, a moins d’avoir creuser fouiller et d’informer réellement ! journalistiquement !

votre avatar

Peut être peux tu lire les pointers de l’article <img data-src=" />

par exemple :http://blog.talosintel.com/2016/07/ranscam.html

votre avatar

Nxi ne serait alors qu’une plateforme de favoris ?

votre avatar

C’est dans le lien vers le blog :

“This ransomware is packaged as a .NET executable that is signed using a digital certificate issued by reca[.]net.”

votre avatar

Je laisserai à NXI le soin de répondre à ta question

Mais à mon avis NXI préfère pointer honnètement vers leurs sources plutot que de faire du copié/collé bête et illégal comme le font la plupart des sites(les mêmes qui ne comprennent pas qu’on utilise des bloqueurs de pub puisqu’on peut trouver les mêmes articles entièrement dupliqués sur des dizaines de sites différents)

Et surtout je crois qu’ils destinent leur articles à des gens qui sont curieux et savent lire.



Bon weekend

votre avatar

je lis très bien je te remercie d’ou mon 1er com….

&nbsp;Certains articles de Nxi sont très bien, c’est pour cela que j’y viens, d’autres pas vraiment et c’est même parfois assez affreux comme ça manque de professionnalisme, surtout si c’est signé “journaliste”…

&nbsp;Et donc moi j’attends mieux que cela et je le dis. Cela s’appelle dis-cuter et commenter

&nbsp;&nbsphttp://www.cnrtl.fr/lexicographie/discuter

&nbsphttp://www.cnrtl.fr/definition/commenter

&nbsp;

&nbsp; bonne fin de semaine.

votre avatar

Parce que le malware et son comportement ont été étudié par Talos et il ne contient rien pour restorer les données perdues. Certes c’est pas dit clairement dans l’article mais ça paraissait plutôt évident.

votre avatar

Ahhh Panda … L’“antivirus” partenaire de la scientologie (je refuse la majuscule sur ce nom). Et outre ce fait la, envoyer tes données à l’extérieur sans la moindre garantie de sécurité … Quelque chose ne colle pas trop la.

votre avatar







gvaudan a écrit :



si personne n’a payé (puisqu’ils n’auraient rien “recu”) alors qui permet de dire que après paiement, les données restent perdues ????





&nbsp;Peut être qu’ils ont juste analysé le bouzin et que son code source se résume à



del .doc;.docx;.jpg;.pdf;*.(….)

exec showRansomMessage.html


votre avatar

<img data-src=" />



L’avantage de la sauvegarde, c’est que si tu cliques n’importe où, tu as quand même une solution de sortie si on te “rançonne” tes fichiers. Pas la peine de payer si tu les as conservé ailleurs.

votre avatar







Mihashi a écrit :



Suffit de voir ce que fait le ransomware : il efface les données.





c’est normal : après avoir chiffré les données il efface les données originales.

Personne ne sait où il stocke les données chiffrées… tant qu’on a pas payé pour avoir la clef, on ne saura pas si c’est les données sont perdues ou pas.



&nbsp;

C’est ce qu’on appelle le “dilemme de la fillette et du crapaud” : tant qu’elle ne l’a pas embrassé sur la bouche elle ne saura pas si c’est un vrai crapaud ou un prince charmant <img data-src=" />


votre avatar







picatrix a écrit :



c’est normal : après avoir chiffré les données il efface les données originales.

Personne ne sait où il stocke les données chiffrées…





ben sur ton pc….


votre avatar







Jarodd a écrit :



Règle des 3-2-1



J’ai plusieurs sauvegardes en local, sur plusieurs appareils, et plusieurs distantes (une en FTP, une en cloud chiffré). Mon problème c’est que c’est manuel (je remets toujours à plus tars l’automatisation), donc risque de perdre les données les plus récentes. Mais je prend soin des données les plus importantes (sauvegardes plusieurs fois par semaine).





Ça fait combien d’exemplaires en tout de tes données?&nbsp;<img data-src=" />


votre avatar







jeje07bis a écrit :



ben sur ton pc….





je viens de regarder : tes données ne sont pas sur mon PC.

essaie plutôt de voir sur le PC de quelqu’un d’autre …


votre avatar







altazon a écrit :



C’est justement de système de HIPS qui coûte cher, et en effet la moindre anomalie est remontée, et du coup Panda serait bien plus réactif qu’un simple antivirus qui essaye lui de réparer plutôt que de prévenir.







Les deux sont complémentaires. L’AV vérifie les fichiers contre une base de signatures, et le HIPS bloque les activités suspectes.



Pour ma part, ca fait plusieurs années que mon AV n’a pas détecté de fichier vérolé… Mais le HIPS me notifie en moyenne une fois pas mois d’action suspecte. Si la plupart du temps ce sont des faux positifs (des mise-a-jour qui intègrent des nouveaux comportements), il y a eu deux ou trois fois des opérations vraiment suspectes (j’ai préféré viré les fichiers incriminés)



Quand a Panda, c’est pas le seul HIPS. Un bon billet que j’ai lu dernièrement sur les HIPS:



https://ludditus.com/2016/03/25/hopefully-ransomware-will-reach-everyone



votre avatar

Qu’est ce que t’en sais puisqu’elles sont censées être chiffrées ?

votre avatar







picatrix a écrit :



je viens de regarder : tes données ne sont pas sur mon PC.

essaie plutôt de voir sur le PC de quelqu’un d’autre …







15 ème degré ?


votre avatar

Il parait que l’université de Floride a une solution.

&nbsp;

http://phys.org/news/2016-07-extortion-extinction-ransomware.html



Bon ça n’empêche pas de perdre quelques fichiers mais au moins tu ne perds pas tout.



Sinon le faux ransomware qui efface les fichiers pourrait être une solution. Si les gens n’ont pas l’assurance de récupérer leurs fichiers et cessent de payer alors il n’y aura plus de ransomware. &nbsp;

votre avatar

Excellent <img data-src=" />

votre avatar

rien ne t’empêche de le faire pour toi, salut <img data-src=" />

votre avatar

et balcon, la niche du chien, soit la touature, la cheminé, dans le réservoir des chiottes, sous le paillasson et bien d’autres encore…<img data-src=" /> <img data-src=" />

votre avatar







patos a écrit :



Moi je sauvegarde en local. Et si t’as besoin de faire un rsync vers le net, ben tu peux: pas besoin d’ouverture, juste d’un accès.



Quand je dis ouverture, je veux dire port redirigé accessible depuis l’extérieur.



Pour les trucs importants, toujours prévoir une sauvegarde distante en plus. Ca permet d’éliminer les pbs les plus importants (feu ou autre).







KissFC a écrit :



Parce que sauver des fichiers cryptés, “yanakisoncapable”.



S’ils sont “cryptés”, non “yanapakisoncapable”. S’ils sont chiffrés, à la limite.


votre avatar

mouai 3 000€ ; combien de postes à protéger ?



Sinon oui un antivirus/antimalware proactif est nécessaire , mais vu que le vecteur de propagation est principalement le mail , il faut surtout un bon serveur de messagerie bloquant déjà les fichiers douteux qui sont principalement des .js incorporé dans des .zip .



Sans oublier également un filtrage web&nbsp; / Antiphishing actif , qui est le 2eme moyen de propagation de ce genre de merde .



&nbsp;Panda security j’ai du mal : y a 8 ans , on m’a dit de désinstaller cet AV sur les postes clients tellement c’était douteux comme logiciel .. à la limite du speedoptimizerboostpc ; d’ailleurs il laissé pas mal de virus passé à l’époque . je sais pas si ça c’est amélioré depuis .

votre avatar







Wellit a écrit :



et balcon, la niche du chien, soit la touature, la cheminé, dans le réservoir des chiottes, sous le paillasson et bien d’autres encore…<img data-src=" /> <img data-src=" />





Dans le réservoir des chiottes, un de mes potes l’a fait pour son serveur qui du coup est fanless…&nbsp;


votre avatar
votre avatar







altazon a écrit :



Notre prestataire informatique depuis 6 mois nous alerte que les cryptovirus sont un réel danger et plusieurs de ses clients ont tout perdu. Il nous dit que la seule solution est le système de la société Panda, qui envoie en temps réel à Panda l’État de tous les PC, pour prévenir l’attaque d’un cryptovirus.



Évidemment cela nous coûterait 3000 Euros.



Vous en pensez quoi ? D’après lui aucun antivirus ne protège contre ces cryptovirus, et Panda est la seule société à avoir un système proactif.





Ça fait une belle jambe d’envoyer l’état des PC “en temps réel” à pandi panda….&nbsp; <img data-src=" />



Quand Pandi panda verra qu’un pc est infecté, bah il sera trop tard.



Ce qu’il faut, c’est pas un système d’alerte qui dise “attention vous venez de choper un cryptlocker, vous venez de tout perdre”, ce qu’il faut, c’est avant tout une bonne sauvegarde des données et dans la mesure du possible une bonne protection et insister pour que les utilisateurs n’ouvrent pas n’importe quel fichier joint à la con ou ne clique pas sur n’importe quel lien à la con sur facebook ou dans un mail ou autre.



A ce stade, je vous conseille de changer de prestataire info!


votre avatar

Il est temps de changer de presta <img data-src=" />



oooppsss <img data-src=" /> grilled

votre avatar

et aussi: ne cliquez pas n’importe où.

votre avatar

Moins cher, il y a l’éducation: apprendre aux gens qu’on ne clique pas n’importe où, qu’on n’ouvre pas les pièces jointes des mails douteux et qu’on n’utilise pas les postes de l’entreprise pour télécharger des trucs.

Ou un bon firewall…

votre avatar







altazon a écrit :



Vous en pensez quoi ? D’après lui aucun antivirus ne protège contre ces cryptovirus, et Panda est la seule société à avoir un système proactif.







Y a du vrai et du faux.





  1. Un antivirus utilisant une base de signature ne détecte que les virus déjà connus (puisqu’il faut avoir sa signature)



  2. Un antivirus utilisant des règles de blacklist (aka SRP dans le monde windows) permet de bloquer des types d’attaques connus (genre “readme.txt.exe”). C’est déjà mieux mais pas parfait



  3. Un HIPS utilisant des règles de whitelist permet de bloquer tout ce qui est inhabituel sur un PC. Ca passe par une phase d’apprentissage où le HIPS monitore le PC et construit la whitelist. A mon avis, c’est le mieux pour des PC dédiés à une activité (des kiosques métiers).



    C’est vrai que Panda intègre un HIPS, mais c’est loin d’être le seul (et c’est pas non plus le meilleur).


votre avatar







127.0.0.1 a écrit :



C’est vrai que Panda intègre un HIPS, mais c’est loin d’être le seul (et c’est pas non plus le meilleur).





j’aime beaucouppppp celui de mon firewall, outpost pro.

mais ces cons ils ont vendu la boite, le support d’outpost s’arrête à la fin de l’année, et encore, d’ici là ce sont seulement des mises à jour de sécurité.



<img data-src=" />



&nbsp;


votre avatar







loser a écrit :



Moins cher, il y a l’éducation: apprendre aux gens qu’on ne clique pas n’importe où, qu’on n’ouvre pas les pièces jointes des mails douteux et qu’on n’utilise pas les postes de l’entreprise pour télécharger des trucs.

Ou un bon firewall…





J’ai fait ça: j’ai supprimé les pièces jointes zip/macro office des gens avec qui on a pas communiqué depuis X jours dans la boite. Mes collègues m’aiment pas mais je m’en fous ^^ J’ai voulu pousser le vice aux PDF / office sans macro mais ils veulent pas :-(



&nbsp;



Patch a écrit :



Et tu fais comment le rsync sans ouverture sur le net? <img data-src=" />



Moi je sauvegarde en local. Et si t’as besoin de faire un rsync vers le net, ben tu peux: pas besoin d’ouverture, juste d’un accès.



Quand je dis ouverture, je veux dire port redirigé accessible depuis l’extérieur.


votre avatar

“Malheureusement, et comme on s’en doute, l’utilisateur ne reverra jamais

ses données, qu’il ait payé ou non.

&nbsp;… D’autre part, les

auteurs de Ranscam n’auraient pas perçu la moindre somme pour

l’instant.”



comment sait-on qu’il ne reverra jamais ses données ? puisque les auteurs n’ont pas reçu la moindre somme, c’est donc qu’ils n’ont donc jamais donné la clé. Donc personne ne sait si l’algo de chiffrage n’est pas super puissant avec un fonctionnement que Talos n’a jamais pu comprendre.



Si ça se trouve c’est un ransomware parfaitement honnête que Talos veut faire passer pour une crapule.

&nbsp;

votre avatar







picatrix a écrit :



Si ça se trouve c’est un ransomware parfaitement honnête que Talos veut faire passer pour une crapule.

&nbsp;





<img data-src=" />



cette phrase de dingue!&nbsp;


votre avatar







127.0.0.1 a écrit :



Y a du vrai et du faux.





  1. Un antivirus utilisant une base de signature ne détecte que les virus déjà connus (puisqu’il faut avoir sa signature)



  2. Un antivirus utilisant des règles de blacklist (aka SRP dans le monde windows) permet de bloquer des types d’attaques connus (genre “readme.txt.exe”). C’est déjà mieux mais pas parfait



  3. Un HIPS utilisant des règles de whitelist permet de bloquer tout ce qui est inhabituel sur un PC. Ca passe par une phase d’apprentissage où le HIPS monitore le PC et construit la whitelist. A mon avis, c’est le mieux pour des PC dédiés à une activité (des kiosques métiers).



    C’est vrai que Panda intègre un HIPS, mais c’est loin d’être le seul (et c’est pas non plus le meilleur).







    C’est justement de système de HIPS qui coûte cher, et en effet la moindre anomalie est remontée, et du coup Panda serait bien plus réactif qu’un simple antivirus qui essaye lui de réparer plutôt que de prévenir.



    Notre prestataire nous dit que 10% de ses clients sont touchés par ces cryptovirus. Ça me paraît énorme, on en aurait entendu parler non ?


votre avatar







altazon a écrit :



C’est justement de système de HIPS qui coûte cher, et en effet la moindre anomalie est remontée





Si une anomalie est remontée, alors c’est que le mal est fait.

Donc j’ai du mal à comprendre l’intérêt….


votre avatar







altazon a écrit :



C’est justement de système de HIPS qui coûte cher, et en effet la moindre anomalie est remontée, et du coup Panda serait bien plus réactif qu’un simple antivirus qui essaye lui de réparer plutôt que de prévenir.



Notre prestataire nous dit que 10% de ses clients sont touchés par ces cryptovirus. Ça me paraît énorme, on en aurait entendu parler non ?





Ok, panda te prévient. Et après ?

Tu seras déjà infecté depuis longtemps.


votre avatar







picatrix a écrit :



comment sait-on qu’il ne reverra jamais ses données ?





Suffit de voir ce que fait le ransomware : il efface les données.


votre avatar

Je tiens a corriger quelque chose :&nbsp;

Ce n’est pas des sauvegardes qui sont le besoin, mais un plan de sauvegarde.



Parce que sauver des fichiers cryptés, “yanakisoncapable”.

Le plan de sauvegarde se doit pour l’utilisateur dont l’informatique n’est pas le métier d’être transparent, pragmatique et réaliste.

Le PRA est également important (dans certaines activités les assurances exigent maintenant un PRA après sinistre.)

N’oubliez pas que les cryptolockers sont capable de crawler une infra pour aller crypter les NAS et lecteurs réseaux vue que c’est principalement là que se trouvent les données les plus sensibles. Donc ce n’est pas au client d’avoir accès au système de sauvegarde, mais le système de sauvegarde qui doit avoir accès aux clients (infrastructure “idéale”) :

L’assertion qu’un système de sauvegarde n’ai pas accès au net est donc valable et les dif/rsync/whatever synchro doivent être lancés sur le système de sauvegarde et pas l’inverse (on ne peut pas compter sur l’ICC pour le faire, c’est un mal nécessaire).

Le client, ne doit pas avoir le droit d’effectuer des tâches administratives, en principe le réseau doit être scindé et sa granularité suffisante : la section “métier” ne devrait pas avoir a gérer l’administration du système ou y avoir accès, tout comme l’administration système ne devrait pas pouvoir toucher aux données “métier” de manière directe. Les outils existent et sont de plus en plus simple a mettre en oeuvre.



&nbsp;Ceci dit, allez faire comprendre a l’ICC d’un poste informatique lambda qu’il n’a pas a avoir l’accès en écriture a un système de stockage quelconque autre que local est une gageure.

votre avatar

Règle des 3-2-1



J’ai plusieurs sauvegardes en local, sur plusieurs appareils, et plusieurs distantes (une en FTP, une en cloud chiffré). Mon problème c’est que c’est manuel (je remets toujours à plus tars l’automatisation), donc risque de perdre les données les plus récentes. Mais je prend soin des données les plus importantes (sauvegardes plusieurs fois par semaine).

votre avatar

C’est théoriquement possible,mais il faut faire gaffe à ses sauvbegardes comme à ses données. Si elles sont déconnectées, tu prends déjà moins de risque.

votre avatar







Quiproquo a écrit :



Est-ce vraiment plus compliqué de chiffrer plutôt que d’effacer efficacement&nbsp;?





Chiffrer écrase les données. Les effaces les rends invisible. Tu peux arriver à voir l’invisible en insistant alors que même en relisant, tu ne liras que les données chiffrées.



&nbsp;

&nbsp;



zeldomar a écrit :



Même question que ci-dessus :

Par curiosité, quelle solution technique préconises-tu stp ?





Veeam Endpoint Protection pour Windows avec un NAS qui fait des instantanés et qui est accessible que par un mot de passe connu par Veeam.

Ca te coute un disque dur réseau :)


votre avatar







zeldomar a écrit :



Même question que ci-dessus :

Par curiosité, quelle solution technique préconises-tu stp ?





exemplaire de tes données en 2 voire 3 exemplaires.

un exemplaire sur ton PC (disque dur ou NAS ou SSD), et 1 ou 2 exemplaires sur des supports externes qui seront connectés au PC uniquement pour la mise à jour de le sauvegarde ; sauvegarde qui sera mise à jour avec un programme comme syncbackfree.

et un support sera stocké ailleurs que chez toi pour les risques de vol / incendie


votre avatar







patos a écrit :



&nbsp;

Veeam Endpoint Protection pour Windows avec un NAS qui fait des instantanés et qui est accessible que par un mot de passe connu par Veeam.

Ca te coute un disque dur réseau :)





Merci, je ne connaissais pas mais ça a l’air top.

Reste plus qu’à acheter un NAS &nbsp;:)


votre avatar

Merci de la réponse, mais je pensais plutôt à de la sauvegarde automatique.

Et il faut que cette sauvegarde ne soit pas accessible au malware sinon ça ne sert à rien&nbsp;<img data-src=" />

votre avatar







patos a écrit :



Veeam Endpoint Protection pour Windows avec un NAS qui fait des instantanés et qui est accessible que par un mot de passe connu par Veeam.

Ca te coute un disque dur réseau :)





jusqu’au jour ou tu te fais cambrioler et voler ton NAS&nbsp; <img data-src=" />



merci pour le programme, je ne connaissais pas!

&nbsp;


votre avatar

…ou que sort une nouvelle version de synolocker. <img data-src=" />

votre avatar







127.0.0.1 a écrit :



…ou que sort une nouvelle version de synolocker. <img data-src=" />





Je connaissais pas. M’enfin quand on a un NAS pour faire de la sauvegarde, on évite de l’ouvrir sur le net.. Enfin ce n’est que mon avis&nbsp;<img data-src=" />



Et y’a des dizaines de planques pour un NAS, surtout s’il est wifi: faux plafond, placard de cuisine (pas sous l’évier s’il vous plait… xD), fringues, scellier, jardin… et même voiture !


votre avatar







CryoGen a écrit :



Si tu sais créer ce genre de virus mais qu’il te manque la partie chiffrement, tu tentes le coup de bluff avec “attrib H S” pour “faire disparaitre” les fichiers, puis tu délivres une “clé” (à la con) qui ne fait que lancer “attrib -H -S” et les fichiers sont de retours <img data-src=" />





Fonctionne pas sur ma Debian… <img data-src=" />


votre avatar







Ricard a écrit :



Fonctionne pas sur ma Debian… <img data-src=" />







mkdir .onestbiencaché

mv * .onestbiencaché

touch PLEASE_0.2BT_zeonfzeERZFOJ84698563


votre avatar







Mavelic a écrit :



Question de béotien : n’est-il pas possible que les OS concernés aient un moyen de vérification en cas de cryptage “à la volée” des données ?



Vu que le cryptage n’existe pas, ca va être difficile à mettre en oeuvre.


votre avatar







patos a écrit :



Je connaissais pas. M’enfin quand on a un NAS pour faire de la sauvegarde, on évite de l’ouvrir sur le net.. Enfin ce n’est que mon avis <img data-src=" />



Et tu fais comment le rsync sans ouverture sur le net? <img data-src=" />


votre avatar







CryoGen a écrit :



mkdir .onestbiencaché

mv * .onestbiencaché

touch PLEASE_0.2BT_zeonfzeERZFOJ84698563







Autant bien se cacher dans le répertoire /dev, de préférence dans le fichier null <img data-src=" />


votre avatar

C’est une impression ou depuis le BitCoin on a vue les ransomware exploser ?

votre avatar

Notre prestataire informatique depuis 6 mois nous alerte que les cryptovirus sont un réel danger et plusieurs de ses clients ont tout perdu. Il nous dit que la seule solution est le système de la société Panda, qui envoie en temps réel à Panda l’État de tous les PC, pour prévenir l’attaque d’un cryptovirus.



Évidemment cela nous coûterait 3000 Euros.



Vous en pensez quoi ? D’après lui aucun antivirus ne protège contre ces cryptovirus, et Panda est la seule société à avoir un système proactif.

votre avatar







Jarodd a écrit :



Un seul mot pour ne pas se faire avoir : sauvegardez !!!







Oui mais j’ai cru comprendre que le virus pouvait dormir sur le PC, et donc dormir dans les sauvegardes. Donc la sauvegarde serait elle aussi contaminée, même si en apparence tout est OK.


votre avatar







altazon a écrit :



Notre prestataire informatique depuis 6 mois nous alerte que les cryptovirus sont un réel danger et plusieurs de ses clients ont tout perdu. Il nous dit que la seule solution est le système de la société Panda, qui envoie en temps réel à Panda l’État de tous les PC, pour prévenir l’attaque d’un cryptovirus.



Évidemment cela nous coûterait 3000 Euros.



Vous en pensez quoi ? D’après lui aucun antivirus ne protège contre ces cryptovirus, et Panda est la seule société à avoir un système proactif.





3000€ pour envoyer toutes ses données à la scientologie, autant payer un demi bitcoin et avoir à faire à un ransomware qui s’assume en tant que tel.&nbsp;<img data-src=" />


Ranscam, le faux ransomware qui efface les données

  • Un déguisement de ransomware

  • L'utilisateur paye et... rien

  • Une remise de la fragile confiance autour des ransomwares

Fermer