Assiste.Forums

[bellafago]

Bonsoir Pierre, tous,



Ce qui est étonnant c' est qu 'il n'y ait pas eu de mesures plus efficientes de prises plus tôt, tant par les entreprises, sachant que ce groupe avait publié en Aout 2016 une partie de l’arsenal de la National Security Agency , aussi bien que par microsoft.
Quelle perte pour les entreprises.
http://www.lemonde.fr/pixels/article/2017/04/11/the-shadow-brokers-devoilent-de-nouveaux-outils-de-la-nsa_5109618_4408996.html


@+

[pierre]

ALERTE : en faisant une recherche, je viens de trouver des allégations de déchiffrement des fichiers cryptés par WanaCrypt0r.

Il s'agit des sites satellites de SpyHunter poussant ce dernier. Il existe des centaines de sites poussant SpyHunter, dans toutes les langues, écrits originellement en anglais et traduits automatiquement (une horreur à lire).

Le titre de l'article est, très clairement : " Supprimer Wana Decrypt0r ransomware (Décrypter Wana Decrypt0r 2.0) ". Cette page a été archivée.

C'est un faux cherchant à vendre du SpyHunter. A cet instant, il n'y a pas de solution de décryptage des fichiers cryptés avec Wana Decrypt0r. Il s'agit d'un mensonge et, comme il s'agit de faire payer SpyHunter, c'est une escroquerie.


Nota :
Le fonctionnement de WCry, WannaCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r, ... est le suivant :

1. Il crée une copie du fichier
2. Il crypte la copie
3. Il détruit l'original

Il s'attaque à tous les fichiers qui ont les extensions suivantes :

.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw.

N'écrivez rien sur un disque chiffré par un Ransomware. Surtout, ne pas le défragmenter.

Fort de la manière dont l'attaque a eu lieu, vous pouvez tenter, après avoir détruit le cryptoware, de récupérer les fichiers supprimés et non cryptés, dont il reste des traces sur les surfaces magnétiques, avec les outils habituels comme Recuva.
Pas trop d'espoirs tout de même car la création d'une copie d'un fichier (pour le crypter) a de grande chance de se faire en écrasant le contenu des clusters libérés par les destructions précédentes des originaux, une fois le chiffrage de la copie terminée.

Cordialement

[bellafago]

Bonjour Pierre,


j' avauis remarqué que dans tous les cas de figures Spyhunter était mis en avant et je m' étais fait la remarque que ce groupe " travaillait" avec ce logiciel, mais n' ayant pas plus de précisions j' étais resté sur ma faim.
Le fait que tu ais analysé ce produit et donné ton appréciation me conforte dans ma suspicion. En tous cas merci de ton éclairage pour ceux qui se seraient fourvoyés dans ce traquenard.



@+ Bertrand.

[pierre]

Récapitulation des solutions actuelles :

Outre le Windows Update à faire obligatoirement pour TOUS les systèmes Microsoft Windows actuellement maintenus par Microsoft

Un correctif de Microsoft est aussi disponible pour les systèmes obsolètes suivants :

Windows XP SP2 pour processeurs x64 ;
Windows Server 2003 ;
Windows XP SP3 pour XPe ;
Windows XP SP3 ;
Windows Vista ;
Windows Server 2008 ;
WES09 et POSReady 2009 ;

Il peut être téléchargé depuis https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

Agence Nationale de la sécurité des systèmes d'information :
Il n'est pas possible de mettre à jour un serveur en fonctionnement. Il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.
La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.

Si le code malveillant est découvert sur vos systèmes, déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
Alerter le responsable sécurité ou le service informatique au plus tôt.
Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Correctifs Microsoft pour les systèmes qui ne sont normalement plus maintenus :
https://www.catalog.update.microsoft.co ... =KB4012598

Titre	Produit	Classification	Date	Taille
Security Update for Windows 8 (KB4012598)	Windows 8	Security Updates	13.05.2017	872 KB 893501
Security Update for Windows XP SP3 (KB4012598)	Windows XP	Security Updates	13.05.2017	665 KB 681200
Security Update for Windows Vista (KB4012598)	Windows Vista	Security Updates	13.05.2017	1.2 MB 1237796
Security Update for Windows Server 2008 (KB4012598)	Windows Server 2008	Security Updates	13.05.2017	1.2 MB 1237796
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)	Windows Server 2003,Windows Server 2003, Datacenter Edition	Security Updates	13.05.2017	951 KB 974072
Security Update for Windows 8 for x64-based Systems (KB4012598)	Windows 8	Security Updates	13.05.2017	984 KB 1008565
Security Update for Windows XP SP3 for XPe (KB4012598)	Windows XP Embedded	Security Updates	13.05.2017	665 KB 681712
Security Update for Windows Server 2003 (KB4012598)	Windows Server 2003,Windows Server 2003, Datacenter Edition	Security Updates	13.05.2017	682 KB 698616
Security Update for Windows XP SP2 for x64-based Systems (KB4012598)	Windows XP x64 Edition	Security Updates	13.05.2017	951 KB 974072
Security Update for Windows Vista for x64-based Systems (KB4012598)	Windows Vista	Security Updates	12.05.2017	1.3 MB 1384825
Security Update for Windows Server 2008 for Itanium-based Systems (KB4012598)	Windows Server 2008	Security Updates	12.05.2017	1.2 MB 1209596
Security Update for Windows Server 2008 for x64-based Systems (KB4012598)	Windows Server 2008	Security Updates	12.05.2017	1.3 MB 1384825
Security Update for WES09 and POSReady 2009 (KB4012598)	Windows XP Embedded	Security Updates	12.05.2017	665 KB 681712

Bulletin de sécurité Microsoft MS17-010 - Critique - Mise à jour de sécurité pour le serveur SMB Microsoft Windows (4013389)
https://technet.microsoft.com/fr-fr/lib ... y/MS17-010


Mise à jour de Windows Defender pour bloquer l'attaque WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ...
Version initiale le 12.05.2017 - Mise à jour le 15.05.2017
https://www.microsoft.com/security/port ... WannaCrypt
Mettez à jour Windows Defender
Remarque : contrairement au bulletin d'alerte qui débute ce fil de discussion ( viewtopic.php?f=173&t=31988 ), Microsoft affirme, sur cette page, que l''exploit n'affecte pas les ordinateurs Windows 10 (réalité ou intox pour pousser, encore et encore, vers Windows 10).


Customer Guidance for WannaCrypt attacks (Guide utilisateur contre les attaques WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ...)
En anglais, mais avec accès à des versions en français
https://blogs.technet.microsoft.com/msr ... t-attacks/

Dans votre langue :
Windows Server 2003 SP2 x64
http://www.microsoft.com/downloads/deta ... b9c301132e

Windows Server 2003 SP2 x86
http://www.microsoft.com/downloads/deta ... 00dafeddf9

Windows XP SP2 x64
http://www.microsoft.com/downloads/deta ... 5494f9d6aa

Windows XP SP3 x86
http://www.microsoft.com/downloads/deta ... 9df407754f

Windows XP Embedded SP3 x86
http://www.microsoft.com/downloads/deta ... 73316e1add

Windows 8 x86
http://www.microsoft.com/downloads/deta ... 7f24210340

Windows 8 x64
http://www.microsoft.com/downloads/deta ... 7963bae8c0


WannaCrypt - WCry, WannaCry, WanaCrypt0r, Wana Decrypt0r, ... cible les systèmes d'exploitation Microsoft Windows périmés
https://blogs.technet.microsoft.com/mmp ... e-systems/
Je n'aime pas cette page qui, outre la description technique de l'attaque, pousse encore et encore Windows 10 et Office 365 ! (et WIndows Defender, qui est, tout de même, une passoire qui est mis à jour contre Wana machin après l'attaque alors que Malwarebytes Premium bloque cette attaque inconnue de par sa conception même et son intelligence.)


Comment je me fais avoir
Lire et relire et apprendre par cœur : Comment je me fais avoir
Voir, spécifiquement, le point 18


Il n'y a pas d'outil de déchiffrement (décryptage) des fichiers chiffré
Ne vous faites pas avoir avec des milliers de ventes de solutions de déchiffrement qui fleurissent sur le Web, dont les escroqueries financières avec les centaines de sites qui poussent la vente de SpyHunter.
Il n'y a pas de solution de déchiffrement à ce jour, aucune, chez personne.

[piratebab]

Il est important de préciser que le correctif de microsoft ne concerne que la partie de l'attaque via le protocole SMB (donc sans intervention de l'utilisateur).
L'infection par ouverture d'une piéce jointe n'est pas concernée.

[bellafago]

Bonjour Piratebab, bonjour tous,


Question du néophyte de service, n' y aurait t' il pas moyen de faire que les pièces soient éxécutées dans un bac a sable avant analyse,

un « kill switch » est caché dans le code. Il s’agit d’un nom de domaine libre : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ce système est une sécurité imaginée par les développeurs du malware, afin d’éviter les analyses par les systèmes de sécurité basée sur des sandbox.

Et est il nécessaire de faire une mise a jour de SMB pour une machine de particulier ?

Enfin , pour quelles raisons les machines sous Mac, Linux ou Unix ne sont pas sensibles a ces pièces jointes ou a ce ransonware ?

Crypter un volume ou des données est il utile ?

Et en dernier lieu crée des clés de registre qui correspondent et remplacent en amont les clés du ransonware peut il être utile,

N' y a t' il pas moyen d' éviter une élévation de privilèges?



@+ Bertrand.

[pierre]

Un groupe de hackers basé en Corée du Nord à l'origine de la cyberattaque ?

De fortes similitudes ont été observées entre le virus Wannacry, à l'origine de la cyberattaque mondiale survenue le 12 mai, et d'autres logiciels employés par des pirates en lien présumé avec la Corée du Nord. La prudence reste de mise.

Après la vague de cyberattaques survenues le 12 mai dernier grâce à la diffusion du virus WannaCry, plusieurs experts du secteur informatique ont émis l'hypothèse de la potentielle origine nord-coréenne du logiciel.

https://francais.rt.com/international/3 ... berattaque

[pierre]

Attaque des particuliers

Chris Kitze (C. K.) : Ce que nous observons maintenant c’est que le malware obtenu de la CIA, de la NSA et d’autres agences de renseignement, est maintenant utilisé contre des gens ordinaires. Et on constate les dégâts. Il peut aussi être amélioré pour créer une nouvelle génération de logiciels malveillants très rapidement.
Aujourd’hui les ordinateurs des particuliers sont attaqués...

https://francais.rt.com/opinions/38421- ... r-humanite

[pierre]

Poutine s'exprime sur la cyberattaque et pointe du doigt les services de renseignement américains

Au cours d'une conférence de presse à Pékin, le président russe Vladimir Poutine a déclaré que le virus informatique responsable de la cyberattaque mondiale pourrait se retourner à terme contre ses créateurs, y compris les agences de renseignement.

https://francais.rt.com/international/3 ... americains

[pierre]

Nota : sauf erreur de ma part, ce travail de tracking est actuellement mal interprété par les commentateurs qui se trompent et considèrent les hits comme des victimes. Non ! Ce ne sont pas des victimes, mais des hits de machines zombies (dans des Botnets (réseaux de machines zombies)) qui parviennent à des serveurs utilisés en trous noir (pots de miel - honeypots avec absorption de l'attaque afin de l'étudier - ce genre de honeypots est appelé sinkhole). Le nombre de victimes est beaucoup plus élevé.