Page 4 sur 4

Re: ALERTE : Ransomware WanaCrypt0r faille Microsoft (12.05.

MessagePosté: 21 Mai 2017, 10:31
de shl
Vazkor a écrit:Par curiosité j'ai téléchargé Syncback Free et le manuel PDF proposé.

Après installation dans Program Files (x86) ce programme n'occupe que 41,6 Mo, alors que robocopy.exe (version XP07) fourni avec Windows 7 ne pèse que 125 Ko.

Le Manuel SyncBackFreeV7.pdf (467 pages) pèse 10.540 Ko, le fichier d'aide SyncBackFree.chm pèse 4701 Ko, alors qu'une copie robocopy_syntaxe.txt de l'aide de Robocopy avec ses 84 options ne pèse que 9 Ko (<5 Ko, si je ne garde que la syntaxe des quelques options utilisées dans mon fichier RCopyData.cmd de 6 Ko).

Y a pas photo !

(...)

Salut Vazkor,

Pour ce qui est de la taille de la doc, on ne peut pas leur reprocher d'avoir bien documenté leur logiciel. Pour le programme proprement dit, SyncBack offre énormément de possibilités (en vrac et de mémoire : versioning des fichiers, chiffrement, compression des fichiers, synchronisation avec un FTP distant, alerte si la sauvegarde échoue...).

D'ailleurs il ne faut pas se fier au poids de l'installeur, en mémoire il est très léger, ce qui est le plus important. Pour donner une idée, sur mon PC, lancé avec l'interface graphique, il pèse moins que la moyenne des svchost de Windows et à peine plus que ProcessHacker. J'ai testé plusieurs logiciels de sauvegarde avant SyncBack, et il y avait pas mal de bloatwares (plus lourds que Firefox en mémoire alors qu'ils n'avaient quasi aucune fonctionnalité).

Un expert rançais trouve une parade à WannaCry… sous XP

MessagePosté: 21 Mai 2017, 14:23
de bellafago
Bonjour,


Un expert en sécurité français trouve une parade à WannaCry… sous XP:
Adrien Guinet, chercheur en sécurité chez https://www.quarkslab.com a trouvé une parade pour le ransomware WannaCry. Mais qui n’est valable que pour les machines fonctionnant sous Windows XP.


Adrien Guinet propose Wannakey https://github.com/aguinet/wannakey Open Source permettant de retrouver la clé utilisée par WannaCry. Une fois la clé détectée en mémoire, il sera possible d’utiliser Wannafork https://github.com/odzhan/wanafork/ (depuis un autre PC) pour déchiffrer les fichiers.
Notez que cet outil n’a pas été testé intensivement, et qu’il pourrait donc ne pas fonctionner sur certaines machines. De plus, la technique qu’il emploie ne sera pas transposable sur les PC pourvus de Windows 7, 8, 8.1 ou 10.


Source et suite: Silicon.fr https://waa.ai/z4rN


@+

Seulement 3 antivirus protègent de l’exploit Eternal blue.

MessagePosté: 22 Mai 2017, 09:48
de bellafago
Bonjour,



Prompts à clamer qu’ils bloquent WannaCry, les éditeurs d’antivirus oublient de mentionner qu’ils ne détectent pas, à trois exceptions près, l’exploit EternalBlue. Or, c’est celui-ci qui risque d’être réutilisé par de nouvelles menaces.

En testant la capacité des logiciels de protection grand public (avec leurs paramétrages par défaut) à détecter l’exploit EternalBlue, mis à profit par WannaCry pour se diffuser, MRG Effitas: Mrg-effitas.com établit que seuls trois produits stoppent le code de la NSA récupéré par les auteurs du ransomware.


Source et suite: Silicon.fr, et mrg.effitas.com, Eternal blue sur effitas.


@+

Re: ALERTE : Ransomware WanaCrypt0r faille Microsoft (12.05.

MessagePosté: 22 Mai 2017, 12:00
de Vazkor
Salut shl,

Je connais 2BrightSparks, l'éditeur de SyncBack
J'utilise régulièrement leurs OnClickUtilities depuis 2011 (souscription payée 26 €), surtout leur "Search with FindOnClick" ajouté au menu contextuel des dossiers.

Je ne doute pas que leur programme SyncBack soit très utile et très efficace. Je ne l'ai pas encore testé.

À propos du manuel PDF proposé au téléchargement, ce qui m'a tout de suite rebuté, c'est sa taille. À mon âge (bientôt 72 balais) et avec mon état de santé, je n'ai plus trop envie de me prendre la tête avec des choses compliquées ; quand on me propose de lire un Manuel de 467 pages en anglais, ma première réaction est "Courage ... fuyons !".

Ce que j'aime avec Robocopy, c'est la simplicité de mise en œuvre. Pas d'installation puisque l'exécutable est inclus dans les versions de Windows 7 et suivantes.
La syntaxe de Robocopy, obtenue par robocopy /? tapé dans le fenêtre Invite de commandes, est simple, même si elle semble rébarbative si l'on parcourt la syntaxe des 84 options.
Si on se limite à la syntaxe des 14 options réellement utilisées dans mon fichier batch, il n'y a qu'un vingtaine de lignes à lire et comprendre (voir le fichier robocopy_syntaxe_min.txt sur mon Dropcanvas).
Pour quelqu"un qui ne connaît pas les autres commandes utilisées, taper <nom-de-commande> /? dans l'Invite de commandes devrait suffire.
Je ne fais appel à aucun commande compliquée (pas de boucle 'For", etc.)

Mon fichier batch paraît compliqué, parce que j'ai utilisé des variables personnelles et les variables système, pour faciliter la création des "source" et "destination" dans les nombreuses commandes robocopy suivantes.
Les quelques variables personnelles définies au tout début permettent de changer facilement les lettres des partitions ou disques cibles, le nom qu'aura le dossier de la sauvegarde, indiquer si l'on veut voir les dossiers créés dans l'explorateur, voir les rapports créés, etc.

Si j'avais à chaque fois indiqué les chemins complets dans les commandes robocopy et omis toutes les lignes concernant certains tests et les affichages, ce fichier batch se résumerait à une trentaine de commandes pour sauvegarder une vingtaine de dossiers et leurs sous-dossiers.

Pour illustrer la puissance de Robocopy, le script suivant (code à enregistrer sous RC-D_to_J.cmd, par exemple) fait une copie miroir de la partition NTFS D: vers un dossier _D-Backup du disque externe J:, en excluant deux dossiers inutiles ($RECYCLE.BIN et "System Volume Information").

Code: Tout sélectionner
CLS
ROBOCOPY D:\ J:\_D-Backup /MIR /NP /R:1 /W:1  /XD $RECYCLE.BIN "System Volume Information"
EXIT


On ne peut guère faire plus simple pour créer une première sauvegarde complète (forcément lente) et ensuite faire des sauvegardes incrémentielles (ultra-rapides).

Aux dernières nouvelles, le Dropcanvas a été vu et téléchargé une vingtaine de fois.

@+

Re: Un expert rançais trouve une parade à WannaCry… sous XP

MessagePosté: 22 Mai 2017, 12:56
de Vazkor
Bonjour,

bellafago a écrit:Bonjour,


Un expert en sécurité français trouve une parade à WannaCry… sous XP:
Adrien Guinet, chercheur en sécurité chez https://www.quarkslab.com a trouvé une parade pour le ransomware WannaCry. Mais qui n’est valable que pour les machines fonctionnant sous Windows XP.

...

Source et suite: Silicon.fr https://waa.ai/z4rN


@+


Il est amusant de constater que c''est une faille de sécurité de XP, qui permettrait de récupérer ses fichiers chiffrés :
Adrien Guinet, chercheur en sécurité chez Quarkslab, a trouvé une parade pour le ransomware WannaCry. Mais qui n’est valable que pour les machines fonctionnant sous Windows XP.

Après le processus de chiffrement des données par le malware, la clé utilisée pour crypter (sic !) les données reste en effet présente en mémoire sous XP. Ce n’est pas une erreur de la part des pirates, explique l’expert. Ces derniers ont en effet utilisé correctement l’API de cryptographie de Windows, qui efface les clés de la mémoire lorsque CryptReleaseContext est appelé. Mais pas sous Windows XP.

À bien des égards, c’est donc une faille de sécurité de Windows XP qui permet de récupérer la clé de chiffrement utilisée par WannaCry. Et ainsi de disposer du précieux sésame permettant de récupérer ses données.

http://www.silicon.fr/parade-wannacry-xp-175311.html

PS : Encore un spécialiste qui ne sait pas que le verbe "crypter" et le nom "cryptage" ne sont pas français. On chiffre, code ou encode avec une clé que l'on connaît.
On décrypte quand on ne connaît pas la clé ou le code qui a été utilisé pour chiffrer.

@+

Re: ALERTE : Ransomware WanaCrypt0r faille Microsoft (12.05.

MessagePosté: 22 Mai 2017, 13:25
de pierre
Merci Bellafago,

Je remarque que Kaspersky bloque l'injection du backdoor DOUBLEPULSAR. Une suite de sécurité recommandable et recommandée en ces lieux.

Re: ALERTE : Ransomware WanaCrypt0r faille Microsoft (12.05.

MessagePosté: 22 Mai 2017, 14:29
de bellafago
Bonjour Pierre, Vazkor,


Je suis étonné de constater que Trustport, Cyren, Gdata, Avast, et ESTsoft, n' apparaissent pas , alors que Gdata et Trustport sont considérés comme bons..; :roll:


@+

Re: ALERTE : Ransomware WanaCrypt0r faille Microsoft (12.05.

MessagePosté: 22 Mai 2017, 16:29
de pierre
Il n'y a que deux suites de sécurité (que deux antivirus) qui dominent toutes les autres : Kaspersky et Bitdefender.
Il n'y a que deux anti-malwares qui dominent tous les autres : Malwarebytes et Emsisoft Anti-Malware.

Malwarebytes est compatible avec tout.
Emsisoft Anti-Malware est incompatible avec tout (à cause de l'implémentation de Bitdefender telle que livrée à Emsisoft ou à cause du moteur d'Emsisoft lui-même (fonctionnement On-access au lieu d'On-execution ?), toujours est-il qu'Emsisoft est un très bon produit qui se classe dans le peloton de tête des antivirus mais ne tolère aucun autre antivirus simultané, sinon erreur 0xc0000005 à tous les étages (plus rien ne peut être lancé sauf quelques rares trucs internes à Windows ou VLC - même le désinstalleur d'Emsisoft ne démarre plus (seul ou avec Revo Uninstalleur) - ils le savent et livrent un cleaner qu'il faut utiliser avant d'utiliser le désinstalleur)).

Cordialement

Re: ALERTE : Ransomware WanaCrypt0r faille Microsoft (12.05.

MessagePosté: 29 Mai 2017, 01:16
de pierre
bellafago a écrit:Bonjour Pierre,

J'avais remarqué que dans tous les cas de figures Spyhunter était mis en avant et je m' étais fait la remarque que ce groupe " travaillait" avec ce logiciel, mais n' ayant pas plus de précisions j' étais resté sur ma faim.
Le fait que tu ais analysé ce produit et donné ton appréciation me conforte dans ma suspicion. En tous cas merci de ton éclairage pour ceux qui se seraient fourvoyés dans ce traquenard.

@+ Bertrand.



Bonsoir, Bertrand,
Je n'avais pas répondu à cause d'une certaine frilosité avec SpyHunter.
Peu de semaines avant qu'ils n'attaquent violemment en justice Bleepingcomputer, qui est beaucoup plus gros que moi, ils m'ont envoyé leurs avocats.
J'ai eu une réaction un peu épidermique à propos, justement, de leur nébuleuse de sites satellites menteurs.
Je n'ai plus entendu parler d'eux.

SpyHunter, dans la Crapthèque

Je découvre à l'instant le communiqué de presse publié par Lawrence Abrams (le fondateur et propriétaire de Bleepingcomputers), nous donnant la manière dont c'est terminé ce procès.
https://www.bleepingcomputer.com/announ ... s-release/

C'est un gentleman’s agreement où personne ne perd la face, mais l'affaire des sites satellites n'est pas réglée, BC n'étant pas d'accord et Enigma Software Group prétendant que ce sont des affiliés qui mènent leurs campagnes de promotion de SpyHunter comme ils l'entendent, mais que s'il y a quelque chose à redire, ESG ouvre un fil de discussion, chez eux, pour faire ces signalements.

Ce qui interpelle est que jamais on n’a vu une telle myriade de sites satellites, pudiquement qualifiés de sites " affiliés " (une méthode de ventes indirectes sur le Web par des " apporteurs d'affaires " rémunérés) tourner autour du même logiciel avec les mêmes pages publiées au même moment (les "modèles" (templates) manipulés par les générateurs de sites Web permettent sans aucun effort de leur donner un look différent et les générateurs de textes de leur donner des textes en apparence différents ou dont le contenu est structuré/hiérarchisé différemment).

Cordialement

ALERTE : Ransomware WanaCrypt (WanaCrypt0r) (12.05.17)

MessagePosté: 27 Juin 2017, 21:10
de pierre
27 juin 2017 - clôture de l'alerte.