Ransomware Locky à l'AFP

Sebulba

Dieu
Staff
Un article intéressant sur la réaction de l'AFP a une attaque ciblée de Ransomware locky

http://blogs.afp.com/makingof/?post/le-diable-se-cache-dans-la-piece-jointe

La moralité qu'il faut en tirer est simple : "back to basics" autrement dit la meilleure parade pour ce type d'attaque reste d'être sûr d'avoir des backups à jour.

Egalement, ce que l'article ne dit pas, c'est qu'il faut ajouter à cela un backup des backups ( pour eviter d'avoir le drive de backup - généralement monté depuis le guest - crypté lui aussi )

Donc en clair et a une échelle "domestique" ; un backup depuis votre desktop vers votre NAS, et un disque USB branché sur le NAS qui backup tous les jours (ou une fois par semaine) votre backup sur l'USB.
Se méfier des synchros "cloud" qui vont juste envoyer dans le cloud les fichiers cryptés en quelques minutes...

En entreprise bien sur on peut aller au dela. Par exemple via le "timebackup" des synology, qui permet de remonter dans le temps (donc avant l'infection).

Il est important de se méfier des shares drives (surtout que les accès sont souvent à l'emporte pièce dans le cadre familial), et d'avoir conscience qu'un seul host infecté peut crypter tout le shared drive d'une famille (les photos, les lettres, etc).
 

Demoniak_Angel

Le + beau ;-)
Ah oui, le locky, des clients l'ont eu.

Belle crasse aussi, et c'est via un faux mail de l'UCM, avec une fausse facture.
 
Moi j'en ai reçu au boulot, des mails qui n'allaient même pas dans les spams.

C'était un word perso mais il était bloqué par word lui-même (blabla contient des macro dangereuses etc...)

C'est quand même une passoire Windows. Comment c'est possible de faire un script qui arrive à faire tout ça, sans avoir besoin une seule fois de l'accord de l'utilisateur. il devrait y avoir des gardes fou, du genre "voulez-vous supprimer tous vos fichiers..."


Je suis pas naïf, je me doute que le code derrière est très bien ficelé et doit certainement exploité toutes les failles, mais c'est quand même énorme quand à côté de ça, windows te demande une autorisation à chaque fois que tu veux démarrer un bête programme en mode admin.
 

Jereck

Α & Ω
Staff
Tiens, petite question par rapport à ces malwares.

Comment ça fonctionne par rapport aux Shadow Copies ?

Imaginons que j'active les Shadow Copies sur mon serveur de stockage. Lorsque le ransomware va s'exécuter, il va juste modifier les fichiers "live" je suppose ?
Une fois que l'attaque est stoppée et le malware supprimé, y a-t-il quelque chose qui empêche d'aller récupérer les versions non encryptées dans l'historique des fichiers ?
 
1er
OP
Sebulba

Sebulba

Dieu
Staff
Non rien,
 

tqz_

Elite
le dernier reçu sur gmail, pièce jointe qui ressemble à un pdf (il y a même un aperçu d'un faux document) mais en fait c'est un .exe :)
 
Haut