Non, c’est une ruse qui utilise une « fonctionnalité » de Microsoft. La pièce jointe apparait comme PDF alors que c’est un exe ou zip:
https://en.wikipedia.org/wiki/CryptoLocker#Operation > Le 7 mars 2016 à 15:55, Yannick Guerrini <frnog...@micronity.com> a écrit : > > Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs > de lancer automatiquement un script avec ce type de fichier ? > > Le 07/03/2016 15:21, David Ponzone a écrit : >> A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail >> entrant, avec un zip en pièce jointe, qui contient un script qui récupère un >> exe par HTTP. >> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, >> exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du même >> type. >> >>> Le 7 mars 2016 à 15:12, Louis <luigi.1...@gmail.com> a écrit : >>> >>> c'est effectivement assez inquiétant. J'ai des proches qui se sont faits >>> avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de >>> solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les >>> autres attaques la clé privée est commune à tous ou un couple clé privé / >>> publique est vraiment générée par PC (comme indiqué dans les messages)? >>> >>> Je pense que les bonne pratiques pour limiter le risque de se faire >>> infecter : >>> >>> - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux >>> à ouvrir au cas par cas sur firewall. Règle sur le proxy : >>> - interdire de se connecter via une IP sans utiliser des noms dns >>> - paramétrer dns filtrant d'un éditeur de sécu >>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports >>> autres que 443) >>> - désactiver autorun sur tous les PC pour éviter de se faire véroler par >>> clé USB >>> - filtre antifishing efficace >>> - (à compléter) >>> >>> Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel >>> antivirus (qui ne fait en général que ralentir le PC et vous envoyer des >>> popups). Tous ceux que je connais qui se sont faits infecter avaient un >>> antivirus à jour. Un bon virus commence par désactiver l'antivirus. >>> >>> Le 7 mars 2016 à 14:07, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit : >>> >>>> On Mon, Mar 07, 2016 at 01:51:19PM +0100, >>>> David Ponzone <david.ponz...@gmail.com> wrote >>>> a message of 8 lines which said: >>>> >>>>> Quelqu’un a remarqué une forte augmentation des attaques type >>>>> cryptolock par mail depuis environ 10 jours ? >>>> >>>> Blague à part, nos impôts paient une agence qui gère un site Web pour >>>> cela (prévenir les citoyens) : >>>> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
