Ransomware Locky à l'AFP

Discussion dans 'Actualité' créé par Sebulba, 4 Avril 2016.

  1. Online
    Sebulba Dieu
    Equipe GamerZ.be
    Un article intéressant sur la réaction de l'AFP a une attaque ciblée de Ransomware locky

    http://blogs.afp.com/makingof/?post/le-diable-se-cache-dans-la-piece-jointe

    La moralité qu'il faut en tirer est simple : "back to basics" autrement dit la meilleure parade pour ce type d'attaque reste d'être sûr d'avoir des backups à jour.

    Egalement, ce que l'article ne dit pas, c'est qu'il faut ajouter à cela un backup des backups ( pour eviter d'avoir le drive de backup - généralement monté depuis le guest - crypté lui aussi )

    Donc en clair et a une échelle "domestique" ; un backup depuis votre desktop vers votre NAS, et un disque USB branché sur le NAS qui backup tous les jours (ou une fois par semaine) votre backup sur l'USB.
    Se méfier des synchros "cloud" qui vont juste envoyer dans le cloud les fichiers cryptés en quelques minutes...

    En entreprise bien sur on peut aller au dela. Par exemple via le "timebackup" des synology, qui permet de remonter dans le temps (donc avant l'infection).

    Il est important de se méfier des shares drives (surtout que les accès sont souvent à l'emporte pièce dans le cadre familial), et d'avoir conscience qu'un seul host infecté peut crypter tout le shared drive d'une famille (les photos, les lettres, etc).
    Sebulba, 4 Avril 2016
    #1
    YoupiDollarZ aime ça.
  2. Offline
    Demoniak_Angel Le + beau ;-)
    Ah oui, le locky, des clients l'ont eu.

    Belle crasse aussi, et c'est via un faux mail de l'UCM, avec une fausse facture.
    Demoniak_Angel, 4 Avril 2016
    #2
    Sebulba aime ça.
  3. Offline
    DeflaMental [-_-]
    Moi j'en ai reçu au boulot, des mails qui n'allaient même pas dans les spams.

    C'était un word perso mais il était bloqué par word lui-même (blabla contient des macro dangereuses etc...)

    C'est quand même une passoire Windows. Comment c'est possible de faire un script qui arrive à faire tout ça, sans avoir besoin une seule fois de l'accord de l'utilisateur. il devrait y avoir des gardes fou, du genre "voulez-vous supprimer tous vos fichiers..."


    Je suis pas naïf, je me doute que le code derrière est très bien ficelé et doit certainement exploité toutes les failles, mais c'est quand même énorme quand à côté de ça, windows te demande une autorisation à chaque fois que tu veux démarrer un bête programme en mode admin.
    DeflaMental, 4 Avril 2016
    #3
  4. Offline
    Jereck Procrastinateur
    Equipe GamerZ.be
    Tiens, petite question par rapport à ces malwares.

    Comment ça fonctionne par rapport aux Shadow Copies ?

    Imaginons que j'active les Shadow Copies sur mon serveur de stockage. Lorsque le ransomware va s'exécuter, il va juste modifier les fichiers "live" je suppose ?
    Une fois que l'attaque est stoppée et le malware supprimé, y a-t-il quelque chose qui empêche d'aller récupérer les versions non encryptées dans l'historique des fichiers ?
    Jereck, 28 Avril 2016
    #4
  5. Online
    Sebulba Dieu
    Equipe GamerZ.be
    Non rien,
    Sebulba, 28 Avril 2016
    #5
  6. Offline
    tqz_ Elite
    le dernier reçu sur gmail, pièce jointe qui ressemble à un pdf (il y a même un aperçu d'un faux document) mais en fait c'est un .exe :)
    tqz_, 28 Avril 2016
    #6
  7. Offline
    Jereck Procrastinateur
    Equipe GamerZ.be
    C'est rassurant.
    Jereck, 29 Avril 2016
    #7