Ransom32, premier rançongiciel à être codé en JavaScript

Coucou Windows, coucou OS X, coucou les autres

Ransom32, premier rançongiciel à être codé en JavaScript

Ransom32, premier rançongiciel à être codé en JavaScript

La grande famille des rançongiciels compte un nouveau venu. Baptisé Ransom32, il a la particularité d’être le premier du genre à être développé intégralement en JavaScript. Une caractéristique qui lui ouvre les portes de tous les systèmes d’exploitation ou presque, et qui montre une importante évolution.

Un rançongiciel est un logiciel malveillant, qui chiffre les données de l'utilisateur pour lui réclamer une rançon. Si la victime paie dans le délai imparti, il a de grandes chances de retrouver ses fichiers, même s'il n’y a aucune garantie. S’il ne le fait pas, c’est l’assurance de tout perdre.

Le succès de ce type de menace tient évidemment à la peur de perdre des données importantes, soit parce qu’elles représentent une grande quantité de travail, soit parce qu’il s’agit de souvenirs, comme dans le cas de photos. On se souvient qu’au FBI, la recommandation est d’ailleurs de payer, pour deux raisons. D’une part, les chiffrements utilisés rendent souvent très complexe la récupération des données. D’autre part, ne pas rendre les informations est « mauvais pour le business » : personne n’imaginera plus que les fichiers sont récupérables et donc ne paiera. En France, l’initiative StopRansomware, soutenue par la Gendarmerie nationale, recommande plutôt de ne jamais payer.

Ransom32, premier à se servir du JavaScript

Comme n’importe quel domaine des malwares, les « ransomwares » évoluent sans cesse, leurs auteurs cherchant à les rendre toujours plus efficaces. Cette efficacité peut se mesurer de diverses manières. Par exemple, pourquoi pas la faculté de pouvoir être exécuté indifféremment sur Windows, OS X ou Linux ? C’est le cas de Ransom32, du moins en théorie. Il a pour principale caractéristique d’être entièrement écrit en JavaScript, un langage que l’on retrouve habituellement pour le développement des pages web. Et ce n’est pas un hasard.

Ransom32 a été découvert par la société de sécurité EMSISoft dans un archive auto-extractible WinRAR pour Windows. Il utilise le framework NW.js (Node-Webkit), lui-même conçu pour le développement basé sur Node.js et Chromium. Ce framework est conçu pour permettre aux applications web de fonctionner pratiquement avec les mêmes privilèges qu’une application classique, leur offrant notamment la possibilité de sortir de la sandbox normalement présente dans le navigateur.

ransom32
Crédits : ESMISoft

Une grande adaptabilité

Le rançongiciel commence par infecter une machine en étant envoyé sous forme de pièce jointe dans un email ayant très souvent un sujet parmi les suivants : notification de livraison, messages vocaux en attente, et globalement tout ce qui pourrait attirer l’attention. L’internaute, s’il ne fait pas attention (ce qui est très souvent l’origine de la contamination), ouvre la pièce jointe et lance l’infection sans y prendre garde. Ransom32 chiffre alors les données personnelles en AES 128 bits (elle-même chiffrée puis stockée dans chaque fichier remanié) puis réclame une rançon en Bitcoins. Il est connecté à un serveur command-and-control (C&C) à travers une liaison passant par le réseau Tor.

Selon le chercheur Fabian Wosar d’EMSISoft, il n’a pour l’instant été trouvé qu’un exécutable pour Windows, mais il indique que la conception de Ransom32 le rend très facilement adaptable pour toutes les autres plateformes, ce qui fait toute la différence. NW.js étant un framework tout à fait classique, le système lui-même ne se méfie pas. Comme d'habitude, et comme EMSISoft a intérêt de le rappeler, un antivirus à jour donne de meilleures chances de le détecter et de le bloquer. Cela même si, deux semaines après sa découverte, Ransom32 ne serait pas entré dans toutes les bases.

Tout est fait pour faciliter le travail des pirates

Par ailleurs, tout dans la conception de Ransom32 a été fait pour simplifier la vie de ceux qui s’en servent pour attaquer. Il propose ainsi un vrai tableau de bord permettant de renseigner facilement les quelques informations demandées, comme la rançon qui sera exigée. Tout pirate disposant d’un compte Bitcoin peut se servir de Ransom32. Il a été pensé littéralement comme un « ransomware-as-a-service » et, toujours selon EMSISoft, il est commercialisé sur les forums spécialisés via une formule simple : les auteurs demandent 25 % des gains réalisés via leur création.

La protection la plus efficace contre ce type de menace reste la sauvegarde régulière des données sur un autre support. Ici, les solutions synchronisées de sauvegarde dans le cloud ne sont pas d’un grand secours si l’on utilise un client local, comme dans les cas de OneDrive, Google Drive ou DropBox (même si ce dernier permet de revenir sur d'anciennes versions pendant 30 jours). Les fichiers sont en effets présents sur le disque et, lors de leur chiffrement, sont détectés comme modifiés par le client, qui envoie alors les différences au serveur concerné.

Par ailleurs, il est crucial de faire attention aux emails que l’on reçoit et à la vérification de l’expéditeur. Ransom32 se signale par le poids important de l’archive qui le contient : 32 Mo. Certains se méfieront donc instantanément, tandis que d’autres verront un signe légitime que le fichier est bien ce qu’il prétend être, comme dans le cas d’un message vocal.

Commentaires (130)


32Mo&nbsp;<img data-src=" />


Développer un ransomware fait du dev, pour être poli, un être détestable.



Mais alors en Javascript, la personne est juste irrécupérable.



<img data-src=" />


Purée, à travers NWJS, je sens que ça va faire chier pas mal de monde pendant un moment ce bazar.


Pas pour rien que mon disque Time Machine n’est pas branché 24h/24 7j/7. J’ai pas vraiment l’utilité d’avoir une sauvegarde permanente de mon système donc une ou deux fois par moi je la réalise.

Au moins si un jour un con essaie de m’avoir avec ça sous OSx je restaurerai la dernière Time Machine.



Mais c’est horrible de se dire que ça doit marcher et qu’en plus l’investissement de départ doit se récupérer au final rapidement.

Après c’est quoi le principe achat de biens matériel en payant en Bitcoin? Puis ils les revendent pour blanchir l’argent? Je connais pas trop le Bitcoin.




D’autre part, ne pas rendre les informations est « mauvais pour le business » : personne n’imaginera plus que les fichiers sont récupérables et donc ne paiera.



Ben justement <img data-src=" /> ca limiterais ce genre de logiciels, s’il n’y a aucun bénéfice à en tirer.

Soyons fous, ça apprendrais peut être aux genre a faire régulièrement des copies de sauvegarde et/ou faire gaffe aux genres de sites sur lesquels ils se rendent <img data-src=" />


Ou alors encore plus tordu, utiliser un rançonware et ne jamais rendre la clef, comme cela plus personne ne paye, et l’intérêt pour de tel logiciel tombe.


32Mo ça fait réfléchir quand tu as du 140k max le vent dans le dos (readsl inside)



[note on]

faire passé l’info autour de moi

[note off]


32 Mo le malware <img data-src=" />








Guyom_P a écrit :



Après c’est quoi le principe achat de biens matériel en payant en Bitcoin? Puis ils les revendent pour blanchir l’argent? Je connais pas trop le Bitcoin.





Il leur suffit de convertir leur bitcoin en monnaie classique. Il y a pas mal de sites qui le propose.









Guyom_P a écrit :



Mais c’est horrible de se dire que ça doit marcher et qu’en plus l’investissement de départ doit se récupérer au final rapidement.





Celui la fait exception à première vu : il fonctionne à la commission : 25% des raquets



Le FBI qui conseille tout simplement de payer la rançon… Je ne comprends même pas comment ils peuvent tenir un tel discours, ils font carrément le jeu des pirates là… <img data-src=" />



Ce serait plus éthique et efficace d’informer les gens et de mettre en place des tutos expliquant comment sauvegarder ses documents et données personnelles sur un autre support et à l’abri : CD/DVD, clé USB… Ce genre de solution est simple à mettre en place. Il vaudrait mieux recommander cela, au lieu que dire qu’il faut payer la rançon…


C’est moche, rançongiciel. Je suggère extorgiciel.


Sur Dropbox - même en gratuit - il existe la possibilité de restaurer n’importe quel fichier modifié ou effacé sur une période de 30 jours. C’est faisable depuis l’interface web.



Très utile contre un rançongiciel.








Konrad a écrit :



Le FBI qui conseille tout simplement de payer la rançon… Je ne comprends même pas comment ils peuvent tenir un tel discours, ils font carrément le jeu des pirates là… <img data-src=" />&nbsp;





Il faut bien financer les boites noires&nbsp;<img data-src=" />



Murica !!! <img data-src=" />


Ah c’est bête mais mon Postfix refuse les messages de plus de 20 Mio <img data-src=" />








Tortue facile a écrit :



Il leur suffit de convertir leur bitcoin en monnaie classique. Il y a pas mal de sites qui le propose.



Enfin, je pense que ça reste plus discret d’acheter du matos et de l’écouler au compte goutte plutôt que de convertir des sommes d’argent directement sur ton compte.





Spidard a écrit :



Celui la fait exception à première vu : il fonctionne à la commission : 25% des raquets





Enfin je sais pas quel montant il demande pour l’achat du rançongiciel ni le montant moyen des rançons mais avec les 75% restants et les possibiltés que propose cette saloperie ils doivent surement bien ramassé. Encore du bel argent pour financer tout un tas de trucs pas cool surement.





Konrad a écrit :



Ce serait plus éthique et efficace d’informer les gens et de mettre en

place des tutos expliquant comment sauvegarder ses documents et données

personnelles sur un autre support et à l’abri : CD/DVD, clé USB… Ce

genre de solution est simple à mettre en place. Il vaudrait mieux

recommander cela, au lieu que dire qu’il faut payer la rançon…

&nbsp;

Ça c’est de la formation de la population et des entreprises qui mettra beaucoup de temps à se mettre efficacement en place.











Konrad a écrit :



Le

FBI qui conseille tout simplement de payer la rançon… Je ne comprends

même pas comment ils peuvent tenir un tel discours, ils font carrément

le jeu des pirates là… <img data-src=" />





Mais en pratique quand des fichiers important sont touché, ben oui tu payes. Y a un moment ou il faut être réaliste…



Question : Ça attaque aussi les disques réseaux montés sur le système ?

Autant mon système… bof mais tous mes documents sur le NAS… :5




La protection la plus efficace contre ce type de menace reste la sauvegarde régulière des données sur un autre support. Ici, les solutions synchronisées de sauvegarde dans le cloud ne sont pas d’un grand secours si l’on utilise un client local, comme dans les cas de OneDrive, Dropbox ou Google Drive



Ça me fait irrésistiblement penser à ça.<img data-src=" />


Je me posais justement la question, ayant un NAS aux partitions montées. Et j’imagine que oui, rien ne s’oppose au fait de le crypter :(


ou gauchiciel.








Konrad a écrit :



Le FBI qui conseille tout simplement de payer la rançon… Je ne comprends même pas comment ils peuvent tenir un tel discours, ils font carrément le jeu des pirates là… <img data-src=" />





Malware made by NSA ?

Faut bien payer la R&D









jayr0m a écrit :



Question : Ça attaque aussi les disques réseaux montés sur le système ?

Autant mon système… bof mais tous mes documents sur le NAS… :5





Celui-là, de rancodjscnsggiciel (dur à écrire), je ne sais pas, mais certains chiffrent tous les lecteurs connectés. Y compris les NAS, les serveurs réseaux, etc.



c’est 32Mo après extraction, sinon ça passe pas dans le mail <img data-src=" />



à la fois une belle saloperie, et un truc super ingénieux <img data-src=" />


Le plus intéressant est clairement l’aspect “malware as a service”.



Franchement, le fait qu’il soit codé en javascript n’a vraiment aucun intérêt je trouve. Dans tous les cas il faut adapter le binaire pour l’OS, puisque le résultat final de ce package javascript est un EXE Windows… Sans compter que chiffrer les “données personnelles” est totalement platform-dependant (dossier Mes Documents dans Windows ?)

&nbsp;

Ça aurait été codé en QT c’était exactement pareil…


eh ben 2016 commence mal <img data-src=" />




L’internaute, s’il ne fait pas attention (ce qui est très souvent l’origine de la contamination), ouvre la pièce jointe et lance l’infection sans y prendre garde. Ransom32 chiffre alors les données personnelles en AES 128 bits (elle-même chiffrée puis stockée dans chaque fichier remanié) puis réclame une rançon en Bitcoins.





Ben voilà, on a trouvé une utilité au bitcoin !



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Sinon, émetteur inconnu d’un courriel = poubelle direct chez moi (en plus de sauvegardes régulières sur un NAS), quand vous voulez les malfrats ! J’espère pour vous qu’il n’y a pas de canal retour autre que pour le fric sur votre appli, parce que je vous gratifierais bien d’un lever de Lune en plein jour en gif en guise de réponse…


Ce que je ne comprends pas personnellement, c’est pourquoi créer une sandbox puis ensuite créer des frameworks qui permettent de l’outrepasser.








otto a écrit :



Mais en pratique quand des fichiers important sont touché, ben oui tu payes. Y a un moment ou il faut être réaliste…







Non.



Perso si mon PC est infecté par un tel ransomware, je formate tout y compris mes propres fichiers. Ensuite, je fais une ré-install propre, et je restaure les fichiers que j’avais sauvegardé ailleurs (sur plusieurs supports différents dans mon cas, oui je suis parano).



Ensuite, si tata Jeannine se fait infecter et qu’elle perd ses photos de chats, on s’en cogne un peu : c’est disproportionné de payer une rançon pour des données aussi peu importantes.



Du coup, ceux qui sont obligés de payer, ce sont ceux qui ont des données vraiment importantes, et qu’ils ne peuvent pas récupérer ailleurs. Ça, c’est déjà une aberration en soi : si des données sont importantes, elles devraient toujours avoir un backup (voire plusieurs), ne serait-ce qu’à cause du risque de crash disque. Ces gens-là, la seule chose à leur dire, c’est de faire des sauvegardes, et plusieurs même, sur plusieurs supports différents et débranchés (CD/DVD, clés USB, disques durs rangés dans l’armoire, etc.).



Donc non, décidément, recommander de payer je trouve juste ça débile… Backup backup BACKUP !! <img data-src=" />









gachdel a écrit :



Je me posais justement la question, ayant un NAS aux partitions montées. Et j’imagine que oui, rien ne s’oppose au fait de le crypter :(





Je te confirme que les crypto habituellement rencontrés (pour celui de cet article, c’est à voir mais ça serait étonnant que non) s’intéressent aussi aux montages.









Commentaire_supprime a écrit :



Ben voilà, on a trouvé une utilité au bitcoin !



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Sinon, émetteur inconnu d’un courriel = poubelle direct chez moi (en plus de sauvegardes régulières sur un NAS), quand vous voulez les malfrats ! J’espère pour vous qu’il n’y a pas de canal retour autre que pour le fric sur votre appli, parce que je vous gratifierais bien d’un lever de Lune en plein jour en gif en guise de réponse…





un NAS ne te met pas à l’abris. Synology en a déjà été victime <img data-src=" />



Ou alors d’utiliser un compte dédié au document et un autre à la navigation, et les 2 sans droits admins; peu de chance qu’il y passe.

Windows est mauvais sur ce point, à être trop user-friendly. Vivement qu’ils arrêtent avec les comptes admins lié à une adresse Microsoft, et de séparer les 2 au pire avec des droits admins limités.








Konrad a écrit :



Perso si mon PC est infecté par un tel ransomware, je formate tout y compris mes propres fichiers. Ensuite, je fais une ré-install propre, et je restaure les fichiers que j’avais sauvegardé ailleurs (sur plusieurs supports différents dans mon cas, oui je suis parano).





&nbsp;pareil





Konrad a écrit :



Du coup, ceux qui sont obligés de payer, ce sont ceux qui ont des données vraiment importantes, et qu’ils ne peuvent pas récupérer ailleurs. Ça, c’est déjà une aberration en soi : si des données sont importantes, elles devraient toujours avoir un backup (voire plusieurs), ne serait-ce qu’à cause du risque de crash disque. Ces gens-là, la seule chose à leur dire, c’est de faire des sauvegardes, et plusieurs même, sur plusieurs supports différents et débranchés (CD/DVD, clés USB, disques durs rangés dans l’armoire, etc.).



Donc non, décidément, recommander de payer je trouve juste ça débile… Backup backup BACKUP !! <img data-src=" />





demander aux gens de faire des sauvegardes, c’est comme pisser dans un violon. Quasiment personne n’en fait.



Et si ton armoire avec tous tes backups prend feu? Parce que bon, les incendies accidentels, ça existe.








Konrad a écrit :



Non.



Perso si mon PC est infecté par un tel ransomware, je formate tout y compris mes propres fichiers. Ensuite, je fais une ré-install propre, et je restaure les fichiers que j’avais sauvegardé ailleurs (sur plusieurs supports différents dans mon cas, oui je suis parano).



Ensuite, si tata Jeannine se fait infecter et qu’elle perd ses photos de chats, on s’en cogne un peu : c’est disproportionné de payer une rançon pour des données aussi peu importantes.



Du coup, ceux qui sont obligés de payer, ce sont ceux qui ont des données vraiment importantes, et qu’ils ne peuvent pas récupérer ailleurs. Ça, c’est déjà une aberration en soi : si des données sont importantes, elles devraient toujours avoir un backup (voire plusieurs), ne serait-ce qu’à cause du risque de crash disque. Ces gens-là, la seule chose à leur dire, c’est de faire des sauvegardes, et plusieurs même, sur plusieurs supports différents et débranchés (CD/DVD, clés USB, disques durs rangés dans l’armoire, etc.).



Donc non, décidément, recommander de payer je trouve juste ça débile… Backup backup BACKUP !! <img data-src=" />





Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.&nbsp;

Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />



Heureusement, 32 Mo, ça passe pas inaperçu :p








otto a écrit :



Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.&nbsp;

Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />





en même temps pas besoin d’un bac+2 pour faire une sauvegarde de ses documents.

c’est juste du bon sens de comprendre qu’un disque dur peut tomber en panne (sans parler des virus)



Pour la sauvegarde, il faut trouver un compromis entre souplesse d’utilisation, coût et fiabilité en fonction de la valeur des données à stocker.

Perso, j’effectue un backup incrémental sur un disque dur externe que je range dans un placard et les données “irremplaçables” (photos, documents perso importants) sont également stockés sur un deuxième disque et de temps en temps gravés sur DVD.








jeje07bis a écrit :



en même temps pas besoin d’un bac+2 pour faire une sauvegarde de ses documents.

c’est juste du bon sens de comprendre qu’un disque dur peut tomber en panne (sans parler des virus)





C’est du bon sens pour toi… comme pour un mécanno auto c’est du bon sens de ne pas faire subir certain traitement à la mécanique…

La génération de ceux qui ont vu grandir l’informatique de l’écran tout orange jusqu’au machine actuelle touche une faible parti de la population… oui pour ceux qui sont plus ou moins dans ces générations, c’est du bon sens. Pas pour les autres…









SebGF a écrit :



Ce que je ne comprends pas personnellement, c’est pourquoi créer une sandbox puis ensuite créer des frameworks qui permettent de l’outrepasser.





Cherche pas à comprendre, il&nbsp; y a depuis quelques temps une mode qui consiste à prendre Javascript pour faire tout et n’importe quoi. Après l’OS basé sur Linux et l’environnement de bureau, les malwares. Je crois qu’on aura fait le tour ?









VoucyusDo a écrit :



Pour la sauvegarde, il faut trouver un compromis entre souplesse d’utilisation, coût et fiabilité en fonction de la valeur des données à stocker.

Perso, j’effectue un backup incrémental sur un disque dur externe que je range dans un placard et les données “irremplaçables” (photos, documents perso importants) sont également stockés sur un deuxième disque et de temps en temps gravés sur DVD.





tout était très bien jusqu’au mot “DVD” <img data-src=" />









Konrad a écrit :



Ensuite, si tata Jeannine se fait infecter et qu’elle perd ses photos de chats, on s’en cogne un peu : c’est disproportionné de payer une rançon pour des données aussi peu importantes.





Je ne connais pas ta tante Jeannine, mais je pense qu’elle est comme environ 100% de la population qui a un ordinateur personnel : si elle perd toutes ses données, aussi futiles soient elles, ben elle sera super emmerdée.



Après Backup tout les monde est d’accord là dessus.

Le problème c’est que : tout le monde n’a pas un backup temps réel de ses fichiers donc dans l’histoire t’as une probabilité non nulle de perdre quand même quelque chose.

Et ensuite pour expliquer aux gens de se payer des solutions de sauvegarde redondées et tout le tintouin, bon courage.









otto a écrit :



C’est du bon sens pour toi… comme pour un mécanno auto c’est du bon sens de ne pas faire subir certain traitement à la mécanique…

La génération de ceux qui ont vu grandir l’informatique de l’écran tout orange jusqu’au machine actuelle touche une faible parti de la population… oui pour ceux qui sont plus ou moins dans ces générations, c’est du bon sens. Pas pour les autres…





y a pas besoin d’être né dans l’informatique il y a 20 ans pour comprendre qu’un disque dur peut tomber en panne. TOUT LE MONDE sait parfaitement qu’un disque dur peut tomber en panne. A partir de là, il suffit d’allumer 1 ou 2 neurones pour réaliser le risque de panne d’un disque dur et faire une sauvegarde en conséquence.

Mais entre ceux qui ont la flemme, ceux qui disent “ouais bon je verrais plus tard”, et ceux qui ne veulent pas investir 100 euros dans un disque dur externe, le constat est simple : les boites de récupération de données ont un bel avenir <img data-src=" />









jeje07bis a écrit :



y a pas besoin d’être né dans l’informatique il y a 20 ans pour comprendre qu’un disque dur peut tomber en panne. TOUT LE MONDE sait parfaitement qu’un disque dur peut tomber en panne. A partir de là, il suffit d’allumer 1 ou 2 neurones pour réaliser le risque de panne d’un disque dur et faire une sauvegarde en conséquence.



Mais entre ceux qui ont la flemme, ceux qui disent "ouais bon je verrais plus tard", et ceux qui ne veulent pas investir 100 euros dans un disque dur externe, le constat est simple : les boites de récupération de données ont un bel avenir <img data-src=">







Je crois que tu surestimes tes congénères grandement… je suis assez bien placé pour te le dire donnant des cours d’infos en Bac+1 à 4+… avec des population pourtant plus privilégiée que la moyenne…



TOUT LE MONDE ne sait même pas ce qu’est un disque dur&nbsp;


Faut se réveiller un peu là… Une bonne partie des gens ne sait même pas ce que c’est qu’un “disque dur”…



-___-


Je pense qu utiliser QubeOs avec des domaines bien configurés doit etre un bon moyen de se proteger de ce genre de saletes








eax13 a écrit :



Cherche pas à comprendre, il  y a depuis quelques temps une mode qui consiste à prendre Javascript pour faire tout et n’importe quoi. Après l’OS basé sur Linux et l’environnement de bureau, les malwares. Je crois qu’on aura fait le tour ?







Ben c’est surtout que je trouve ça con de mettre une clôture pour les applications et de poser un tremplin pour la contourner.









hadoken a écrit :



Faut se réveiller un peu là… Une bonne partie des gens ne sait même pas ce que c’est qu’un “disque dur”…



-___-





faut pas pousser quand même, j’ai fais du dépannage, je n’ai jamais eu de client qui m’a fait les gros yeux quand je prononçais le mot”disque dur”

et quand bien même, quand on a un ordinateur entre les mains, c’est pas difficile de comprendre qu’il y a un risque de pannes. Et donc de s’interroger sur les risques de pertes de documents. Mais les gens sont des assistés et des flemmards. Il est là le problème surtout….









otto a écrit :



Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />





Les gens n’ont pas non plus de CAP en electricité, mais beaucoup bidouillent les prises chez eux.

Pas de maitrise de politologie non plus, mais les comptoirs sont pleins de grands analystes politiques, etc.



Soit dit en passant, pas mal de gens ici sur NXI ne sont PAS informaticiens, et pourtant sont tout à fait conscients de la nécessité d’un backup, et en font. C’est mon cas.



Bref c’est pas une excuse. Tu tiens à tes données, tu les backupes, point. Pas besoin d’être informaticien pour savoir ca, c’est d’une logique à toute épreuves.

Ce que les gens faisaient déjà avant l’avènement de l’ère informatique, par exemple en photocopiant leurs fiches paie (important pour la retraite).









otto a écrit :



Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.&nbsp;

Il serait tant de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique. <img data-src=" />



L’avocat, il ne s’emmerde pas avec ça, il prend un prestataire informatique. Et si le prestataire ne met pas de stratégie de sauvegarde en place, c’est un peu une faute professionnelle.

&nbsp;









gokudomatic a écrit :



Et si ton armoire avec tous tes backups prend feu? Parce que bon, les incendies accidentels, ça existe.







Oui mais non… C’est quoi cette course à la mauvaise foi et aux scénarios improbables <img data-src=" />



Justement je n’ai pas dit qu’il fallait tout mettre dans la même armoire non plus, j’ai justement précisé qu’il fallait faire plusieurs sauvegardes à plusieurs endroits <img data-src=" />



Après, combien de sauvegardes, tous les combien et à quels endroits les stocker : ça dépend du volume de données, de leur importance, etc. Il n’y a pas de règle absolue, c’est du cas par cas. Pour les photos de chats de tata Jeannine, une copie sur clé USB ça suffira très bien. Pour une entreprise qui manipule des données sensibles voire des infos personnelles, forcément il va falloir des backup un peu mieux rôdés que ça.









otto a écrit :



Dans un monde parfait oui. Manque de chance le monde n’est pas parfait. Le petit avocat du coin qui se fait crypter des fichiers, il ne sais même pas ce que c’est un backup.

Il serait tant temps de mettre les pieds sur terre, je ne crois pas que l’ensemble de la population bénéficie d’un bac+2 en informatique.







Je crois surtout qu’il serait temps d’arrêter de prendre les gens pour des neuneus et des assistés.



Mes parents ont un bac-3 et ils ont tout à fait compris qu’ils devaient copier leurs documents régulièrement. Il y a 10 ans ils gravaient ça sur un CD, maintenant ils font une copie sur clé USB. Ça n’a rien de compliqué, n’importe qui peut apprendre ça.



C’est pour cela que je dis qu’il faut éduquer les gens, leur expliquer ce qu’il faut faire. À défaut de mieux, le FBI devrait au moins afficher des recommandations du genre : « sauvegardez régulièrement vos données dans un endroit sûr, par exemple sur un CD ou une clé USB »… Et après les gens iront se renseigner, demanderont autour d’eux comment faire.



Recommander de payer la rançon, je trouve ça complètement con, surtout de la part d’un organisme d’État. Ce n’est pas en prenant les gens pour des neuneus et en leur disant qu’il faut payer la moindre rançon qui passe, qu’on augmentera le niveau général hein… <img data-src=" />



Perso je fais des sauvegardes régulières sur un disque séparé, en plus d’une dropbox. Ma femme, a qui j’ai déjà plusieurs fois demandé de faire des sauvegardes ne les a jamais fait. Jamais. Sur un PC qui a 8 ans. Une chance que tout ne soit pas encore grillé. Elle est médecin donc a des documents potentiellement plus importants que des photos de chaton sur son PC.&nbsp;

En conclusion, si d’ici que je prenne son PC pour faire en douce une sauvegarde, on a ce virus, bah on paiera…



Edit : si tu es un vilain méchant pirate qui me lit, ne t’inquiète pas la sauvegarde est faite!&nbsp;


Mouais, c’est pas parce que c’est en javascript qu’il faut pas des droits d’accés et d’écriture.

Sous Linux ou Mac, il y a aucun risque.



Et sous windows, théoriquement “le contrôle utilisateur”, demande s’il doit l’exécuter ou non.








Flogik a écrit :



Perso je fais des sauvegardes régulières sur un disque séparé, en plus d’une dropbox. Ma femme, a qui j’ai déjà plusieurs fois demandé de faire des sauvegardes ne les a jamais fait. Jamais. Sur un PC qui a 8 ans. Une chance que tout ne soit pas encore grillé. Elle est médecin donc a des documents potentiellement plus importants que des photos de chaton sur son PC.&nbsp;

En conclusion, si d’ici que je prenne son PC pour faire en douce une sauvegarde, on a ce virus, bah on paiera..





ta femme devrait lire les commentaires sur cette news <img data-src=" />









Flogik a écrit :



Ma femme, a qui j’ai déjà plusieurs fois demandé de faire des sauvegardes ne les a jamais fait.





Voilà l’erreur <img data-src=" />



Fallait lui imposer, ou lui demander de ne PAS le faire en faisant appel à l’esprit e contradiction féminin….









jeje07bis a écrit :



faut pas pousser quand même, j’ai fais du dépannage, je n’ai jamais eu de client qui m’a fait les gros yeux quand je prononçais le mot”disque dur”

et quand bien même, quand on a un ordinateur entre les mains, c’est pas difficile de comprendre qu’il y a un risque de pannes. Et donc de s’interroger sur les risques de pertes de documents. Mais les gens sont des assistés et des flemmards. Il est là le problème surtout….





Et encore, même quand c’est super assisté, qu’on te demande si tu veux utiliser un disque dur pour faire tes sauvegardes, peu de personnes le font. Combien de fois j’ai pu le voir chez des personnes ayant des Mac, prendre des disques durs externe, et ne pas activer TimeMachine. Et pourtant, si TimeMachine n’a pas été activé, c’est juste le premier truc que Mac Os te demande…



Et avec Windows 10, dès qu’on branche un disque dur externe, il demande si l’on veut l’utiliser pour l’historique des fichiers. Par contre, je trouve que c’est un peu moins user-friendly que TimeMachine, mais çà a le mérite d’exister. De nos jours, c’est simple, si il n’y a pas de sauvegarde des fichiers, c’est que les gens ne le souhaitent pas.



Après, on peut toujours faire comme au bon vieux temps. Je vous parle d’un temps que les moins de vingt ans ne peuvent pas connaitre. Celui où rien n’était stocké dans l’ordinateur mais sur disquette. Comme ça, si l’ordinateur tombait en panne, on ne perdait aucune donnée. Et l’idée des disquettes est tout sauf risible. Maintenant, on appelle ça une clé USB. Et vu les capacités, ça peut très bien remplacer un disque dur.

Bon, le hic, c’est que si la clé est branchée en même temps que le ransomware, on se fait dégommer. Sauf si on a une deuxième clé USB qui sert de sauvegarde. Et on faisait déjà ça avec les disquettes.



Bref, dans tous les cas, rien ne remplace les sauvegardes. Tout le monde le sait, mais au final, peut de monde le fait, même quand c’est simplifié au maximum…



EDIT: D’ailleurs, on faisait vraiment mieux les choses à l’époque. La preuve ici (en anglais).









gokudomatic a écrit :



Et si ton armoire avec tous tes backups prend feu? Parce que bon, les incendies accidentels, ça existe.





Tu refais un backup à partir du PC? il y a assez peu de chance que ton PC ait une panne pile en même temps que tu subisse un incendie.







SebGF a écrit :



Ben c’est surtout que je trouve ça con de mettre une clôture pour les applications et de poser un tremplin pour la contourner.





A prendre avec des pincettes, parce que je ne connais pas le framework, mais voici ce que je comprends après une rapide recherche :

La sand-box te protège du javascript des pages webs sur lesquelles tu navigues. Ce framework n’a pas vocation à être utilisé pour un site web, mais pour une application lourde.

En fait, plus que permettre à une application web de sortir de la sand-box alors qu’elle aurait du y rester, elle vise à permet à une application lourde qui était à l’origine déjà à l’extérieur de la sandbox de se servir du navigateur comme outil d’interface.

Bref, le fait que le malware soit en javascript est original, mais finalement assez secondaire dans son fonctionnement. Il aurait aussi bien pu être en python et être livré sous la forme d’un package comprenant un interpréteur et le code du malware.



On pourrait même aller plus loin en se demandant ce qu’il se passera dans le cas où il n’y aura plus d’électricité.

Certes, on ne peux jamais être sur à 100% que ses données seront préservés indéfiniment mais encourager les pirates en payant et en entrant dans leur jeu n’est pas une bonne idée. (surtout qu’à 350$, vu la crise, c’est pas donnée)


Trop gros, ça passera pas.








Zerdligham a écrit :



Tu refais un backup à partir du PC? il y a assez peu de chance que ton PC ait une panne pile en même temps que tu subisse un incendie.



Il y a la possibilité non négligeable que le disque source tombe en panne pendant la sauvegarde.









psn00ps a écrit :



Il y a la possibilité non négligeable que le disque source tombe en panne pendant la sauvegarde.





Perso NAS principal en RAID 5, sauvegarde sur un PC distant en RAID 6 (et backup local sur HDDs simples, chiffrés, dans mon armoire au taf).



Avec les disques sources du backup en RAID 6, là faudrait vraiment la poisse pour que le source backup tombe en rade <img data-src=" />









jayr0m a écrit :



Question : Ça attaque aussi les disques réseaux montés sur le système ?

Autant mon système… bof mais tous mes documents sur le NAS… :5









jeje07bis a écrit :



en même temps pas besoin d’un bac+2 pour faire une sauvegarde de ses documents.

c’est juste du bon sens de comprendre qu’un disque dur peut tomber en panne (sans parler des virus)









arhenan a écrit :



On pourrait même aller plus loin en se demandant ce qu’il se passera dans le cas où il n’y aura plus d’électricité.

Certes, on ne peux jamais être sur à 100% que ses données seront préservés indéfiniment mais encourager les pirates en payant et en entrant dans leur jeu n’est pas une bonne idée. (surtout qu’à 350$, vu la crise, c’est pas donnée)





Ben, c’est arriver a la PME ou travail un ami.

Une PME remplie d’ingénieur informatique. (Déjà, qui est le PEBKAC de la boite?)

A priori, la Bose n’a pas juger utile de payer un système de sauvegarde.



Ils sont choisi de payer au lieu de fermer la boite.





Drepanocytose a écrit :



Voilà l’erreur <img data-src=" />



Fallait lui imposer, ou lui demander de ne PAS le faire en faisant appel à l’esprit e contradiction féminin….





Remarque, tu peu aussi attendre le drame. Et consoler t’a femme au lit. <img data-src=" />



3 clients fin 2015

1 proviseur de lycée, 1 société de formation et l’autre, je sais plus qui…

les fichiers cryptés en .vvv et le tout chopé par une pièce jointe. Je suppose qu’on parle de celui ci.








DUNplus a écrit :



Remarque, tu peu aussi attendre le drame. Et consoler t’a femme au lit. <img data-src=" />





Ouais, en même temps en faisant ca tu prends le risque :




  • qu’elle pense au boulot pendant le calin. Cool <img data-src=" />

  • qu’elle passe pas mal de temps après à tout reconstituer, au détriment des calins…



    Nan nan, mauvais choix <img data-src=" />









jeje07bis a écrit :



un NAS ne te met pas à l’abris. Synology en a déjà été victime <img data-src=" />







NAS exclusivement en LAN et qui ne sert qu’aux sauvegardes, doublé par un Hubic avec sauvegardes manuelles sans recourir à l’appli d’OVH.



Si un de mes ordis est infecté, je l’isole, j’en prends un autre pour intervenir et je restaure ma sauvegarde à la fin.



De plus, aucune de mes données de travail est sur ma station de travail, par exemple, tous mes fichiers sont en NAS avec backup sur un autre NAS exclusivement en LAN, et doublon avec Hubic.



J’ai perdu une nouvelle en cours de rédaction il y a de cela quelques années par manque de sauvegarde, je fais gaffe désormais.



J’ai un client qui a eu le coups début décembre. Une pièce jointe en archive, toute petite, avec un js dedans tout petit. Paff ! tous ces documents/images en .vvv et sa sauvegarde sur disque USB branché a ce moment là aussi.

Un contact vérolé, et lui a cru a l’envoi d’une photo… de même pas 10ko.



Rançon de 500\( a payer en bitcoin via Tor. Passage a 1000\) après 1 semaine…








Drepanocytose a écrit :



Perso NAS principal en RAID 5, sauvegarde sur un PC distant en RAID 6 (et backup local sur HDDs simples, chiffrés, dans mon armoire au taf).



Avec les disques sources du backup en RAID 6, là faudrait vraiment la poisse pour que le source backup tombe en rade <img data-src=" />





je suis plus téméraire actuellement(changement de disques en cours, c’est temporaire) : des données sur un RAID 0 de 3 disques et sauvegarde sur un autre RAID 0 de 2 disques <img data-src=" />

mais je dois recevoir 2 disques, du coup je vais passer en RAID 5. Et dans un futur proche, RAID 6 aussi <img data-src=" />









typhoon006 a écrit :



TOUT LE MONDE ne sait même pas ce qu’est un disque dur









hadoken a écrit :



Faut se réveiller un peu là… Une bonne partie des gens ne sait même pas ce que c’est qu’un “disque dur”…



-___-







Ouais mais y en a marre au bout d’un moment de ceux qui veulent tout utiliser sans jamais rien vouloir comprendre. S’ils s’en foutent de savoir comment ça marche et ben très bien, tant pis pour eux à la fin.









jeje07bis a écrit :



RAID 6 aussi <img data-src=" />





Bonne initiative. Mais ca depend de la taille du jeu de données à backuper, aussi.



T’as des polémiques qui te disent que le RAID5 c’est pas bon pour les gros volumes parce que pendant la reconstruction ou un restore très long (qui sollicite longtemps tous tes HDDs), deux des disques de la grappe RAID5 peuvent claquer et t’es dans la merde.

J’y croyais pas trop perso, jusqu’au jour où ca m’est arrivé pendant que je mettais en place le RAID5 justement, et que je faisais le restore <img data-src=" />

C’etait sur le RAID6, heureusement <img data-src=" />

Petit moment de solitude devant mdadm, quand même… L’avantage, c’est que je le maîtrise carrement, maintenant.



‘tin ca me rappel quand la baie d’un client à perdu 4 disques sur 6… tous les emails et le dossier “company” dessus <img data-src=" />



Par chance j’ai pu réintégrer les hdd qui en fait n’avaient rien… juste relire 30 fois les info pour l’intégration ou non des config étrangères et hop tout est revenu <img data-src=" />








Drepanocytose a écrit :



Bonne initiative. Mais ca depend de la taille du jeu de données à backuper, aussi.




 T'as des polémiques qui te disent que le RAID5 c'est pas bon pour les gros volumes parce que pendant la reconstruction ou un restore très long (qui sollicite longtemps tous tes HDDs), deux des disques de la grappe RAID5 peuvent claquer et t'es dans la merde.       

J'y croyais pas trop perso, jusqu'au jour où ca m'est arrivé pendant que je mettais en place le RAID5 justement, et que je faisais le restore <img data-src=">

C'etait sur le RAID6, heureusement <img data-src=">

Petit moment de solitude devant mdadm, quand même... L'avantage, c'est que je le maîtrise carrement, maintenant.








 oui je sais!       



Ça t’est arrivé avec quoi comme matériel?




Là j'en suis rendu à 3 disques de 4 To en RAID 0 où j'ai tout.  (RAID 5 prévu, avec rajout d'un disque)    

Pour le moment, une sauvegarde des documents pas trop important sur un autre RAID 0 de 2 disques de 3 To, qui d'ici 3-4 jours deviendra un RAID 5 de 4 disques de 3 To. Et le RAID 6 est planifié rapidement. dès que je trouve un disque à pas cher (soldes demain! <img data-src="> )

merci à ma carte RAID et à mon boitier avec 9 ports 3.5 en hot plug <img data-src=">






Après d'autres données un peu plus importantes sauvegardées sur un disque externe en thunderbolt.      






et les données vraiment importantes sont sauvegardées en double sur 2 disques externes dont 1 chiffré avec Bitlocker (disque que je prends en vadrouille)      






&nbsp;








jeje07bis a écrit :



oui je sais!

Ça t’est arrivé avec quoi comme matériel?







Alors mon RAID 5 c’est un HP Proliant N54L avec 6 HDDs Seagate 4 To 7200 RPM (ST4000DM000 pour être précis), mdadm sous Debian 8.



Le RAID6 c’est une CM Z77 ASRock (Extreme 4 de tête), un core i5 3570K je crois (pas sur), 12 Go de RAM, 8 HDDs Seagate de 3 To 7200 RPM (ST3000DM001), mdadm sous KUBuntu 14.04 LTS.









Drepanocytose a écrit :



Alors mon RAID 5 c’est un HP Proliant N54L avec 6 HDDs Seagate 4 To 7200 RPM (ST4000DM000 pour être précis), mdadm sous Debian 8.



Le RAID6 c’est une CM Z77 ASRock (Extreme 4 de tête), un core i5 3570K je crois (pas sur), 12 Go de RAM, 8 HDDs Seagate de 3 To 7200 RPM (ST3000DM001), mdadm sous KUBuntu 14.04 LTS.





ok



sans vouloir lancer de polémique, je suis pas fan de seagate, mais bon. Disons que c’est perso.

&nbsp;

perso uniquement des WD caviar black série FAEX 3 et 4 To. Tous sur carte RAID Areca 1261ML, les disques de sauvegardes étant bien sur débranchés, pas fou <img data-src=" />



C’est pas comme si les fichier tipiak étaient splités dans des fichiers winrar….

Bon va falloir tipiaker dans une machine virtuelle…. ou tipiaker sous Linux.



Pour le coup ça me fait plus peur qu’Hadopi.








Drepanocytose a écrit :



Fallait lui imposer, ou lui demander de ne PAS le faire en faisant appel à l’esprit e contradiction féminin….







Finalement avec mes parents j’ai fait la chose suivante : je leur ai proposé de mettre en place une sauvegarde auto de leurs documents. Ils m’ont dit oui.



Du coup maintenant tous les soirs leur PC fait un rsync vers le disque dur de la Freebox.



C’est loin d’être infaillible, mais c’est déjà ça. Par ailleurs ils sont censés continuer de faire des sauvegardes sur clé USB, mais bon, comme la plupart des gens ils font ça une fois de temps en temps quand ils y pensent… D’où l’idée d’utiliser la Freebox comme backup.



Ransom32 ? <img data-src=" />



M’en fous, je suis en 64bits. <img data-src=" />


Non, on ne peut pas tout sauvegarder.

Dans une entreprise qui numérise tout ses documents, cela correspond à des milliers de PDF par jour, donc des centaines par heure, des dizaines par minute.

Il est techniquement possible de faire des snapshots mais l’espace disque nécessaire serait invraisemblablement coûteux. Sans compter les serveurs anciens qui n’ont pas de VSS (W2000) et qu’il est impossible de migrer pour des raisons stratégiques.

Donc si une telle entreprise est atteinte, elle a le choix : perdre le delta d’infos entre 2 sauvegardes et ça peut être un gros problème légal ultérieurement ou payer. Etre réaliste, comme le constate amèrement le FBI et tout ceux qui ont déjà été confronté au problème, c’est payer ou au moins envisager de payer.


Pas de bol, les appli 32 bit tournent sur aussi sur du 64 bit.


à partir du moment où on lance un exécutable sur un PC le langage utilisé ça change pas grande chose…

et des virus en javascript c’est pas nouveau. jscript est installé sur windows depuis XP et donne accès à plus que nodejs (jscript ECMASCRIPT 3).



moi j’attends le virus en mkv 1080p de 3 heures où un mec te pointe un gun pour que tu fasse un virement <img data-src=" />








gokudomatic a écrit :



Pas de bol, les appli 32 bit tournent sur aussi sur du 64 bit.







Nope, impossible. Certaines archi embarquent une couche de compatibilité 32 bits mais c’est pas le cas de toutes.



Humour…&nbsp;<img data-src=" />


Fais gaffe, il demande deux fois plus de sous le 64.


Quid de l’efficacité des dernières versions des antivirus comme Bitdefender qui possèdent une fonctionnalité anti ranson? Elle bloque l’accès aux logiciels inconnus aux dossiers classiques.








gokudomatic a écrit :



Pas de bol, les appli 32 bit tournent sur aussi sur du 64 bit.



Pas sur ma Devuan. <img data-src=" />



Tu sais il y en a qui ne savent même pas ce qu’il y a dans leur ordinateur ! Essai d’être un peu plus tolérant et ouvert d’esprit quand même :) chaque personne a son (ses) centre(s) d’intérêt(s), et connaitre le détail des pièces d’un PC et leur fonctionnement est loin d’intéresser le commun des mortels..


Mais bon, alors concrètement, avec Linux, y a un risque ou pas ?








Ricard a écrit :



Ransom32 ? <img data-src=" />



M’en fous, je suis en 64bits. <img data-src=" />





Ransom32(Méga)









Drepanocytose a écrit :



Le RAID6 c’est une CM Z77 ASRock (Extreme 4 de tête), un core i5 3570K je crois (pas sur), 12 Go de RAM, 8 HDDs Seagate de 3 To 7200 RPM (ST3000DM001), mdadm sous KUBuntu 14.04 LTS.





comment tu fais pour faire un RAID de 8 disques dur sur une carte mère?

tu as forcément une carte RAID?



Pourquoi prendre la peine de lire l’article en même temps. <img data-src=" />



Par exemple, pourquoi pas la faculté de pouvoir être exécuté indifféremment sur Windows, OS X ou Linux ? C’est le cas de Ransom32, du moins en théorie.





Si t’ouvres pas les .rar/zip en pièce jointe je crois que tu pourras t’en tirer.


Je préfère piratiel. <img data-src=" />








John Shaft a écrit :



Ah c’est bête mais mon Postfix refuse les messages de plus de 20 Mio <img data-src=" />





Oui c’est vrai, il y a cette limite aussi chez pas mal de serveurs mail classique, Free par exemple. Le mail c’est pas fait pour s’envoyer des giga !..



Aussi je me demande bien comment ferait un tel virus pour infecter sur Linux. Puisque cela commence par, selon la description de l’article NxI par une PJ d’un mail que l’on exécute, à par PEBKAC, par défaut une PJ n’est pas exécutable, c’est donc ballot pour l’initiation du processus !



(Et OSX, souche BSD, c’est pas le même principe par défaut ?)



En l’occurrence, c’est moi qui ai mis cette limite sur ma boite mail. S’ils veulent me transmettre des fichiers plus gros, il y a plus efficace que le mail :)


J’avais bien compris ! Mais un jour un ami a voulu m’envoyer un paquet de photos en mail sur ma boite Free et ça lui est revenu, la limite, calcul fait est sensiblement la même que celle que tu as mise.

Il ne faut pas oublier non plus que dans un mail, les PJ binaires sont Base64-isées, et donc un truc qui faisait à la base 3Mo passe à 4Mo en mail (l’effet du Base64). Bref, c’est aussi assez inefficace en réseau de transmettre des gros fichiers ainsi.



Quant au fond de l’article c’est donc bien ce que je disais, source : http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/



Pour l’instant ça reste Windows-only, c’est donc un effet journalistique de prétendre que ça pourrait infecter ailleurs !



En effet, ça exploite une fonctionnalité de WinRar (Windows Only… perso je unrar en ligne de commande, ou plus rarement avec fileroller), et l’archive contient des .exe = Windows-Only.



A mon avis