MotoRun.net

[JGab]

La cigarette ?... Non, ça je l'ai fait il y a 18 ans.
Le forum ? Non plus.
La moto ? Oui.

J'ai connu les pires 3 semaines que je pouvais imaginer. Pannes en continu au boulot, puis pour finir une attaque de cryptovirus qui nous a niqué une très grosse partie des fichiers de l'enreprise. Vous savez ? Un de ces "ransomwares" qui réclament une rançon pour tout débloquer... Et mon collège étant parti en congé, j'étais le seul informaticien face à la vague.

J'ai trouvé le PC fautif et l'ai viré du réseau, remplacement la semaine prochaine, j'ai récupéré tous les fichiers à partir des sauvegardes, la moitié d'une nuit passée dans la boîte pour m'en sortir, j'ai mis en place une procédure sur tous nos serveurs censée nous protéger au moins partiellement contre ces merdes contre lesquelles aucun antivirus ne fait la poids, bref crevé physiquement et psychologiquement. Ce matin, je prends la moto, et boum ! Chicanes de merde, route mal nettoyée, pilote fatigué, bécane et motard au tas.

Grosses douleurs au poignet droit, à la jambe gauche, aux côtes, à l'aine pendant un moment, pompiers, urgences, radio... Bilan : j'ai finalement encore eu de la chance, je n'ai rien de cassé. J'ai une orthèse pour maintenir mon poignet, et des cachets pour calmer la douleur, c'est tout. La bécane, je ne sais pas encore : fourche morte, ça c'est sûr (elle n'est plus roulante), tout un côté griffé, un cale-pied parti vivre sa vie de son côté, pour le reste je ne sais pas.

Mais j'arrête la moto. Terminé, fini. Ras le bol. C'était la chute de trop. Ok, elle s'explique par le fait que j'étais lessivé et que notre ville fait n'importe quoi avec ses routes, mais qu'importe. J'en ai assez, j'ai atteint ma limite. Comme disait Roger Murtaugh, je suis trop vieux pour ces conneries.

Vala vala vala...

[Pifou]

Tu as raison, la moto c'est pour les jeunes....

Tu as eu un gros travail à faire ces derniers temps, tu n'as pas été aidé dans cette tache, et la fatigue aidant, tu penses qu'elle a contribué à la chute.
Par chance, tu n'as qu'un poignet tordu.
Cela nous rappelle que la moto peut être dangereuse en toutes circonstances ; mais n'oublions pas non plus qu'elle est source de plaisirs lorsqu'elle est utilisée comme un jouet ou manège pour faire un petit tour quand il fait beau.
Ne mettons pas non plus le coté pratique d'une course à faire en ville sans se creuser la tête à chercher un stationnement libre et payer un parcmètre.

Laisse passer quelques temps et fait réparer Daisy sans t'en séparer. Tu le regretteras sinon ......

Pour en revenir à ton job, tu dis :
1°) "J'ai trouvé le PC fautif et l'ai viré du réseau," , je rajouterais "son utilisateur est à virer de l'entreprise" Cela me fait penser que le milieu militaire est mieux protégé que le parc civil. Les contraintes d'utilisation des PC sont draconiennes et les réseaux plus fermés (ce qui n'exclus pas toutefois des risques de virus, mais c'est rare).
2°) "j'ai mis en place une procédure sur tous nos serveurs" : Si c'est applicable au particulier, c'est quoi ???

Passe une bonne nuit (qui porte conseil) et n'oublie pas tes cachets

[JGab]

Pour la procédure mise en place, elle fonctionne sur les serveurs. Je ne pense pas qu'on puisse la mettre en place sur un PC. Mais je mettrai ici le lien vers la page qui m'a permis de la mettre en route, dès mardi : ici, je ne l'ai pas. Cela dit, elle n'est qu'un pansement sur une jambe de bois, et ne peut pas être efficace dans tous les cas.

Pour mon collègue, non, ce serait exagéré : le mail fautif venait de Grèce, et ils viennent souvent des pays de l'est. Or nous travaillons beaucoup avec ces pays, et recevons des centaines de mails chaque jour. Les gars ont beau faire attention, il était inévitable qu'un jour un mail agressif passe, d'autant que les antivirus sont impuissants. Heureusement, ses droits sur le réseau l'ont empêché de faire des dégâts trop importants.

J'ai connaissance de grandes entreprises qui ont eu les mêmes problèmes et qui ont benné des dizaines de PC (vu qu'on ne sait pas les nettoyer avec certitude). Ces cryptovirus sont la plaie du moment...

Pour la moto, non, c'est mort. Je ne courrai pas le risque de tomber de nouveau dans 2 ou 3 ans, et cette fois de me casser réellement quelque chose. C'est assez, dit la baleine.

[Pifou]

..... benné des dizaines de PC (vu qu'on ne sait pas les nettoyer avec certitude). Ces cryptovirus sont la plaie du moment..........

Le changement de disque dur ne suffirait pas ???

[JGab]

Personne n'en sait rien, c'est tout le problème. Il n'y a pas un cryptovirus, mais plein, et ce n'est pas parce qu'on a réussi à en éradiquer un que la méthode utilisée fonctionnera pour un autre.

Normalement, un reformatage du disque et une réinstallation complète pourrait suffire : mais on ne peut pas en être sûr. De même, le changement du disque pourrait suffire : mais on n'en sait rien, là non plus. Et dans le cadre d'une entreprise, on ne peut pas prendre les risques qu'on peut se permettre chez soi avec un PC isolé.

Une chose est sûre : suivre les conseils de ceux qui prétendent savoir est très dangereux : si on a de la chance, ça peut le faire. Mais sinon (cryptovirus au comportement différent), ça peut dégénérer, surtout dans un environnement réseau.

Sur coup-là, j'ai eu de la chance : l'attaque à commencé à 15h00, on s'en est rendu compte vers 15h30, ce qui m'a permis de bloquer les sauvegardes pour récupérer des données propres le soir-même. Si ça s'était produite vers 19h, par exemple, on n'aurait rien vu, les sauvegardes et la réplication des serveurs auraient joué et je n'aurais pu récupérer que les données de la veille... Ç'aurait été la cata, même si les bases de données n'ont pas été touchées.

Alors, quand on peut le faire, on suit le principe de précaution maximale. En plus, dans notre cas, le PC était vieux : on l'aurait probablement changé dans l'année.

[BOTHROP'S 56]

...Mais j'arrête la moto...

Dommage....Tu aurais pu essayer le side.... Mais c'est ton choix,et tu as bien raison...(Respect)

[JGab]

Un side ne rentrerait pas dans mon garage, et puis je n'ai pas envie. Je fonctionne comme ça : soit j'arrête pour de bon, soit j'entretiens l'envie et je finis par retomber dans les 2 roues... et les chutes. Comme pour la cigarette : j'ai arrêté d'un coup, sans ralentir comme le font certains. Dans mon cas, c'était la seule méthode fiable.

J'ai un mauvais sens de l'équilibre, je le sais depuis toujours : il est temps que j'en tienne compte.

[yannwood]

... t'auras peut-être moins de problème d'équilibre avec le 3 roues ... enfin, j'dis ça, j'dis rien ...

Une chose est sûre : allez au taf au boulot est une chose ... la sortir que pour le loisir en est une autre !
Dans un cas, tu conduis par tous les temps, avec le stress/fatigue de toi même et des autres ... dans l'autre cas, tu sors pas souvent, mais tu choisis généralement la météo, tes parcours, t'as le tps ... mais c'est effectivement toi qui voit, et je peux comprendre qu'après être allé au tas, on peut dire stop

Bon, faut quand même qu'on te prévienne d'un truc ... même si t'as plus de brelle, même si tu prends l'option de ne plus rouler 2 roues ... tu restes quand même un motard !
... sisi, je t'assures ... j'te mets au défi de passer en caisse à côté d'un motard en rade sans t'arrêter ...

[Pifou]

... t'auras peut-être moins de problème d'équilibre avec le 3 roues ... enfin, j'dis ça, j'dis rien ...

Une chose est sûre : allez au taf au boulot est une chose ... la sortir que pour le loisir en est une autre !
Dans un cas, tu conduis par tous les temps, avec le stress/fatigue de toi même et des autres ... dans l'autre cas, tu sors pas souvent, mais tu choisis généralement la météo, tes parcours, t'as le tps ... mais c'est effectivement toi qui voit, et je peux comprendre qu'après être allé au tas, on peut dire stop

Bon, faut quand même qu'on te prévienne d'un truc ... même si t'as plus de brelle, même si tu prends l'option de ne plus rouler 2 roues ... tu restes quand même un motard !
... sisi, je t'assures ... j'te mets au défi de passer en caisse à côté d'un motard en rade sans t'arrêter ...

Trop bien dit tout ça

[BOTHROP'S 56]

... j'te mets au défi de passer en caisse à côté d'un motard en rade sans t'arrêter ...

+1

[Azazel]

Ahhh les ransomwares... 4 de mes clients se sont fait avoir, mais depuis que je les fait passer par altospam, je n'ai plus été emmerdé.
Heureusement que je surveille leurs sauvegardes =)

Enfin si, il y en a un qui s'est fait avoir quand meme, mais parcequ'un type a utilisé son webmail perso. Forcément ca, on a du mal a bloquer. Saloperies

Sinon désolé pour la moto JGab. Moi je n'en ai plus fait depuis longtemps, plus les moyens d'en racheter une.... et ce n'est pas demain la veille...

Pour les serveurs tu as mis en place le control d'applis? J'ai trouvé la methode lourde...

[JGab]

Salut, Aza !

Non, pas de contrôle d'application. Enfin, si, via Kaspersky, mais pour ce que ça m'a aidé...

J'ai désactivé toutes les découvertes réseau. Sur le PC le plus à risque, celui qui remplace le PC vérolé ; J'y ai supprimé tous les liens directs vers les autres machines, pour les remplacer par des raccourcis utilisant un petit utilitaire à moi qui redirige l'utilisateur vers les endroits voulus sans que les chemins apparaissent classiquement ; J'ai augmenté la protection de l'antivirus, ce que j'avais toujours évité de faire parce que tout le monde se plaignait déjà des perfs : là, pour le coup, ils ne disent plus rien ; Sur tous les PC, j'ai installé l'anti-ransomware gratuit de bitdefender qu'on trouve ici (il ne fait pas tout, protège contre 4 ransomwares seulement, et ne le pourra peut-être pas tout le temps, mais c'est toujours ça de pris) ; Sur les serveurs, j'ai utilisé le "gestionnaire de ressource du serveur de fichiers" pour bloquer certaines manifestations de ces merdes (comme expliqué ici)... Toutes ces précautions ne sont que des pansements sur jambe de bois, mais on n'a que ça à l'heure actuelle.

Tu parles d'Altospam : peut-il fonctionner quand on n'a pas de serveur de messagerie dans l'entreprise ? Car nous n'en avons pas : nous attaquons la messagerie Orange-Business par pop et smtp, rien de plus : ils ont leur propre antispam, mais son efficacité est des plus douteuses. J'ai l'impression que le service ne gère pas ce cas-là.

[Pifou]

Mesures radicales :
- Vous ne pouvez pas déconnecter votre réseau d'internet et de mettre à disposition quelques bécanes isolées dédiés à cet usage ??
- Sur les PC, interdire les accès aux supports externes
- Les utilisateurs n'ont que des cessions "d'utilisateur sans pouvoir"

[Azazel]

Tiens, je vais lire tes articles avec interet JGab

Oui altospam fonctionne a partir du moment ou tu as un nom de domaine. Si c'est du Orange, il suffit qu'ils redirigent le MX vers altospam, puis toi depuis altospam tu rediriges chez Orange. Et leur support est vraiment efficace, meme a 22h je les ai eu
Leurs perfs sont très bonnes, plus de 5000 messages refusés en un jour chez nous pour seulement quelques centaines d'acceptées.
Par contre attention à la derniere variante de ransomware, Petya, qui est tres dur a bloquer car le mail ne comporte rien, juste un lien vers dropbox.... Cette variante, dédiée RH et qui propose des CV, a deja plus d'un mois mais il semble debarquer en force ici...

[Azazel]

Mesures radicales :
- Vous ne pouvez pas déconnecter votre réseau d'internet et de mettre à disposition quelques bécanes isolées dédiés à cet usage ??

Non, imagine la misere... tout le monde va râler. Il n'y a que les boites militaires qui imposent cela et encore. Mais sur le principe tu as raison, les webmails perso par exemple sont des failles énormes.

- Sur les PC, interdire les accès aux supports externes

Ca se peut, mais l'effet est faible.

- Les utilisateurs n'ont que des cessions "d'utilisateur sans pouvoir"

Ca aussi c'est la misère. C'est la meilleur solution et sur les serveurs de type TSE c'est un impératif. Mais le souci, c'est qu'il faut etre dispo pour un oui ou pour un non... des qu'il y a un truc a installer ou un pilote a mettre à jour, il faut etre là. Pour mi c'est impossible. LE controle d'applications le permets mais là aussi ce n'est pas simple.

En fait la pire des failles se trouve entre l'écran et la chaise...

[Azazel]

Très sympa le lien! A voir si ca marche aussi en 2008 par contre, tout le monde n'est pas encore en 2012 chez mes clients ^^

Par contre je me pose la meme question que les autres.. est-ce éfficace? le ransomware ne creer pas directement des fichiers, il les modifie. Il faudrait tester.
Quand à la strategie de restrictions logicielle, j'ai voulu la tester car proposée par FSecure, mais il y avait un souci dont je ne me souvient plus. Trop d'exceptions a gerer je crois... pas simple...

[Pifou]

...... En fait la pire des failles se trouve entre l'écran et la chaise...

C'est pourtant vrai

[JGab]

Voui, on a les deux versions dans ma boîte : je l'ai mis en place sur 2008 (R2) comme sur 2012, et ça fonctionne.

Par contre je me pose la meme question que les autres.. est-ce éfficace? le ransomware ne creer pas directement des fichiers, il les modifie. Il faudrait tester.
Quand à la strategie de restrictions logicielle, j'ai voulu la tester car proposée par FSecure, mais il y avait un souci dont je ne me souvient plus. Trop d'exceptions a gerer je crois... pas simple...

Je pense que s'il les modifie réellement, ça roule : la modification est bloquée à cause de l'extension refusée (on reçoit une erreur de permission). Par contre, s'il les charge, crée un nouveau fichier, puis supprime l'ancien, là... Le fichier crypté ne pourra certes pas être créé, mais l'original disparaîtra probablement. Un point partout, balle au centre.

C'est surtout que les extensions évoluent très vite. aaa, vvv, zzz... Pourquoi pas bbb, ccc, ddd, ... voire aaaa, bbbb, ... ou nabuchodonosor, childeric, rastapopoulos, raminagrobis, caramel-mou ?... On ne peut pas suivre. Je vais tenter de tenir la liste à jour, mais je doute de pouvoir le faire efficacement, et elle aura toujours au moins une guerre de retard.

- Les utilisateurs n'ont que des cessions "d'utilisateur sans pouvoir"

Pour compléter les réponses d'Aza, auxquelles je souscris pleinement, j'ajouterai que nous sommes dans ce cas. C'est pourquoi j'ai pu récupérer les données sans trop de problème (ça m'a seulement pris la moitié de la nuit) : les fichiers modifiés ne l'ont été que dans les dossiers auxquels l'utilisateur avait accès en écriture. Mais nous avons quand-même des dossiers qui nécessitent un accès complet pour tous, et ce ne sont pas les plus petits : donnez un dossier d'échange aux utilisateurs, ils en feront un dossier de travail systématique... Ce sont eux qu'il m'a fallu récupérer.

Pour se connecter à son PC, nos utilisateurs utilisent leurs comptes de domaine. Chacun peut être administrateur de son propre PC (ce qui permet les mises à jour), mais n'a que des droits limités sur les serveurs. Tant pis pour le PC, qui peut effectivement prendre cher : l'essentiel est que les serveurs ne subissent qu'une attaque amoindrie. J'ai d'ailleurs supprimé les droits d'administration des deux informaticiens : mon collègue et moi-même y perdons en souplesse, mais nous y gagnons en réduction des risques.


Quant à Petya... Là, c'est la merde totale. Il bloque complètement la machine, et la crypte partiellement. Aucun moyen de la relancer. Là encore, si c'est un PC... Ma foi, on remplace ou on réinstalle. Ça prend du temps, mais les données importantes ne doivent pas y être stockées. Par contre, si c'est un serveur... J'espère que dans ce cas les droits limités de chacun lui couperaient les ailes.

[Azazel]

Oui les droits étendus sur un serveur c'est dangereux.
Moi je suis admin de domaine avec mon compte, c'est pour cela que j'ai retiré tous lecteurs réseau de ma machine et je ne travaille qu'avec des raccourcis. C'est beaucoup moins pratique, car tu ne peux pas "enregistrer sous..." un lecteur réseau, mais peu importe. Je télécharge en local puis je mets sur le réseau. Au moins en cas d'infection, cela ne sera limité qu'à ma machine.

Tu as désactivé la découverte réseau, mais normalement les virus de ce type ne se répandent qu'aux lecteurs connectés. Enfin 2 précautions valent mieux qu'une...

En ce qui concerne l'écrasement ou non des fichiers d'origine lors de la creation du .locky, cela peut poser problèmes... J'ai connu certaines boites que je ne gère pas qui n'avaient pas de sauvegardes valides. Leur seule solution a été de payer pour decrypter... Si le fichier locky n'est plus la non plus, alors c'est cuit.

Il faudrait que je test tout ça car sur le principe ca me plait bien ^^

[JGab]

J'ai appris ce matin que la boîte qui nous a vendu les serveurs a subi également une attaque, il y a quelques jours (un locky comme nous). C'est un technicien de chez eux qui m'avait indiqué la méthode, et il m'a dit qu'elle avait bien fonctionné et évité l'infection des serveurs.

De toute façon, il faut toujours sauvegarder... De mon côté, j'ai la réplication des VM sur un serveur secondaire (à midi et à minuit), le backup traditionnel sur un NAS (à 22h00), la sauvegarde de ces backups sur des disques externes que je conserve en dehors de l'entreprise (le matin à 9h00)... et une sauvegarde sur mon PC qui copie toutes les heures ouvrées les fichiers utilisateurs créés ou modifiés sur les serveurs, sans jamais supprimer les fichiers disparus. Comme j'ai 2 disques de 1 To en plus de mes disques de travail, je peux me le permettre.

Je peux lire ces deux disques, mais pas y écrire sans passer administrateur du domaine.

Et puis il y a la chance, aussi... Notre attaque à commencé à 14h58. Je ne sais plus quand on s'en est rendu compte, mais j'ai fait trois choses très rapidement : j'ai éteint le serveur le plus impacté, débranché du réseau le PC fautif sitôt que j'ai su lequel c'était, et désactivé sauvegardes et réplication pour éviter qu'elles soient atteintes : le soir, j'ai pu récupérer les données répliquées à midi, ce qui fait que les utilisateurs n'ont perdu qu'une heure de boulot. Quant aux bases de données, elles n'ont pas été attaquées (pas de lien direct, et puis l'utilisateur par qui est passé le cryptovirus n'aurait pas eu les droits nécessaires, de toute façon).

[Azazel]

De toutes façons oui, il faut des sauvegardes fiables.
Mais malgré tout la question se pose vraiment. Comment va-t-il réagir? Si il modifie le fichier mais ne peux l'écrire, que devient l'original? Si il crypte dans un nouveau puis supprime l'ancien (ce dont je doute), il n'y aura pas de nouveaux, mais plus d'anciens.. Bref tout dépend du script utilisé.

Je viens de tester sur des VM le blocage NTFS proposé ici,en plus des filtes que tu as proposé, cela me semble encore plus efficace.
Des qu'une extension est détectée par le biais du FSRM, on vas en plus mettre un DENY sur le partage NTFS et creer un fichier CVS sur C: avec les infos. C'est pas mal et cela permet d'éviter, au cas ou, que les originaux soient effacés.


Je pense que je vais mettre cela en prod
Il y a juste une correction a faire sur son script...

[JGab]

J'étudierai ça également.

Il y a juste une correction a faire sur son script...

?

[Azazel]

Si tu as une version française de serveur je suppose...

La récupération du nom de l'utilisateur, il faut mettre le string n°6 Le 0 reprend tout le texte de la description et ca ne fonctionne pas.

$BadUser = $Event.ReplacementStrings[6]

[JGab]

il faut mettre le string n°6

Je préfère les boxers, et il me faut du 7 ou du 8.

[Pifou]

..... Je préfère les boxers, et il me faut du 7 ou du 8.

Au régime !!!!!

Un petit article sur les problèmes de ransomware dans un hôpital :
http://www.numerama.com/business/172666 ... hange.html

[BOTHROP'S 56]

Mais y parlent de quoi?????....J'y comprend RIEN!!!!

[JGab]

Mais y parlent de quoi?????....

De sous-vêtements masculins.



Le ransomware est une nouveau type de virus informatique, de plus en plus répandu, qui se propage par le biais de pièces jointes dans des mails et qui modifie les fichiers d'un ordinateur pour les rendre illisibles et inutilisables. Certains ne modifient que les fichiers de travail (word, excel, etc.), d'autres empêchent les ordinateurs de fonctionner. Les auteurs de ces merdes demandent ensuite la paiement d'une rançon pour les remettre en état. Il y en a de plus en plus, et de toutes les sortes, ce qui fait qu'il est très difficile de s'en protéger, et impossible de se garantir de toutes les variantes. Nous parlons des possibilités de lutte contre cette plaie.

[Azazel]

Mais y parlent de quoi?????....J'y comprend RIEN!!!!

J'vais te donner un truc.
Quand tu comprends rien, tu dis "c'est pas faux". Comme ça, tu passes pas pour un blaireau.





JGab a tout dit. Saloperie de ransomwares... notre cauchemar actuellement.

[JGab]

Pour en revenir au sujet de départ, la nouvelle est tombée hier après-midi : Daisy n'est pas économiquement réparable. Je n'ai pas encore les conclusions de l'expert, il m'a laissé un message pour me dire qu'il allait m'envoyer le document par mail. Pour l'instant, je ne l'ai pas encore.

[Pifou]

Maintenant, tournons la page, je t'ai déniché un truc fait pour toi

https://www.leboncoin.fr/motos/399235585.htm?ca=2_s