Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le ransomware Locky continue de faire des victimes, comment se protéger

Réfléchir avant d'ouvrir un email est une bonne idée

Le ransomware Locky continue de faire des victimes, comment se protéger

Le 25 mars 2016 à 15h20

Locky est un ransomware qui a déjà fait des ravages, notamment chez nos confrères de l'AFP. En plus de prendre ses précautions face à certains emails, on peut se protéger de ce virus... du moins en attendant qu'une nouvelle version arrive.

Les ransomwares sont des logiciels particulièrement malveillants qui chiffrent les données présentes sur l'ordinateur et demandent une rançon à son propriétaire afin de les récupérer, c'est du moins ce qui est promis. Locky est l'un d'entre eux et il touche tous les systèmes d'exploitation Windows précise le CERT-FR.

Locky : quand le diable se cache dans la pièce jointe

Pour effectuer sa sombre besogne, il doit trouver une porte d'entrée sur la machine, qui passe généralement par un email avec une pièce jointe infectée (un .doc ou .XLS dans le cas présent). C'est d'ailleurs de cette manière que Locky a infecté des ordinateurs de nos confrères de l'AFP, comme l'explique Alcino Pereira, le responsable de la sécurité des systèmes d'information de l'agence. Pour infecter son ordinateur, il suffit de lancer la pièce jointe et, même s'il ne se passe rien, c'est déjà trop tard. 

Le ransomware va en effet se connecter à un serveur afin de télécharger le reste du malware qui sera en charge de chiffrer l'ensemble des périphériques de stockage (interne, externe, partage réseau, etc.). Un message vous invite alors à vous connecter à un serveur Tor afin de payer une rançon pour récupérer une clé permettant de déchiffrer vos données. La somme demandée serait de quatre bitcoins, soit l'équivalent de près de 1 500 euros au cours actuel, et ce, par poste infecté.

Bien évidemment, rien ne garantit que payer la rançon permette de récupérer vos données. En pareille situation, la plupart des spécialistes recommandent d'ailleurs de ne pas céder au chantage, ce qui est toujours plus facile à faire lorsque l'on dispose de sauvegardes. 

Bref, rien de bien nouveau dans le petit monde des ransomwares, si ce n'est que Locky a connu un démarrage sur les chapeaux de roues : « Depuis la mi-février 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky » explique l'Agence nationale de la sécurité des systèmes d'information (SGDSN). 

Prudence est mère de sûreté

Et il ne faut pas croire que cela n'arrive qu'aux autres, tout le monde peut se faire avoir à un moment donné, réfléchissez donc toujours à deux fois avant d'ouvrir un email avec une pièce jointe, la santé de vos données en dépend. « À l'AFP, nous n'y échappons pas : nous avons notre lot de postes cryptés par le ransomware. L'erreur est humaine, et recevoir un message émanant d'un cabinet d'avocats n'éveille pas la méfiance de plusieurs de nos utilisateurs » explique Alcino Pereira.

En France, Locky se cachait aussi dans de fausses factures Free Mobile par exemple. On peut également imaginer sans peine que les pirates ciblent leur message avec des données récupérées lors de fuite de données, comme ce fut le cas de Verizon récemment pour ne citer que cette société. Les attaquants disposent alors de certaines informations personnelles afin d'essayer de se faire passer pour un contact légitime.

Les pirates déploient des trésors d'ingéniosité pour parvenir à leur fin, comme le rapporte là encore l'AFP sur son blog : « Nous découvrons alors que les pirates ont trouvé un moyen pour déclencher en catimini l’envoi d’un accusé de réception dès que le mail infecté est manipulé, transféré ou détruit. Ainsi ils savent que l’adresse d’envoi est bonne, qu’il y a quelqu’un derrière. C’est vraiment très, très fort : en même temps qu’ils attaquent, ils mettent à jour leur base de cibles, pour continuer à l’avenir à attaquer toujours les mêmes personnes ».

Comment se protéger contre Locky ?

Heureusement, il existe plusieurs méthodes pour se protéger de Locky, en plus de l'hygiène que l'on devrait toujours avoir face à un email d'une provenance douteuse (éviter à tout prix d'ouvrir les pièces jointes et de cliquer sur un lien). Sur son blog, le cabinet de conseil en sécurité Lexsi donne quatre méthodes plus ou moins complexes pour bloquer ou limiter les dégâts de Locky.

La plus simple consiste à prendre les devants en créant une clé dans la base de registre avant Locky. Pour cela, il suffit de suivre quelques étapes :

  • Lancer la commande Executer de Windows avec la combinaison de touches « Windows + R »
  • Entrer « regedit » et valider en appuyant sur OK afin de lancer l'éditeur de registre
  • Aller dans HKEY_CURRENT_USER puis dans SOFTWARE
  • Cliquer sur Edition > Nouveau > Clé
  • Nommer cette nouvelle clé Locky
  • Effectuer un clic droit sur cette dernière, puis cliquer sur Autorisation...
  • Cocher la case Refuser pour l'option Contrôle total
  • Valider et quitter l'éditeur de registre

Lexsi explique en effet que si la clé est déjà présente dans le système, Locky se termine immédiatement sans autre action. On peut néanmoins supposer qu'une variante plus sophistiquée arrivera un jour, y compris pour les autres méthodes de protection décrites par la société. Il ne s'agit donc que d'une prévention, en aucun cas d'une protection définitive. 

Locky base de registre

De son côté, le SGDSN a publié une (très) longue liste des URL utilisées par Locky pour télécharger ses binaires. Comme vous pouvez le constater, les adresses sont très nombreuses, mais l'agence de sécurité indique que « la mise en liste noire de ces adresses est à considérer dans le cadre d'une protection contre le rançongiciel Locky ».

Il est également possible de désactiver les macros d'Office qui sont régulièrement utilisées pour infecter une machine. Microsoft s'est d'ailleurs fendu d'un billet de blog il y a quelques jours afin d'expliquer cela en détail. Dans tous les cas, il reste d'autre manière de piéger une pièce jointe...

Quitte à enfoncer des portes ouvertes, « le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution ». Il ajoute en outre qu'il « convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier ».

Et si je suis infecté, que faire ?

La première chose à faire est de déconnecter la machine du réseau et débrancher tous les périphériques de stockage externes afin d'éviter que le virus ne se propage sur vos autres ordinateurs. Par mesure de précaution, vous pouvez également placer tous les fichiers partagés en lecture seule afin d'éviter qu'ils ne soient chiffrés.

Si vous avez une sauvegarde saine, c'est le moment de la restaurer sur le poste infecté, en prenant soin de supprimer les mails avec les pièces jointes vérolées pour éviter un clic malheureux. Si vous en avez la possibilité et le besoin, conserver les données chiffrées au cas où un moyen de les récupérer soit découvert plus tard. 

Quoi qu'il en soit, pour les spécialistes la bataille ne fait que commencer, car les ransomwares ont le vent en poupe chez les pirates, et ils devraient de plus en plus nombreux en 2016. Et effectivement, la relève est déjà là avec un nouveau ransomware : Petya. Pour rappel, la meilleure des préventions et des protections est d'éviter d'ouvrir des pièces jointes et de cliquer sur des liens provenant de personnes que l'on ne connait pas, ou dont l'email semble étrange.

Commentaires (130)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Par exemple, un virus js que j’ai reçu complètement offusqué et le même déoffusqué.

On vois qu’il télécharge un binaire  “LTOeVLVn.exe” et  l’exécute avec activeX.

votre avatar

Tu ne réponds pas à mes questions. Je reformule :




  • qu’est-ce qui fait que le JS (en attachement) est exécuté ? Est-ce automatique ? Dans quoi est-il exécuté (le lecteur de mail, directement un interpréteur de JS lancé sans précaution,…) ?

  • comment se fait-il qu’un JS reçu par mail soit lancé sans restreindre ses droits à lancer un exe ?



    Edit : je ne demandais pas les instructions en JS pour lancer un exe

votre avatar

Et non, Linux est également compromis par d’autres approches :) (idem pour MacOs).

votre avatar







gvosnet a écrit :



http://www.dotnetspider.com/resources/19547-Run-exe-file-Java-Script.aspx









Nit a écrit :



Par exemple, un virus js que j’ai reçu complètement offusqué et le même déoffusqué. 

On vois qu’il télécharge un binaire  “LTOeVLVn.exe” et  l’exécute avec activeX.





J’ai lu “ActiveX” dans le code, ça passe par du ActiveX et pas juste du JS, donc ?

C’est vraiment aberrant qu’on puisse faire ça en tout cas, lancer un exécutable depuis du JS.







Citan666 a écrit :



C’est pas pour troller*, mais, dans la partie “Comment se protéger” il manque le plus évident… 




  ° Passer sous Linux ! :yes:  







  * Enfin, si un peu, beaucoup, passionnément quand même...        


  -------------------------> part très très loin :D






Cela dit c’est pas un troll, c’est un fait. Indépendamment des mérites respectifs des OS, sous Linux t’es peinard.







PèrePatience a écrit :



Et non, Linux est également compromis par d’autres approches :) (idem pour MacOs).

 





 Je suis curieux de savoir comment, à l’heure actuelle.


votre avatar

Vu que les virus js demandent en général d’avoir activeX (cf mon précédent commentaire)  j’imagine que c’est exécuté par IE d’une manière ou d’une autre…

votre avatar

Les Cryptolocker ne demandent pas d’être admin pour s’exécuter. Ils se contentent bien des fichiers personnels. Leur but n’est pas de rendre le système inopérable, mais juste de prendre en otage nos fichiers adorés (bureautiques, photos, etc). 



Pour Linux on parle de Linux.Encoder

votre avatar







picatrix a écrit :



ça vient de donner des idées à Microsoft.

 

La prochaine version de GWX chiffrera entièrement votre disque et vous n’aurez la clef que si vous faites l’upgrade vers W10.





<img data-src=" /> <img data-src=" />


votre avatar

OK, vivement qu’activeX soit viré de Windows. Si j’ai bien suivi, c’est prévu.



Mais il n’y a pas une demande d’autorisation d’exécution à l’utilisateur ?

Genre “voulez-vous lancer ransomware 2.3 de source inconnue à vos risque et périls, Microsoft n’a pas pu vérifier la signature de ce logiciel…” ?

votre avatar

Ben si tu as des appli métiers toutes pourrites qui te demande de tout désactiver&nbsp;<img data-src=" />&nbsp;…

votre avatar

Tu reçois en pièce jointe un zip avec un js dedans, si tu double-click sur le js tu n’as pas d’alerte, voir :https://isc.sans.edu/forums/diary/Malicious+spam+continues+to+serve+zip+archives…

votre avatar







PèrePatience a écrit :



Les Cryptolocker ne demandent pas d’être admin pour s’exécuter. Ils se contentent bien des fichiers personnels. Leur but n’est pas de rendre le système inopérable, mais juste de prendre en otage nos fichiers adorés (bureautiques, photos, etc).&nbsp;





Ça reste aberrant que ça s’exécute.

&nbsp;





PèrePatience a écrit :



Pour Linux on parle de&nbsp;Linux.Encoder





Mais encore ? Jamais entendu parler. Et comment on serait infecté ? Vu que sous Linux on ne lance jamais d’exécutable reçu par mail.


votre avatar

Au hasard, un script ou un .deb dans une pièce jointe (même principe d’approche : ingénierie sociale), un logiciel corrompu (dernier en date : Transmission qui a ciblé macos. Un dérivé de Linux Encoder), une pub malicieuse non bloquée qui télécharge un fichier corrompu), etc.

&nbsp;

Certes, on est d’accord qu’une bonne majorité d’utilisateur est censée être “avertie” mais tout le monde peut se faire avoir, même un admin (le cas de transmission à “choqué” la communauté).

Par exemple, rien ne garantie qu’un matin les dépôts de Mozilla ne soient pas compromis pendant 1h (le temps de réaction de la fondation) et diffusent un Firefox vérolé (technique utilisée pour Transmission, l’équipe de hacker a profité de l’annonce d’une mise à jour du soft).



Règle numéro 1 : ne jamais se sentir “intouchable” ;)

votre avatar







PèrePatience a écrit :



Règle numéro 1 : ne jamais se sentir “intouchable” ;)





et avec la règle 34 : on se touche tout seul&nbsp; ?


votre avatar

On &nbsp;ne peut pas grand chose contre un dépôt infecté, c’est certain (moyen facile d’infecter la plupart des postes individuels, infecter Firefox par exemple). Mais pour la façon dont les rançongiciel se répandent sur Windows, on est tranquille côté Linux (on ne récupère jamais de binaire par mail, ou de toutes façons il ne sera pas exécuté tout seul).

votre avatar

Il me semble que le fameux fichier .js qui se trouve dans un zip n’est pas à proprement parler du JavaScript pur, mais du JScript. C’est une adaptation microsoftienne de JavaScript. Et ce bouzin permet entre autre d’exécuter du code en dehors de son navigateur préféré.



fr.wikipedia.org Wikipedia&nbsp;

De plus, certains de mes clients qui ont été touchés nous ont signalés que l’icône ressemblait à du PDF (Alors c’est bon on y va… <img data-src=" />

)

votre avatar







OlivierJ a écrit :



On &nbsp;ne peut pas grand chose contre un dépôt infecté,





ça dépend de la distribution que tu utilises <img data-src=" />


votre avatar







Chromosome3 a écrit :



&nbsp;Cette vérole est quand même simple et efficace, j’admirerai presque les concepteurs. Le tuto pour les bitcoins etc… J’avoue chapeau, les rois du piège à con, ils ont tout compris.





Bha oui, même eux ont une grand-mère, un parent, un voisin… dont il suffit de s’inspirer de la maîtrise de l’outil pour concevoir un piège très efficace.


votre avatar







picatrix a écrit :



ça dépend de la distribution que tu utilises <img data-src=" />





Comme l’a dit fred42, on peut trafiquer les sources (ce qui doit être fait avant d’infecter un dépôt avec un binaire frelaté) :-) .


votre avatar







RaoulC a écrit :



&nbsp; 



   Comme ca




gist.github.com GitHub



Bien entendu, cela ne fonctionne que sur Internet Explorer (et les logiciels qui utilisent le moteur d'IE), puisque ca exploite ActiveX. Jvachez doit apprécier :mdr:  







Encore une bonne raison de mettre Firefox ESR sur les machines d'entreprise :D






Merci pour l’info, c’est ce que je me disais. C’est incroyable que chez MS ils n’aient pas appris des leçons d’Outlook dans les années 2000 (un mail pouvait déclencher l’exécution d’un script, déjà une belle connerie).

Déjà dans les années 2000, avoir Firefox et Thunderbird, c’était probablement plus sûr qu’avoir un antivirus et le couple infernal IE/Outlook (je ne parle même pas du respect des standards de Firefox).

&nbsp;





alain_du_lac a écrit :



Bravo : avec ce genre de remarque, tu as gagné le prix du super-naze sur NextInpact !!<img data-src=" />





Tu peux développer ?


votre avatar

Je me pose une question depuis un certain temps ; si on utilise OpenOffice, est-ce que ces fichiers xls ou doc ou docm sont dangereux ? Je suppose que ces malwares utilisent les macros non ? Du coup l’une des options pour se prémunir temporairement serait d’installer un OpenOffice ou dérivé similaire ?



Pour un utilisateur de gmail, utiliser le service drive et ses éditeurs client léger (déportés) doit être efficace également..



C’est vraiment un truc qui m’inquiète tant pour mes machines perso que pour le boulot, ou des milliers de TO de données sont accessibles via nos disques réseau montés en permanence… Et ya des gens qui ne sont pas des lumières en ce qui concerne la “bêtise humaine face aux pièces jointes et e-mails d’inconnus improbables”…

votre avatar







Nozalys a écrit :



C’est vraiment un truc qui m’inquiète tant pour mes machines perso que pour le boulot, ou des milliers de TO de données sont accessibles via nos disques réseau montés en permanence… Et ya des gens qui ne sont pas des lumières en ce qui concerne la “bêtise humaine face aux pièces jointes et e-mails d’inconnus improbables”…



Ces milliers de TO sont certainement l’objet de diverses stratégies de récupération, non ?


votre avatar

Je suppose qu’il utilise le port 80 pour télécharger l’intégralité du virus.

votre avatar

“fait des ravages, notamment chez nos confrères de l’AFP.”



&nbsp;Ah ah! L’agence gouvernementale est visiblement pleine de neuneus qui ouvrent les pièces jointes!



L’article oublie de donner la meilleure solution au problème : payer.

Ainsi, pour une somme modique, vous retrouverez toutes vos données.

Après tout, on est habitué aux taxes. Celle-ci au moins aide des indépendants.

votre avatar

Le gouvernement projette de récupérer la TVA sur Locky ; c’est un business lucratif puis c’est en Français ; ça implique sûrement d’avoir une succursale en France

votre avatar

Un de nos client se l’ai pris , on a réussi à lui récupérer ses fichiers, mais en perdant l’arborescence et la plupart des noms de fichiers.

La démarche utilisée est celle-ci :

&nbsphttp://www.iphonedeveloppeur.fr/2016/03/locky-virus-recover-encrypted-files-payi…



Par contre le client a assez vite réagi, il a téléphoné dès qu’il a compris qu’il y avait un souci (~2H) et on lui a dit d’éteindre son PC. Tous les fichiers n’étaient pas encore chiffrées.

Je pense que la technique marche aussi plus ou moins bien selon l’espace disponible sur le disque.



Avant on a testé un équivalent de extundelete pour NTFS, mais&nbsp; ça n’a pas fonctionné. Donc même si vous avez testé ce genre de technique je vous conseil photorec.

votre avatar

Oui tu as raison, j’avais oublié ce détail. Malgré tout, est-ce qu’un ransomware plus évolué ne serait pas également capable de flinguer ou d’encoder le processus de récupération ..?

votre avatar

Et ça se passe comment pour la ou les personnes qui ont créé ce ransomware ?

(Mis à part l’argent qu’elle se met en poche.)

votre avatar







Pumpk1in a écrit :



Et ça se passe comment pour la ou les personnes qui ont créé ce ransomware ?

(Mis à part l’argent qu’elle se met en poche.)







… ben comme elle a pris certaines précautions, semble t-il, genre pas d’attaque pour les ordis en cyrillique (Russes), donc pas de plaintes en Russie où elle vit probablement, donc la police Russe lui fout la paix, et qu’elle passe par le réseau Thor pour le paiement en bitcoins, ben ça se passe plutôt bien … <img data-src=" />


votre avatar







fz49000 a écrit :



pas d’attaque pour les ordis en cyrillique (Russes), donc pas de plaintes en Russie où elle vit probablement, donc la police Russe lui fout la paix, et qu’elle passe par le réseau Thor pour le paiement en bitcoins, ben ça se passe plutôt bien … <img data-src=" />





Mais qu’est-ce qu’une divinité nordique vient faire en Russie ? <img data-src=" />


votre avatar

Ca c’est un comportement très sain : à la manière du SUDO de Linux en fait. Perso, je préfère.

votre avatar







Gilbert_Gosseyn a écrit :



Ca c’est un comportement très sain : à la manière du SUDO de Linux en fait. Perso, je préfère.



Quand le compte Admin (et pas un compte admin quelconque) te dit que tu n’es pas les droits admin (alors qu’il n’y a rien au-dessus, c’est le “compte dieu” de Windows), tu trouves ca sain? <img data-src=" />

Donc pour toi une machine qui part en couilles est un fonctionnement normal… OK <img data-src=" />


votre avatar

Tu fais erreur (et je l’ai faite aussi cette erreur) : le véritable “dieu” c’est le compte SYSTEM.

votre avatar

<img data-src=" />

votre avatar

En cas d’infection, envoyer au FBI des menaces terroristes, ils se chargeront de récupérer les données chiffrées <img data-src=" />.

votre avatar

Merci&nbsp;<img data-src=" />



Après le sous titre est valable pour tellement de chose dans la vie…&nbsp;<img data-src=" />

votre avatar







CUlater a écrit :



Ne pas oublier de dire qu’il ne faut pas payer; ça peut paraître évident, mais certains le font encore… <img data-src=" />





Certains le font car c’est parfois leur seul moyen de retrouver leur données, faute de sauvegardes.

Les auteurs de ransomware l’on bien compris en exigeant des sommes “raisonnables” (et supportables notamment pour les entreprises) : ils ont tout intérêt à tout faire pour que les gens payent, en donnant les clés une fois payés par exemple.


votre avatar

Tiens, je viens d’aller voir mes mails et qu’est-ce que je trouve dans les spams : une fausse facture Free avec pièce jointe !



Heureusement je suis sur Linux en ce moment , mais je ne vais pas cliquer dessus pour autant <img data-src=" />

votre avatar

C’est un .doc/.xls qui utilise une faille ou un fichier exe déguisé genre file.doc.exe ?

votre avatar







eglyn a écrit :



On aurait pu imaginer Microsoft faire une mise à jour Windows pour rajouter automatiquement cette clé sur tous les PC :/





Ce n’est pas une popup demandant de migrer sous Windows 10, Microsoft n’a donc aucun intérêt à fournir une MAJ


votre avatar

Touché aussi au boulot et vive les sauvegardes.

Malgré les nombreuses “campagnes” d’informations qu’on fait, c’est toujours la même chose: “Oui je sais, mais cette fois je croyais que c’était vrai!”……

votre avatar

Chez nous, ce ne sont pas des .DOC infectés que nous avons reçu mais des .JS

Plus redoutable que les .DOC car avec ces derniers, il faut activer les macros dans Word pour que l’infection fonctionne alors qu’avec le .JS, c’est instantané.

votre avatar

Comment est-ce qu’un fichier bureautique, constitué de données (et pas d’un exécutable), puisse infecter une machine ?&nbsp;<img data-src=" />

Sont quand même super fort chez MS…

votre avatar







gvosnet a écrit :



Chez nous, ce ne sont pas des .DOC infectés que nous avons reçu mais des .JS

Plus redoutable que les .DOC car avec ces derniers, il faut activer les macros dans Word pour que l’infection fonctionne alors qu’avec le .JS, c’est instantané.





Comment est-ce qu’un JS peut infecter ta machine ?


votre avatar

Non, des macros. Il faut donc répondre “Oui” à la demande d’activation des macros après ouverture du fichier.

votre avatar

Oh oui… Vu ici sur de nombreux postes. Terrible comme un simple JS peux te pourrir une machine en quelques minutes.



Le JS va télécharger le virus en fait si j’ai bien suivi.



https://blogs.mcafee.com/mcafee-labs/locky-ransomware-rampage-javascript-downloa…

votre avatar

As-tu déjà entendu parlé des macros ?&nbsp;

votre avatar

Faut ptete flouter adresse en fr qui semble mener à une caméra ?

votre avatar

Justement en parlant des macros. Dans la configuration d’un domaine Windows, il existe une GPO qui permet de bloquer l’exécution des macros Word (car l’un des principaud vecteurs de contaminations est un .doc) il suffit donc d’activer ce paramètre sur le domaine Windows pour les utilisateurs authentifiés pour bloquer ces exécutions de macros.

votre avatar



La plus simple consiste à prendre les devants en créant une clé&nbsp;dans la base de registre avant Locky. Pour cela, il suffit de suivre quelques étapes :Lancer la commande Executer de Windows avec la combinaison de touches « Windows + R »Entre « regedit » et validez en appuyant sur OK, ce qui lancera l’éditeur de registreRendez-vous dans HKEY_CURRENT_USER puis dans SOFTWARECliquez sur Edition &gt; Nouveau &gt; CléNommez la LockyEffectuez un clic droit sur cette dernière, puis cliquez sur Autorisation…Cochez la case Refuser pour l’option Contrôle totaleValidez et quittez l’éditeur de registre

On aurait pu imaginer Microsoft faire une mise à jour Windows pour rajouter automatiquement cette clé sur tous les PC :/

votre avatar

C’est Locky bad luck qui chiffre plus vite que son ombre.

votre avatar

j’aime bien l’approche de la clé de registre (mais ça résout rien et n’est pas pérenne, on est d’accord) <img data-src=" />

votre avatar

<img data-src=" /> (la moyenne parce que c’est bientôt le week-end et qu’on est fatigué <img data-src=" />).

votre avatar

Touchés chez nous en début de semaine !!

Heureusement nous avons avons réagis très vite et perdu “seulement” une demie journée de boulot pour 2 personnes.





Mais ce qui nous a sauvé c’est en effet les sauvegardes !!

votre avatar



Et si je suis infecté, que faire ?



Ne pas oublier de dire qu’il ne faut pas payer; ça peut paraître évident, mais certains le font encore… <img data-src=" />

votre avatar

Très bon article :)

Ceci dit, le sous-titre se suffit à lui-même en fait ^^

votre avatar

sinon on peut aussi utiliser mjolnir contre locky, mais ça laisse des traces sur les postes (et le bureau, voir le bâtiment)

votre avatar







Nozalys a écrit :



Oui tu as raison, j’avais oublié ce détail. Malgré tout, est-ce qu’un ransomware plus évolué ne serait pas également capable de flinguer ou d’encoder le processus de récupération ..?





Normalement, une sauvegarde quelle qu’elle soit en environnement pro, c’est pas en push. Le client n’a dont pas directement la main, en tout cas pas en écriture, sur cet espace.

Un système de snapshot comme netapp et d’autres le font, c’est géré par et administré sur l’os du filer lui-même… Et il suffit de traiter comme il se doit toute version atteinte (normalement la plus récente à moins de trainer…) pour éviter qu’elle de “descende” au gré des instantanés ultérieurs jusqu’à disparition par obsolescence.


votre avatar







Gilbert_Gosseyn a écrit :



Tu fais erreur (et je l’ai faite aussi cette erreur) : le véritable “dieu” c’est le compte SYSTEM.



Ah oui je l’oubliais celui-là.

Mais vu qu’on ne se loggue jamais avec, Administrateur reste le max atteignable pour un humain.


votre avatar

Une belle salo* tout de même les ransomware Bah le plus simple est de sauvegarder et tout remonter en cas d’attaque

votre avatar

On ne peut se logguer en SYSTEM vu que c’est l’utilisateur noyau. Windows ne propose pas d’équivalent à “root” utilisable par un humain en fait.

votre avatar







Gilbert_Gosseyn a écrit :



On ne peut se logguer en SYSTEM vu que c’est l’utilisateur noyau. Windows ne propose pas d’équivalent à “root” utilisable par un humain en fait.



C’est donc bien ce que je disais, on ne se loggue jamais avec… <img data-src=" />


votre avatar

Merci pour ces précisions <img data-src=" />

votre avatar

Non mais ensuite il y a probablement des règles de sécurités mises en places . Si je ne m’abuse, j’ai surement eu des popups de sécurités qur IE quand je testais ce truc.



Le genre de fenêtre pour lesquelles les gens répondent oui sans hésiter <img data-src=" /> et autorisent l’infection

votre avatar







V_E_B a écrit :



Mais qu’est-ce qu’une divinité nordique vient faire en Russie ? <img data-src=" />







… c’est pour donner du mystère et Raspoutiniser encore plus, tu comprends … <img data-src=" />



Merci de m’avoir corrigé … <img data-src=" />


votre avatar







Demilitarized Zone a écrit :



reg add HKCU\Software\Locky /f

powershell “\(key = 'HKCU:\Software\Locky'; \)acl = Get-Acl -Path \(key; \)rule = New-Object -TypeName System.Security.AccessControl.RegistryAccessRule -ArgumentList ‘Tout le monde’, ‘FullControl’, ‘Deny’; \(acl.SetAccessRule(\)rule); \(acl | Set-Acl -Path \)key”







Powershell <img data-src=" />



Sinon, la même avec l’utilitaire tierce partie Setacl :

setacl -on “hklm\software\locky” -ot reg -actn ace -ace “n:tout le monde;p:full;m:deny”


votre avatar

Bonjour,



au bureau nos mails arrivent sur un poste doté uniquement du viewer word/excel.



Si une pièce jointe infectée est ainsi ouverte, le code va-t-il s’exécuter ?



Que doit-on penser de la solution de vaccin de Bitdefender http://korben.info/bitdefender-vaccin-anti-ransomware.html) ?

votre avatar

Perso et au taf, j’ai résolu le problème : Je regarde même plus mes mails… <img data-src=" />

votre avatar

J’ai du mal à voir ce qui justifie un article par rapport aux autres cryptolocker…



Réfléchir avant d’ouvrir un email est une bonne idée

&nbsp;Bis repetitam quoi…

votre avatar

Toi aussi, tu lis tous les sources de ta distrib avant de les compiler ?

votre avatar

Il n’y a pas besoin de droits admin pour écrire dans HKEY_CURRENT_USER, c’est TA base de registre,

toi, monpc\xillibit.

votre avatar







psn00ps a écrit :



Il n’y a pas besoin de droits admin pour écrire dans HKEY_CURRENT_USER, c’est TA base de registre,

toi, monpc\xillibit.



Ca, c’est sur une machine qui fonctionne correctement.

On a qques PC au taf où même quand tu es sur le compte Administrateur (donc même pas un simple compte admin), où quand tu as besoin des droits admin Windows te répond que tu dois les réclamer à ton administrateur… <img data-src=" />


votre avatar

La question c’est comment le choper <img data-src=" /> <img data-src=" />



En faite je préfère ne pas savoir <img data-src=" />

votre avatar







Folgore a écrit :



La question c’est comment le choper <img data-src=" /> <img data-src=" />



En faite je préfère ne pas savoir <img data-src=" />



Ouverture de pièce jointe dans un mail quelconque…


votre avatar

Je me fais pas trop de souci pour moi, mais pour mes parents par contre ça sent le drame un de ces 4… <img data-src=" />



Vous les faites avec quoi vos backup sous Windows svp ?

votre avatar

Y a-t-il un risque de transmettre ce type de virus en faisant des copies de mes données sur un os linux&nbsp; par cygwin avec l’outil rsync sur une partition formatée en NTFS ?

Le virus peut-il se propager d’une quelconque manière d’un pc windows à un pc linux par le réseau perso ?



&nbsp;Dans tous les cas faites vos sauvegardes ! ;)

votre avatar

Xcopy pour windows vers windows et rsync (via cygwin) pour windows vers linux.



Mais il y a plein de logiciels prêts à l’emploi aussi du genre :

http://www.clubic.com/telecharger-fiche11081-cobian-backup.html

&nbsp;

en.wikipedia.org Wikipedia

votre avatar

1ere erreur, il ne faut pas utiliser le compte Administrateur.

A moins d’être sur un serveur, et dans ce cas il n’y a pas d’emails à lire.

EDIT: Mais tu le sais :)

votre avatar

Une autre question, le virus peut il sortir d’une machine virtuelle selon la configuration du réseau choisie ?

votre avatar



Pour infecter son ordinateur, il suffit de lancer la pièce jointe et, même s’il ne se passe rien, c’est déjà trop tard.





Sérieux, il y a encore des gens qui tombent dans ce vieux piège <img data-src=" />

votre avatar

Y’aurai pas un admin sys qui saurait configurer applocker avec office ? :/

votre avatar







sr17 a écrit :



Sérieux, il y a encore des gens qui tombent dans ce vieux piège <img data-src=" />







<img data-src=" /> Et leur nombre est en augmentation… <img data-src=" /> <img data-src=" />


votre avatar

Oui, si ta carte réseau virtuelle peut communiquer avec ton PC (host only) ou le réseau (bridge / nat).

Mais pour cela, il faut que le compte utilisateur sur ta VM ait des droits d’écritures sur ton Pc hôte (cas si tu as des dossiers partagés en “tout le monde” pour la facilité).

Ne parlons pas d’un cas comme VMWare fusion / Parallel sur macos qui rend tous dossiers partagés vulnérables&nbsp;<img data-src=" />&nbsp;(mais bon, on partira du principe qu’on est “sensibilisé” si on a ce niveau d’utilisation et qu’il n’y a aucune raison d’ouvrir une pièce jointe depuis le Windows … m’enfin mieux vaut prévenir <img data-src=" />).



&nbsp;Pour savoir si tu as des dossiers partagés :

-&nbsp;dans la barre d’adresse de l’explorateur windows, tapes \127.0.0.1




  • démarrer &gt; exécuter &gt;&nbsp;\127.0.0.1

  • clic droit sur “ordinateur” &gt; gérer &gt; dossiers partagés &gt; partages

  • et d’autres :)



    A savoir que les ransomware attaquent également tous périphériques USB connectés au PC (clé USB, disque dur, téléphone avec espace de stockage, etc) et les lecteurs réseau connectés (ou non car ils explorent le réseau).



    Pour faire simple, sur ton compte utilisateur Windows, tout ce à quoi tu as accès (en écriture) est vulnérable.

    Les ransomware ciblent tous les fichiers bureautiques, images, musique, vidéos, portefeuille bitcoin. Tous les trucs auxquels on tient quoi&nbsp;<img data-src=" />

votre avatar







gvosnet a écrit :



Non, des macros. Il faut donc répondre “Oui” à la demande d’activation des macros après ouverture du fichier.





Perso, je ne n’active pas les macros d’un fichier que je viens de recevoir et que j’ouvre pour lire.

Sinon c’est dingue d’avoir permis que des macros d’un fichier bureautique puissent faire de tels dégâts. Déjà que l’erreur avait été faite sur d’ancienne version de Outlook, ils n’apprennent jamais chez MS ? C’est comme chez Adobe qui a eu la riche idée de permettre d’insérer du code dans un PDF…&nbsp;<img data-src=" />


votre avatar







gvosnet a écrit :



Oh oui… Vu ici sur de nombreux postes. Terrible comme un simple JS peux te pourrir une machine en quelques minutes.



Le JS va télécharger le virus en fait si j’ai bien suivi.



https://blogs.mcafee.com/mcafee-labs/locky-ransomware-rampage-javascript-downloa…





Sympa comme lien, on y voit que Locky, comme bcp d’autre malware, n’infecte pas les machines réglé sur la langue Russe.



Au final, ça semble être une bien meilleure protection que la clé de registre.



Pourquoi MS ne publie pas un patch, passant tous les Windows sur “Russe” ? Avec un popup permettant de trouver l’école apprenant le Russe la plus proche. C’est pourtant pas compliqué… Franchement.


votre avatar

c’est TROP simple….pardi !

surtout, qu’il NE faut pas “badiner” avec le “Registre”, sinon la machine NE redémarre plus !

généralement, le lendemain….“surprise” !!!

le temps que les, nouveaux paramètres, soient pris en compte –&gt; “..j’vous jure, j’ai RIEN fait” !!! <img data-src=" />

&nbsp;

votre avatar

Réfléchir, c’est trop dur pour nos utilisateurs, ils cliquent sur tout. <img data-src=" />

votre avatar







gvosnet a écrit :



Oh oui… Vu ici sur de nombreux postes. Terrible comme un simple JS peux te pourrir une machine en quelques minutes.



Le JS va télécharger le virus en fait si j’ai bien suivi.



https://blogs.mcafee.com/mcafee-labs/locky-ransomware-rampage-javascript-downloa…





Télécharger un virus, jusque-là je vois. Mais ensuite ?

Comment est-ce qu’un JS peut déclencher l’exécution d’un binaire ?&nbsp;<img data-src=" />







gvosnet a écrit :



As-tu déjà entendu parlé des macros ?&nbsp;





Oui et j’en ai même écrit pour de l’Excel en VBA il y a un an. Mais ça sert juste à automatiser des manipulations à l’intérieur du tableur, entre 2 fichiers Excel.


votre avatar

De ce que j’ai pu ressortir du code qu’un INpactien nous a donné c’est qu’il télécharge un .exe qui est ensuite exécuter pour crypté les données une à une…

Un truc tout con d’une 20aines de lignes…

votre avatar







jb18v a écrit :



j’aime bien l’approche de la clé de registre (mais ça résout rien et n’est pas pérenne, on est d’accord) <img data-src=" />





Moi, je n’aime pas. C’est encore du favoritisme envers Microsoft de ne donner une solution que pour Windows. Et comment je me protège sous Linux ?





CUlater a écrit :



Ne pas oublier de dire qu’il ne faut pas payer; ça peut paraître évident, mais certains le font encore… <img data-src=" />





Le FBI a un avis différent sur la question.


votre avatar







latlanh a écrit :



De ce que j’ai pu ressortir du code qu’un INpactien nous a donné c’est qu’il télécharge un .exe qui est ensuite exécuter pour crypté les données une à une…

Un truc tout con d’une 20aines de lignes…





Et c’est quoi qui permet au JS de




  1. s’exécuter ?

  2. lancer un exe inconnu ?


votre avatar
votre avatar

Pour écrire quelque chose dans la base de registre il faut bien les droits admin ?

votre avatar

Salut,



Ces astuces ne fonctionnent pas, la clef est Random:

twitter.com Twittertwitter.com TwitterPar contre, mettre les paramètres régionales en russe, le ransomware fait un exit (CryptoWall doit faire pareil).

&nbsp;

Et pour le mail, faut désactiver Windows Script Host :&nbsp;youtube.com YouTube

votre avatar

C’est ce que j’allais dire, le nom pourrait être aléatoire et cela ne résoudrait pas le probléme

votre avatar

C’est pas pour troller*, mais, dans la partie “Comment se protéger” il manque le plus évident…



° Passer sous Linux ! <img data-src=" />































&nbsp;











* Enfin, si un peu, beaucoup, passionnément quand même…

————————-&gt; part très très loin <img data-src=" />

votre avatar

Merci <img data-src=" />





Quels sont les “dommages collatéraux” de la désactivation de WSH dans une utilisation quotidienne ?

votre avatar

Comment se protéger contre Locky ?



Démarrer -&gt; Arrêter

votre avatar

ça vient de donner des idées à Microsoft.

&nbsp;

La prochaine version de GWX chiffrera entièrement votre disque et vous n’aurez la clef que si vous faites l’upgrade vers W10.

votre avatar







Reznor26 a écrit :



Merci <img data-src=" />

Quels sont les “dommages collatéraux” de la désactivation de WSH dans une utilisation quotidienne ?





Il est abondamment utilisé par Windows update, donc à la limite le réactiver quand tu fais tes mises à jour.

Plus simple, virer l’entrée “.js” dans HKCR.


votre avatar

J’ai ri, merci&nbsp;<img data-src=" />

votre avatar







herbeapipe a écrit :



Xcopy pour windows vers windows et rsync (via cygwin) pour windows vers linux.



Mais il y a plein de logiciels prêts à l’emploi aussi du genre :

http://www.clubic.com/telecharger-fiche11081-cobian-backup.html

 

en.wikipedia.org WikipediaMerci <img data-src=" />



Même si un retour d’utilisation est toujours préférable à une liste froide que j’aurais pu trouver.

Néanmoins je vais étudier la question avec.

Cobian Backup semble avoir des avis partagés et assez datés, je vais voir.











Inny a écrit :



Il est abondamment utilisé par Windows update, donc à la limite le réactiver quand tu fais tes mises à jour.

Plus simple, virer l’entrée “.js” dans HKCR.





Merci bien pour ta réponse <img data-src=" />



Mais tout ça dépasse mon niveau de noob, et encore plus si c’est pour la maintenance d’un PC sur lequel je ne vais que périodiquement (celui de mes parents). Supprimer l’entrée “.js” empêche basiquement d’exécuter JavaScript, c’est l’idée ?


votre avatar







le-gros-bug a écrit :



C’est un .doc/.xls qui utilise une faille ou un fichier exe déguisé genre file.doc.exe ?





execution d’une macro : mais par défaut c’est désactivé sur Word ; il y a un bandeau indiquant “ Ce fichier provient d’internet voulez vous activer les modifications ” ensuite Word demande “ Des macros non vérifiées sont présentes etc ..” sauf que certains logiciels pro ; oblige de désactiver la sécurité des macros car … la sécurité c’est pour les martiens .


votre avatar







herbeapipe a écrit :



Xcopy pour windows vers windows et rsync (via cygwin) pour windows vers linux. 




Mais il y a plein de logiciels prêts à l'emploi aussi du genre :


http://www.clubic.com/telecharger-fiche11081-cobian-backup.html 



&nbsp;


en.wikipedia.org WikipediaReznor26 a écrit :



Merci <img data-src=" />



Même si un retour d’utilisation est toujours préférable à une liste froide que j’aurais pu trouver.

Néanmoins je vais étudier la question avec.

Cobian Backup semble avoir des avis partagés et assez datés, je vais voir.



depuis Win7 et Win2008 ; il y a quand même une commande bien plus évoluée que xcopy … robocopy qui permet notamment lancer une copie de seulement les modifications avec vérification et validation de la copie



Sinon il y a Acronis ;&nbsp; les extensions .tib ne sont pas du moins pour l’instant pris pour cible par LOCKY . Le but est de chiffrer le plus rapide .pdf doc xls jpg mdb


votre avatar







Nit a écrit :



Vu que les virus js demandent en général d’avoir activeX (cf mon précédent commentaire)&nbsp; j’imagine que c’est exécuté par IE d’une manière ou d’une autre…





le JS que j’ai vu n’execute que du .. javascript que tout navigateur peut executer .. et va comme la macro&nbsp; ; allez sur une URL télécharger le .exe


votre avatar

Comment tu fais ça ?

votre avatar







Elwyns a écrit :



depuis Win7 et Win2008 ; il y a quand même une commande bien plus évoluée que xcopy … robocopy qui permet notamment lancer une copie de seulement les modifications avec vérification et validation de la copie &nbsp;



&nbsp;

Tout à fait. Xcopy fait pâle figure à côté.

Ne pas omettre /XJ si des liens systèmes sont dans la source, on part facilement en boucle.



En cas de fs (fat?fat32 vers ntfs ou inversement) différents et pour une exécution régulière (par exemple un tâche de backup), /FFT est appréciable si on souhaite faire du /MIR


votre avatar

Si tu peux poster un exemple comme le mien (celui deobfuscated), je suis intéressé. Tous ceux que j’ai vu (4 ou 5 différent, tous reçu par mail) exécutent le .exe via un activeX.

votre avatar

Sur mon PC perso j’utilise Bitdefender Internet Security 2016 avec le Protection Ransomware activé, et une liste définie de répertoires à protéger, Mes documents, images, etc. et effectivement je peux constater que lorsque certains programmes ou jeux ont besoin de faire une modif dans Mes documents, pour créer un dossier par exemple, la demande est bloquée et je dois explicitement autoriser ce programme à faire des modifs.

J’ai ça + la dernière version de MBAM Premium que je trouve excellent aussi, je me sens plutôt protégé

votre avatar

Et pour les NAS? Si j’ai créé un dossier réseau? ?

votre avatar







Nit a écrit :



Si tu peux poster un exemple comme le mien (celui deobfuscated), je suis intéressé. Tous ceux que j’ai vu (4 ou 5 différent, tous reçu par mail) exécutent le .exe via un activeX.





désolé j’ai pas gardé le mail encore moins la pièce jointe , je reste parano :o . déjà le code JS est vraiment incomphrénsible mais on détecte des variables pour lancer une URL téléchargeant un .exe&nbsp;



sniperdc a écrit :



Et pour les NAS? Si j’ai créé un dossier réseau? ?





bah il flambe !



si tu es sur ton poste a acces avec un raccourcis il va le crypter au mieux tu as des snapshots


votre avatar

… suivant les conseils d’un lecteur (Merci !), j’ai installé Remediate VBS worm, qui permet de désactiver/activer (pour Windows Update par ex) WSH (Windows Script Host) …



http://bartblaze.blogspot.fr/2014/02/remediate-vbs-malware.html

votre avatar







picatrix a écrit :



ça vient de donner des idées à Microsoft.

&nbsp;

La prochaine version de GWX chiffrera entièrement votre disque et vous n’aurez la clef que si vous faites l’upgrade vers W10.





<img data-src=" />



Locky est surtout une calamité pour les entreprises vu le nombre de réseaux en mousse couplés aux interfaces chaise clavier bancales. Nombre de michus travaillent sur postes informatiques dans nombre de PME/TPE voir même grandes entreprises et sont donc de bon vecteurs.



&nbsp;Cette vérole est quand même simple et efficace, j’admirerai presque les concepteurs. Le tuto pour les bitcoins etc… J’avoue chapeau, les rois du piège à con, ils ont tout compris.



Mais hormis les entreprises, pour le geek moyen local de NXI avec image système isolée récente , au pire tu réinstalles. Pour les autres, ben… Je sollicite le joker Cazeneuve <img data-src=" />


votre avatar







Chromosome3 a écrit :



Locky est surtout une calamité pour les entreprises vu le nombre de réseaux en mousse couplés aux interfaces chaise clavier bancales. Nombre de michus travaillent sur postes informatiques dans nombre de PME/TPE voir même grandes entreprises et sont donc de bon vecteurs.



 Cette vérole est quand même simple et efficace, j’admirerai presque les concepteurs. Le tuto pour les bitcoins etc… J’avoue chapeau, les rois du piège à con, ils ont tout compris.



Mais hormis les entreprises, pour le geek moyen local de NXI avec image système isolée récente , au pire tu réinstalles. Pour les autres, ben… Je sollicite le joker Cazeneuve <img data-src=" />







Je suis tout à fait d’accord et d’après mon expérience (frappé 2x en 2015), c’est dû à des comportements très humains :

a)L’employé qui n’en a rien à fiche que toute la compagnie soit touchée, et ouvre tous ce qu’il reçoit aveuglément. Au mieux il va savourer pleinement de pouvoir glander pendant la reconstruction, au pire on va l’entendre se plaindre que l’équipe IT est composée de branleurs.

b)Le boss qui a exigé de n’avoir aucune restriction (navigation, droits admin sur domaine,etc…) et qui erre sur des sites malpropres et infecte toute la compagnie. Lui aussi va dire ensuite que ses IT sont des brêles, alors que la compagnie roule sur des antivirus/parefeu/matos/logiciels pourris parce que pas chers/gratuits.

Le point commun aux 2 : ce n’est jamais de leur faute et la moindre restriction (blocage des pièces zippées, d’horizons bien trop exotiques pour être honnêtes, sites web de torrent, stream, crack,…) est une remise en cause de leur professionnalisme et une atteinte à leurs conditions de travail.



Et je rajoute un point particulier : dans les pays unilingues, on peut repérer des emails farfelus parce que souvent, ils sont bourrés de fautes de grammaire/orthographe, syntaxe, et que la majorité des habitants à quand même une certaine maîtrise de la langue écrite.

Dans mon cas, je vis dans un pays bilingue (par la force des choses), si bien qu’une majorité de la population à des difficultés dans les 2 langues (français et anglais) à la fois, à tous les niveaux de la société (du ministre, à l’ouvrier, dans la fonction publique comme dans le privé).

Il est courant que l’expéditeur utilise du charabia franglais et que le récipiendaire ne comprenne que partiellement, ou l’inverse que l’expéditeur rédige une email décent mais que le destinataire soit hésitant à cause de son niveau linguistique : donc il faut ouvrir la pièce jointe coûte que coûte pour savoir de quoi il retourne.

Et là, si c’est infecté, c’est imparable : PAF <img data-src=" />

J’imagine qu’avec la mondialisation, ce phénomène n’ira qu’en s’amplifiant, déjà qu’en achetant en Chine, les échanges d’après-vente peuvent être cocasses ( il faudrait que je me mette au Cantonnais <img data-src=" /> <img data-src=" />)


votre avatar

Le contenu du mail c’est une chose ; mais malgré que l’adresse courriel de l’expéditeur soit farfelus ça ouvre quand même les pieces jointes !

&nbsp;Et pire quand ils ont leur propre nom en tant qu’expéditeur ( spoofing ) ; ils se disent surement “ tiens jme suis envoyé une pièce jointe , c’est quoi ? ” ………..

votre avatar

Virer .js est simple et efficace mais dangereux.

Une mise à jour de Windows pourrait le remettre en place.

&nbsp;

votre avatar

Salut tout le monde !!

Je voulais vous demandez comment on fait pour accéder au BIOS de l’ ordinateur après une attaque par ransomware de type Locky ? Car on peut plus demander à son ordi l’accès au BIOS UEFI ?

Merci d’avance à ceux qui ont la réponse :)

votre avatar

on NE le dira jamais assez, le seul “et bon” Anti virus : EST* l’utilisateur !!!

la Ste. aura beau avoir “le meilleur AV. au monde”, si l’“Autorisation” est donnée –&gt; bingo = infecté !!! <img data-src=" />

&nbsp;

* est le restera

votre avatar







psn00ps a écrit :



1ere erreur, il ne faut pas utiliser le compte Administrateur.

A moins d’être sur un serveur, et dans ce cas il n’y a pas d’emails à lire.

EDIT: Mais tu le sais :)



Quand je suis sur le compte Admin, je ne lis pas les mails, j’ai juste des trucs à faire en mode admin (comme on a un domaine assez spécial, bien que je sois admin du domaine je ne peux me connecter que sur une 10zaine de postes avec mon compte perso sur les 80 que je dois gérer (ca m’envoie bouler si j’essaie de me connecter)… donc compte Admin local obligatoire) <img data-src=" />


votre avatar

Est ce que le fait de désactiver le Windows Scripting Host empêche Windows Update de se faire sur Vista et les versions suivantes ?

votre avatar







gauthi3r a écrit :



Justement en parlant des macros. Dans la configuration d’un domaine Windows, il existe une GPO qui permet de bloquer l’exécution des macros Word (car l’un des principaud vecteurs de contaminations est un .doc) il suffit donc d’activer ce paramètre sur le domaine Windows pour les utilisateurs authentifiés pour bloquer ces exécutions de macros.





Evidemment, mais tu fait comment si les utilisateurs se servent des macros?

Si ma mémoire est bonne, il est possible de signer les macros non? Dans ce cas, désactiver l’utilisation de macro non signées c’est possible aussi par GPO?


votre avatar

&nbsp;







OlivierJ a écrit :



Comment est-ce qu’un JS peut infecter ta machine ?





Comme ca



gist.github.com GitHubBien entendu, cela ne fonctionne que sur Internet Explorer (et les logiciels qui utilisent le moteur d’IE), puisque ca exploite ActiveX. Jvachez doit apprécier <img data-src=" />



Encore une bonne raison de mettre Firefox ESR sur les machines d’entreprise <img data-src=" />


votre avatar

parfois, ce n’ai pas évident à faire comprendre “aux Chefs” !

pour “certains”, les Boss, C’EST EUX, donc, ton avis ….

(même si t’es informaticien) ! <img data-src=" />

votre avatar







lansing a écrit :



Est ce que le fait de désactiver le Windows Scripting Host empêche Windows Update de se faire sur Vista et les versions suivantes ?





La procéduretechnet.microsoft.com Microsoftn’empêche pas l’exécution de Windows Update sur Vista ou les version suivantes.


votre avatar







RaoulC a écrit :



Evidemment, mais tu fait comment si les utilisateurs se servent des macros?

Si ma mémoire est bonne, il est possible de signer les macros non? Dans ce cas, désactiver l’utilisation de macro non signées c’est possible aussi par GPO?





Les macros Word sont bien moins répandues que les macros Excel par exemple.



Sur un parc de 150 machines, 3 utilisateurs m’ont fait part de leurs problèmes avec les macros Word qui sont inutilisables.



Dans ce cas j’ai créer un filtre WMI qui exclu la GPO pour ces 3 personnes, et je leur ais donné une mini formation pour les sensibiliser davantage que les autres personnes.



Ensuite, je suis en train de travailler sur un script pour créer la fameuse clé de registre pour bloquer Locky, je dois encore tester en labo les ACL sur la clé de registre et ce sera tout bon.


votre avatar

sympa. !!! <img data-src=" />

votre avatar







OlivierJ a écrit :



Comment est-ce qu’un fichier bureautique, constitué de données (et pas d’un exécutable), puisse infecter une machine ? <img data-src=" />

Sont quand même super fort chez MS…





Bravo : avec ce genre de remarque, tu as gagné le prix du super-naze sur NextInpact !!<img data-src=" />


votre avatar

Et recevoir des mails signé avec gpg, ca permet d etre sur du contenu et de l expediteur, meme si c est chiant ca permettrais s eviter ce genre de foirage !

votre avatar

reg add HKCU\Software\Locky /f

powershell “\(key = 'HKCU:\Software\Locky'; \)acl = Get-Acl -Path \(key; \)rule = New-Object -TypeName System.Security.AccessControl.RegistryAccessRule -ArgumentList ‘Tout le monde’, ‘FullControl’, ‘Deny’; \(acl.SetAccessRule(\)rule); \(acl | Set-Acl -Path \)key”

votre avatar







gauthi3r a écrit :



Les macros Word sont bien moins répandues que les macros Excel par exemple.



Sur un parc de 150 machines, 3 utilisateurs m’ont fait part de leurs problèmes avec les macros Word qui sont inutilisables.



Dans ce cas j’ai créer un filtre WMI qui exclu la GPO pour ces 3 personnes, et je leur ais donné une mini formation pour les sensibiliser davantage que les autres personnes.



Ensuite, je suis en train de travailler sur un script pour créer la fameuse clé de registre pour bloquer Locky, je dois encore tester en labo les ACL sur la clé de registre et ce sera tout bon.





Interessant, merci !

Quand au déploiement de la fameuse manip clef de registre + ACL,&nbsp; si tu pouvait faire tourner&nbsp; :)


votre avatar

Il semble que Microsoft ait tout de même fait une modification d’importance pour ce problème. Ainsi si vous avez connecté des disque réseaux sur votre session, les applications ne pourront pas accéder à ces disques réseaux connectés, il leur faudra se connecter à nouveau avec le mot de passe.

C’est tout de moins ce que j’en ai déduis puisque tout d’un coup mon logiciel de sauvegarde sur disque réseaux ne savait plus accéder au disque que j’avais connectés sur ma session, alors qu’avant ça marchait. Il a donc fallu que je me connecte au disque réseau avec le mot de passe. Par contre ensuite plus besoin d’entrer le mot de passe, il semble que le logiciel ait enregistré la procédure.

Sur Windows 10

Le ransomware Locky continue de faire des victimes, comment se protéger

  • Locky : quand le diable se cache dans la pièce jointe

  • Prudence est mère de sûreté

  • Comment se protéger contre Locky ?

  • Et si je suis infecté, que faire ?

Fermer