Bonjour. Je le connais très très bien et je peux vous dire que même certains Antivirus passent des fois au travers. La dernière blague c'est une détection par Trend mais avec un beau nettoyage impossible à la clef...
La seule parade efficace c'est d'interdire l'exécution des .exe ou des .docx.exe et autre cochonnerie dans les %tmp% ( car maintenant il se place dans le local AppData de l'user.)...Et donc d'interdire pratiquement toutes les maj et installation logiciel...Pour ce faire le logiciel Cryptoprevent fait très bien le job (malwarebyte à sorti un truc équivalant en beta) sinon règles d'accès dans une gpo. Au niveau réseau c'est pratiquement impossible, adresse de telechargement changeante en plus de ça c'est tjs par une action utilisateur croyant ouvrir un Word et exécutant un JS dans une macro alors dans ce cas là la détection est pratiquement impossible. Eset avait essayé il se sont retrouvé avec pleins de faux positif. il n'y a qu'un Parfeu avec inspection Antivirus des emails, un sophos est suffisant chez certains clients il me le bloque bien. Et puis quand le mal est fait. Il ne reste plus que les sauvegardes! Le 7 mars 2016 15:21, "David Ponzone" <david.ponz...@gmail.com> a écrit : > A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail > entrant, avec un zip en pièce jointe, qui contient un script qui récupère > un exe par HTTP. > Pour ma part, j’ai commencé par interdire les pièces jointes contenant > zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement de fichiers du > même type. > > > Le 7 mars 2016 à 15:12, Louis <luigi.1...@gmail.com> a écrit : > > > > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits > > avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de > > solution de déchiffrement à jour. Est-ce que vous pensez que comme pour > les > > autres attaques la clé privée est commune à tous ou un couple clé privé / > > publique est vraiment générée par PC (comme indiqué dans les messages)? > > > > Je pense que les bonne pratiques pour limiter le risque de se faire > > infecter : > > > > - pas d'échange en direct sans proxy filtrant - sauf dérogation de flux > > à ouvrir au cas par cas sur firewall. Règle sur le proxy : > > - interdire de se connecter via une IP sans utiliser des noms dns > > - paramétrer dns filtrant d'un éditeur de sécu > > - autoriser que http-80 et https-443 (interdire CONNECT sur ports > > autres que 443) > > - désactiver autorun sur tous les PC pour éviter de se faire véroler > par > > clé USB > > - filtre antifishing efficace > > - (à compléter) > > > > Ces bonnes pratiques sont à mon avis plus efficaces que n'importe quel > > antivirus (qui ne fait en général que ralentir le PC et vous envoyer des > > popups). Tous ceux que je connais qui se sont faits infecter avaient un > > antivirus à jour. Un bon virus commence par désactiver l'antivirus. > > > > Le 7 mars 2016 à 14:07, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit > : > > > >> On Mon, Mar 07, 2016 at 01:51:19PM +0100, > >> David Ponzone <david.ponz...@gmail.com> wrote > >> a message of 8 lines which said: > >> > >>> Quelqu’un a remarqué une forte augmentation des attaques type > >>> cryptolock par mail depuis environ 10 jours ? > >> > >> Blague à part, nos impôts paient une agence qui gère un site Web pour > >> cela (prévenir les citoyens) : > >> http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
