Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Ransomware Petrwrap/Petya : les recommandations de l’ANSSI

Patch ! Patch ! Patch !

Ransomware Petrwrap/Petya : les recommandations de l'ANSSI

Le 27 juin 2017 à 17h34

Depuis quelques heures, un ransomware semble faire de nombreuses victimes de par le monde et toucher de nombreuses entreprises, notamment en France : Petrwrap/Petya. La variante d'une attaque déjà vue il y a quelques temps.

Comme souvent dans ce genre de cas, tout n'est pas encore très clair pour le moment. Ce ransomware semble exploiter une faille similaire à WannaCrypt (voir notre analyse), la Police nationale évoquant de son côté l'utilisation du port 445 (celui de SMB) et le fait que toutes les versions de Windows sont concernées.

Dans tous les cas, le dispositif montre un fonctionnement différent, qui reproduit notamment l'apparence d'une vérification de la validité des données de Windows (chkdsk) alors que le chiffrement de vos données est en cours. Vous devrez ensuite payer une rançon (l'équivalent de 300 dollars en bitcoins) pour espérer les récupérer.

Comme toujours, il est recommandé de faire preuve de sang-froid et de patience. Ne payez pas la rançon. Vous devez aussi isoler les machines infectées et boucher les failles sur les autres système de votre réseau ou de votre entreprise qui pourraient être touchées.

En attendant notre analyse détaillée de cette campagne, vous pourrez retrouver les recommandations publiées par l'ANSSI.

Commentaires (74)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

“Et on remercie chaleureusement la NSA, sans qui rien n’aurait été possible”

votre avatar

Bon, bien content d’être actuellement sur Linux (sauf pour cette sessions mais bon…)

votre avatar

Avec un AV à jour et les mises à jour Windows appliquées (sur un Win avec support, donc pas XP…) ça devrait être OK, non ?



(Je parle pour mes collègues, j’suis pas sous Win)

votre avatar

pour le désactiver complètement:

sc.exe config browser start= disabled

sc.exe config lanmanserver start= disabled



sinon un “net stop server /Y” devrait l’arrêter jusqu’au prochain reboot



Pour savoir les services/process à l’écoute sur un port TCP:

netstat -ano|find “LISTEN”

votre avatar







bilbonsacquet a écrit :



Avec un AV à jour et les mises à jour Windows appliquées (sur un Win avec support, donc pas XP…) ça devrait être OK, non ?



(Je parle pour mes collègues, j’suis pas sous Win) 





 Ils sont pas encore certain que ça se déplace seulement grâce à EternalBlue mais oui c’est dejà une première protection.



Il est trés probable qu’un autre vecteur d’infection tout aussi virulent ait été utilisé pour que cela fasse autant de nouvelles victimes (pishing?)


votre avatar

SMB sert à quoi pour un  particulier ?

votre avatar

A partager ses fichiers sur un réseau local sans que ça fasse 3 fois le tour des serveurs Google/Apple/Ms/autres

votre avatar

 







David_L a écrit :



Oui j’ai vu des choses aussi dans ce sens, après comme dit, on reste encore relativement dans le flou, on verra pour être plus précis une fois que tout sera un peu plus décortiqué et qu’on aura un minimum de recul <img data-src=" />





D’où l’emploi du conditionnel&nbsp; <img data-src=" />Merci de nous tenir au courant <img data-src=" />


votre avatar

En complément :support.microsoft.com Microsoft

Le problème par exemple en entreprise, c’est les copieurs mêmes récents qui ne supportent que le smb v1 et donc, impossible de le désactiver côté serveur.

votre avatar

essaye de les connecter directement à un PC si possible

votre avatar

Qu’en est il de la vulnérabilité de smb1 sur linux ?

J’ai l’impression que chaque article ne parle que de Windows, idem côté ANSSI.

votre avatar
votre avatar







127.0.0.1 a écrit :



sinon un “net stop server /Y” devrait l’arrêter jusqu’au prochain reboot





Donc dans la liste des services, c’est l’appellation “serveur” qu’il faut chercher.

Et c’est con, mais je fais (ou je reçois) de l’impression réseau …


votre avatar

Des distributeurs automatique de billets sont aussi touchés :twitter.com Twitter

votre avatar

La faille ne touche que Windows effectivement le problème étant uniquement ( et encore une fois) SMBv1 et 2 pas le 3. C’est la compatibilité avec les vieux matos et les constructeurs de matos fainéant qui font que ce protocole n’est toujours pas désactivé partout par défaut.



Pour information ceux qui ont des mises à jour de mois de trois mois sur Windows (mars) craignent au pire un écran bleu (sur Windows 7,8, server 2008r2, 2012r2). Pour ceux qui ont un mois de retard la faille est normalement bouchée définitivement (seconde vague de mise à jour de mai)

votre avatar







127.0.0.1 a écrit :



J’en viens a regretter FTP/SFTP. Le mieux serait un port win32/win64 de Samba… mais c’est pas d’actualité.





un port windows de Samba n’aurait pas de sens, Samba c’est déjà un port mais dans le sens contraire, c’est une implémentation de SMB/CIFS de Microsoft vers Linux et Unix.



sinon SMB v1 c’est surtout sur de vieux OS genre win XP ou win server 2003, c’est pour ca que les beaucoup de victimes sont des objets avec de vieux OS non mis à jour genre TV d’avions, terminaux de caisse enregistreuse, etc


votre avatar







GrosBof a écrit :



“Et on remercie chaleureusement la NSA, sans qui rien n’aurait été possible”





<img data-src=" /><img data-src=" />


votre avatar

Le mail pirate est inaccessible :twitter.com Twitter

votre avatar







Gwalix a écrit :



un port windows de Samba n’aurait pas de sens, Samba c’est déjà un port mais dans le sens contraire, c’est une implémentation de SMB/CIFS de Microsoft vers Linux et Unix.







Disons que ca a autant de sens que de désactiver IIS pour mettre Apache/Nginx, ou de désinstaller MediaPlayer pour mettre VLC/MPC. L’idée c’est de désactiver un service closed-source par un service équivalent open-source.



Certes, on peut dire que le “LanmanServer” de Microsoft c’est l’implémentation de référence pour SMB/CIFS…



Mais c’est aussi une surface d’infection bien connue, notamment à cause de la nécessite pour windows d’être rétro-compatible. Il y avait le même genre de soucis avec le serveur RPC, le serveur d’accès distant, etc.


votre avatar

Partage de fichiers

votre avatar

Attention, Petya (nom de ce ransomware chez kaspersky) se propage aussi via PsExec (cf. outils sysinternals).



Un extrait d’un tweet très intéressant :



To quickly stop Petya right now - MS17-010 patch AND blocking ADMIN$ via GPO will stop lateral movement on WMI and PSEXEC.


votre avatar

&nbsp;#Petya is using #eternalblue vulnerability to spread through firewalls and WMIC / PSEXEC to move internally. No clicking required. #infosec

votre avatar







elec a écrit :



Attention, Petya (nom de ce ransomware chez kaspersky) se propage aussi via PsExec (cf. outils sysinternals).



Un extrait d’un tweet très intéressant :



To quickly stop Petya right now - MS17-010 patch AND blocking ADMIN$ via GPO will stop lateral movement on WMI and PSEXEC.





À faire en priorité sur les DC bien évidemment….. J’aime ce genre de conseils qui font plus de dommages que le malware lui-même.


votre avatar

Bonsoir à tous, un vrai kill switch a été trouvé :&nbsptwitter.com TwitterIl suffit de créer un fichier perfc sans extension dans %windir%



&nbsp;

votre avatar

Vu sur twitter :



‪@hackerfantastic ‬ #Petya encrypts ON BOOT. If you see CHKDSK message your files not yet encrypted, power off immediately. You can recover with with LiveCD.

votre avatar







GrosBof a écrit :



“Et on remercie chaleureusement la NSA, sans qui rien n’aurait été possible”





sauf que pour le coup, sous réserve que ce code utilise bien les même failles que le précédent, on peut certes blâmer la NSA de se les être garder, mais cela fait tout de même des MOIS que les correctifs sont dispos, et des semaines qu’une attaque de grande envergure les a déjà employer mettant spécifiquement en évidence la nécessite de se mettre a jour.



donc si je suis patron, que mes machines sont infectées et que c’est bien la même faille, je te garantie que y’a des admin sys qui vont manger sévère


votre avatar

Mon entreprise a été TRÈS impactée par ce ransomware, avec des centaines voir des milliers de postes infectés, et je suis vraiment impressionné par la rapidité à laquelle il s’est propagé. D’autant plus que toutes les versions de windows semblent être touchées.

votre avatar

Attention tout de même aux infos et photos trouvées ici ou là, particulièrement sur twitter, il semble y avoir BEAUCOUP de fake <img data-src=" />

votre avatar

Hello, à partir de la build 16626 de Windows 10 insider (actuellement sur le Fast Ring), SMBv1 est supprimé par défaut (uniquement sur les fresh installs, pas les in-place upgrade).&nbsp;&nbsp;&nbsp;

&nbsp;&nbsp;&nbsp;&nbsp;

Windows 10 and SMB1: As part of a multi-year security plan, we are removing the SMB1 networking protocol from Windows by default. This build has this change, however the change only affects clean installations of Windows, not upgrades. We are making this change to reduce the attack surface of the OS. Here are some more details to take note of: All Home and Professional editions now have the SMB1 server component uninstalled by default. The SMB1 client remains installed. This means you can connect to devices from Windows 10 using SMB1, but nothing can connect to Windows 10 using SMB1. We still recommend you uninstall SMB1 if you are not using it. In a later feature update of Windows 10, we may uninstall SMB1 client if we detect that you are not using it. All Enterprise and Education editions have SMB1 totally uninstalled by default. The removal of SMB1 means the removal of the legacy Computer Browser service. The Computer Browser depends exclusively on SMB1 and cannot function without it. For more information on why SMB1 is being removed, see: https://aka.ms/stopusingsmb1For more information on software and devices that require SMB1, see https://aka.ms/stillneedssmb1. &nbsp; &nbsp;&nbsp;On peut donc s’attendre à ce que la mise à jour Fall Creators de Septembre bénéficie de cette suppression.

votre avatar







127.0.0.1 a écrit :



pour le désactiver complètement:

sc.exe config browser start= disabled

sc.exe config lanmanserver start= disabled



sinon un “net stop server /Y” devrait l’arrêter jusqu’au prochain reboot



Pour savoir les services/process à l’écoute sur un port TCP:

netstat -ano|find “LISTEN”





quel risque en désactivant le service ?

pour voir les services/process, comment arrêter le défilement en lançant netstat -ano|find “LISTEN”


votre avatar

Donc si j’ai bien compris si notre w10 est à jour on risque rien ?

votre avatar

J’informe mes proches…



On est bien d’accord que ce malware parle uniquement en anglais?

La capture d’écran devrait suffire à les avertir que quelque chose est mauvais.

votre avatar

oui, et de toute façon une fois qu’on en est à cette étape on peut plus rien faire avec <img data-src=" />

votre avatar

Certes, mais s’ils éteignent leur machine des fichiers peuvent encore être sauvés ;)

votre avatar







WereWindle a écrit :



du coup, vérifie bien tes sauvegardes et fais des tests de restauration <img data-src=" />







Oui, c’est la moindre des choses.&nbsp; Si c’est les serveurs sont touché, j’ai mes sauvegardes (dont une délocalisé et non connecté à un ordinateur/ou réseau).&nbsp; C’est des VMs, du coup, oui c’est facile de restaurer.



Par contre, si mes potes utilisateurs sont touchés, je vais devoir formater, réinstaller etc. Et si c’est 150 postes…. Le truc relou à faire (pas de serveur image). &nbsp;



ps : personnes est administrateur. Je sais pas si cela peut aider…


votre avatar







dematbreizh a écrit :



Certes, mais s’ils éteignent leur machine des fichiers peuvent encore être sauvés ;)





Je pense que oui :)

En démarrant sous un linux.


votre avatar

Personnellement, je n’arrive toujours pas à comprendre comment se propage ce virus. Autant avec Wanacry, on a su que les utilisateurs ont du dl des fichiers vérolés.

Là, j’ai pas l’impression que ce soit le cas mais je n’en suis pas sûr. De plus, est-ce que les patchs ont corrigé la faille exploitée?



Je suis un peu dans le flou pour dire ce qu’il y a ou pas à faire pour s’en prémunir…

votre avatar

C’était le cas, mais il y a environ un an les DAB sont passé sous IP.



Par contre cette variante ne serait pas la même que Petya de 2016..donc on

risque de perdre plus que le MBR ?

votre avatar







trOmAtism a écrit :



Par contre, si mes potes utilisateurs sont touchés, je vais devoir formater, réinstaller etc. Et si c’est 150 postes…. Le truc relou à faire (pas de serveur image).





“If you are good at something, never do it for free” (©le Joker) <img data-src=" />

(même si c’est juste une bonne bouffe ;) )







trOmAtism a écrit :



ps : personnes est administrateur. Je sais pas si cela peut aider…





si l’attaque se base sur la MS2017-010 (comme Wannacry), il y a une possibilité d’élévation de privilège <img data-src=" />


votre avatar

Quel bordel encore.

votre avatar







Lyaume a écrit :



Personnellement, je n’arrive toujours pas à comprendre comment se propage ce virus. Autant avec Wanacry, on a su que les utilisateurs ont du dl des fichiers vérolés.

Là, j’ai pas l’impression que ce soit le cas mais je n’en suis pas sûr. De plus, est-ce que les patchs ont corrigé la faille exploitée?



Je suis un peu dans le flou pour dire ce qu’il y a ou pas à faire pour s’en prémunir…







A priori le réseau de l’éditeur d’un logiciel financier, MeDoc, a été compromis. Une fois dedans les attaquants ont propagé ce Petya-like via le système de mises à jour à toutes les entreprises clientes utilisant MeDoc.

Cet éditeur étant Ukrainien cela explique que les principales entreprises touchées soient ukrainiennes, russes et plus généralement dans les pays ayant des filiales en Ukraine.

twitter.com TwitterDans ce cas bien précis être patché contre EternalBlue via le correctif MS17-010 et/ou ne pas utiliser SMBv1 sur son LAN ne sert pas à grand chose puisque l’infection provient d’un autre vecteur (le système de mise à jour de MeDoc).



Ensuite le patch MS17-010 corrige bien l’exploit EternalBlue donc si tu es patché tu es protégé contre ce vecteur d’infection et de propagation et uniquement celui-ci. La question est : Est-ce que ce ransomware Petya-like utilise uniquement ce vecteur aussi ?

La réponse est à priori non : une fois une machine infectée via l’update MeDoc, le malware Petya-like se propagerait sur le LAN via PsExec et WMIC, donc le correctif MS17-010 est inutile contre ces deux nouveaux vecteurs d’attaque.



Enfin concernant WannaCry, les machines infectées ne l’étaient pas suite à une action utilisateur. Les machines qui ont été infectées directement sont celles qui (1) n’étaient pas patchées avec le MS17-10 donc vulnérables à EternalBlue et (2) avaient des ports SMB ouverts sur Internet donc atteignables par un simple scan Internet. 2ème étape : toutes les machines reliées au même LAN que celles directement infectées, utilisant SMBv1 et n’ayant pas le MS17-010 ont été infectées à leur tour par WannaCry qui s’est propagé via SMB. Il est probable que certaines machines aient été infectées suite à l’exécution d’un document vérolé par des utilisateurs mais ce n’est clairement pas le principal vecteur d’infection utilisé par WannaCry (mais bien un scan Internet pour détecter les machines vulnérables puis propagation par le LAN).


votre avatar

C’est quand même flippant ce genre de délire… Depuis que l’argent est devenu roi sur internet j’ai jamais l’impression de me sentir en sécurité. En plus avec cette bouse qu’est le bitcoin c’est devenu bien trop facile de demander une rançon :/



J’ai une question con les mec à propos de ce genre de faille : Quid d’une installation en cours d’un windows ? A l’époque de blaster je me suis fait infecté environ 5 minutes après l’installation de windows, pas le temps d’installer les mise à jours. J’ai du formater puis réinstaller offline avant d’installer un firewall puis de faire les mise à jours. Ce genre de connerie peut également fonctionner ici ?

votre avatar







Kakuro456 a écrit :



Oui, puis aussi Bitcoin qui facilite la rançon.





Je rêve qu’un jours ce genre de bouse soit définitivement interdite car actuellement c’est bien pire que le système bancaire alors qu’en théorie ça devait être mieux… Car entre l’inflation, la difficulté de minage et le fait qu’une nouvelle crypto peut être crée en un clic c’est vraiment la jungle et il y à masse de gens douteux qui font de l’argent la dessus.


votre avatar

<img data-src=" />



donc MeDoc, c’est de la mauvaise médecine <img data-src=" />

votre avatar







Paul Muad’Dib a écrit :



A priori le réseau de l’éditeur d’un logiciel financier, MeDoc, a été compromis. Une fois dedans les attaquants ont propagé ce Petya-like via le système de mises à jour à toutes les entreprises clientes utilisant MeDoc.







Utilisent et partagent aussi les me.doc… <img data-src=" />


votre avatar







jb18v a écrit :



<img data-src=" />



donc MeDoc, c’est de la mauvaise médecine <img data-src=" />





ah bah j’avais pensé au vin avant de penser médicament <img data-src=" />


votre avatar

Merci de ton explication.

votre avatar

Lol, je viens de recevoir un mail de recommandation du service info de ma boite :) Sont réactifs !

votre avatar

Cela serait un ransomware différent de Petya, il emploierait juste le même bootloader.

&nbsp;

votre avatar







RaoulC a écrit :



Cela serait un ransomware différent de Petya, il emploierait juste le même bootloader.

&nbsp;





Oui j’ai vu des choses aussi dans ce sens, après comme dit, on reste encore relativement dans le flou, on verra pour être plus précis une fois que tout sera un peu plus décortiqué et qu’on aura un minimum de recul <img data-src=" />


votre avatar

C’est vraiment une plaie que “SMB server” soit activé par défaut sur les PC windows (workstation). C’est le genre de service qui devrait être désactivé par défaut, et activé seulement après confirmation des risques encourus à partager un répertoire.



J’en viens a regretter FTP/SFTP. Le mieux serait un port win32/win64 de Samba… mais c’est pas d’actualité.

votre avatar

En aparté du sujet, est ce qu’il y a un comparatif de IDS/IPS matériel quelque part à jour ? Ceci afin de bloquer des éventuels postes infectés qui se lancerait à crypter des partages réseaux.

votre avatar

Avec le bulletin CERT sur les ransomwares juste paru aujourd’hui. Quelle proactivité!<img data-src=" />

votre avatar

D’ailleurs, il existe une méthode pour arrêter ce service ?

J’ai regardé dans ma liste, aucune mention d’un “serveur SMB”.

votre avatar

Mais lol quoi la sncf encore touchée.

Ils sont vraiment mauvais partout ces cons là.

votre avatar

Ce n’est pas un ransomeware mais un ransomeworm d’après expert BFMTV à l’instant: la menace se propage comme un vers sur tous le réseau et la menace est bien plus complexe que Wannacry. Pas sur que les dernière mises à jours soient efficace.

votre avatar

support.microsoft.com MicrosoftWindows 8 and Windows Server 2012

Windows 8 and Windows Server 2012 introduce the new Set-SMBServerConfiguration Windows PowerShell cmdlet. The cmdlet enables you to enable or disable the SMBv1, SMBv2, and SMBv3 protocols on the server component.



Notes When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. This behavior occurs because these protocols share the same stack.



You do not have to restart the computer after you run the Set-SMBServerConfiguration cmdlet. 




 To obtain the current state of the SMB server protocol configuration, run the following cmdlet:   


 Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol   







 To disable SMBv1 on the SMB server, run the following cmdlet:   


 Set-SmbServerConfiguration -EnableSMB1Protocol $false   







 To disable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:   


 Set-SmbServerConfiguration -EnableSMB2Protocol $false   







 To enable SMBv1 on the SMB server, run the following cmdlet:   


 Set-SmbServerConfiguration -EnableSMB1Protocol $true   







 To enable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:   


 Set-SmbServerConfiguration -EnableSMB2Protocol $true




Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.

Windows PowerShell 2.0 or a later version of PowerShell 




 To disable SMBv1 on the SMB server, run the following cmdlet:   


 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force   







 To disable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:   


 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force   







 To enable SMBv1 on the SMB server, run the following cmdlet:   


 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force   







 To enable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:   


 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force




Note You must restart the computer after you make these changes.

votre avatar

Selon un expert BFMTV ^^

votre avatar

<img data-src=" /><img data-src=" /> selon BFM ? depuis quand ils racontent autre chose que de la merde en barre ? merci pour ce rire du matin <img data-src=" />

votre avatar

c’est bien beau de dire “ouais suffit de désactiver SMB V1” quand toutes tes imprimantes sont partagées grâce à ce protocole ça change la donne…

votre avatar

double post

votre avatar

“browser”=“Explorateur d’ordinateur”: c’est une dépendance du service “lanmanserver”, il faut dont l’arrêter car il ne se lancera pas si on désactive “lanmanserver”. Pour la petite histoire, ce service permet la résolution de nom via le protocole NETBIOS… inutile sur les version modernes de windows (win2000 et +)



“lanmanserver “: c’est le service qui permet de partager un dossier local, de partager une imprimante locale et de permettre l’administration à distance (accès à distance au disque-dur, aux services, et au registre).



Note: L’accès à distance au bureau (Remote Desktop) reste opérationnel si on désactive “lanmanserver”

votre avatar







127.0.0.1 a écrit :



pour le désactiver complètement:

sc.exe config browser start= disabled

sc.exe config lanmanserver start= disabled



sinon un “net stop server /Y” devrait l’arrêter jusqu’au prochain reboot



Pour savoir les services/process à l’écoute sur un port TCP:

netstat -ano|find “LISTEN”







Je rajoute également la désactivation de NetBIOS over TCP/IP (port 139) qui ne sert plus à grand chose depuis 15 ans:

wmic.exe nicconfig where TcpipNetbiosOptions=0 call SetTcpipNetbios 2


votre avatar



pour voir les services/process, comment arrêter le défilement en lançant netstat -ano|find “LISTEN”





netstat -ano|find “LISTEN”|more

votre avatar

Il est plus facile de désactiver SMB sur linux je trouve. Même si c’est simple sur windows. ^^’ Enfin, pour moi en tout cas.

votre avatar







GrosBof a écrit :



“Et on remercie chaleureusement la NSA, sans qui rien n’aurait été possible”





Oui, puis aussi Bitcoin qui facilite la rançon.


votre avatar







xillibit a écrit :



Des distributeurs automatique de billets sont aussi touchés :twitter.com TwitterJe les croyais sur un réseau séparé ?


votre avatar

Ah bordel… C’est vraiment relou de voir ça. Tu sais jamais si ton entreprise sera touché ou pas.



Pour le moment, tout est ok. Mais un jour….

votre avatar







trOmAtism a écrit :



Ah bordel… C’est vraiment relou de voir ça. Tu sais jamais si ton entreprise sera touché ou pas.



Pour le moment, tout est ok. Mais un jour….





du coup, vérifie bien tes sauvegardes et fais des tests de restauration <img data-src=" />


votre avatar

pour le coup les ATM sous Windows ça m’a toujours bien fait flipper <img data-src=" />

votre avatar

Du coup, c’est beaucoup plus clair. Merci !

<img data-src=" />

votre avatar

je valide aussi <img data-src=" />

votre avatar

Patch ?!

Anssi soit il….

votre avatar







metaphore54 a écrit :



SMB sert à quoi pour un  particulier ?







Partage de fichiers en LAN à partir d’un NAS.



Au passage, sur un Win 10, je fais comment pour empêcher SMB d’aller voir ailleurs que vers une ou plusieurs adresses LAN bien précises ? (mon NAS Syno qui a le SMB d’activé).



On fait une whitelist facilement pour NFS, comment y arriver pour SMB ? Merci par avance pour vos réponses.


Ransomware Petrwrap/Petya : les recommandations de l’ANSSI

Fermer