Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs de lancer automatiquement un script avec ce type de fichier ?
Le 07/03/2016 15:21, David Ponzone a écrit : > A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail > entrant, avec un zip en pièce jointe, qui contient un script qui récupère un > exe par HTTP. > Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, > exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même > type. > >> Le 7 mars 2016 à 15:12, Louis <luigi.1...@gmail.com> a écrit : >> >> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits >> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de >> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les >> autres attaques la clé privée est commune à tous ou un couple clé privé / >> publique est vraiment générée par PC (comme indiqué dans les messages)? >> >> Je pense que les bonne pratiques pour limiter le risque de se faire >> infecter : >> >> - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux >> à ouvrir au cas par cas sur firewall. Règle sur le proxy : >> - interdire de se connecter via une IP sans utiliser des noms dns >> - paramétrer dns filtrant d'un éditeur de sécu >> - autoriser que http-80 et https-443 (interdire CONNECT sur ports >> autres que 443) >> - désactiver autorun sur tous les PC pour éviter de se faire véroler par >> clé USB >> - filtre antifishing efficace >> - (à compléter) >> >> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel >> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des >> popups). Tous ceux que je connais qui se sont faits infecter avaient un >> antivirus à jour. Un bon virus commence par désactiver l'antivirus. >> >> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit : >> >>> On Mon, Mar 07, 2016 at 01:51:19PM +0100, >>> David Ponzone <david.ponz...@gmail.com> wrote >>> a message of 8 lines which said: >>> >>>> Quelqu’un a remarqué une forte augmentation des attaques type >>>> cryptolock par mail depuis environ 10 jours ? >>> >>> Blague à part, nos impôts paient une agence qui gère un site Web pour >>> cela (prévenir les citoyens) : >>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
