Re: [FRnOG] [ALERT] Cryptolock

2016-03-09 Par sujet Alexis Lameire 
non, pour les partie politique, il faut aller voir le distributeur mami
zinzin avec sa carte UMP.*

Alexis
* merci feu les gignoles de l'info

Le 9 mars 2016 à 10:24, Carroussel Informatique  a
écrit :

>
> Le 09/03/2016 07:15, David Ponzone a écrit :
>
>> Tiens au fait, ils fournissent une facture les escrocs ? Et ça va où dans
>> la compta ?
>>
> Dans la case "prélèvements de l'exploitant", comme pour le financement de
> parti politiques :p
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

2016-03-09 Par sujet Carroussel Informatique 


Le 09/03/2016 07:15, David Ponzone a écrit :

Tiens au fait, ils fournissent une facture les escrocs ? Et ça va où dans la 
compta ?
Dans la case "prélèvements de l'exploitant", comme pour le financement 
de parti politiques :p



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

2016-03-08 Par sujet David Ponzone 
> Le 9 mars 2016 à 06:18, Michel Py  a 
> écrit :
> 
>> David Ponzone a écrit :
>> Puisqu’on parle de solutions, est-ce qu’il existe des filesystem réseau qui 
>> force le client à entrer un mot de
>> passe quand il veut accéder en écriture à un fichier sur un partage, et qui 
>> n’est valable que pour X minutes ?
> 
> Multics ?

Trop dinosaure pour moi :)

>> Dans le monde réel, l’employé de base (au niveau IT) ne devrait JAMAIS
>> télécharger un exe ou un msi sur son PC pour l’installer lui-même.
> 
> Je suis à peu près d'accord sur cette partie, sauf que j'ai déjà une 
> exception : mon masque de clavier QWERTY avec les accents, c'est un .exe. 
> Pourquoi ? parce que j'avais pas envie de ré-inventer la roue et que le 
> générateur produit un .exe. C'est facile à dire, pas forcément à faire.
> 

C’est quand même marginal comme cas non ?
Si tu avais ce besoin justifié dans une boite et que tu étais un employé 
lambda, tu pourrais attendre 1 ou 2 semaines que l’IT s’en occupe.

> 
>> De même, l’employé de base ne devrait jamais utiliser le mail pour échanger 
>> des zip, ou autre.
> 
> Ca dans mon monde c'est carrément impossible, les utilisateurs faisant çà 
> toute la journée. Dans une banque ou un hopital quand la majorité de tes 
> employés sont des droides (pour ce qui est d'utiliser l'informatique) c'est 
> possible (d'ailleurs ils n'ont probablement pas de client mail) mais dès que 
> tu commence à avoir des utilisateurs un peu au dessus du niveau "script 
> monkey", c'est pas possible de bloquer zip.

Attention, j’ai dit « par mail » .
Ils peuvent toujours utiliser un système de partage de fichiers type Dropbox, 
Google Drive, ou Nomadesk.

> C'est malheureusement vrai. Ceci étant dit, le dirigeant qui est assez con 
> pour payer alors qu'il a une sauvegarde pour se retrouver dans la même 
> situation un peu plus tard mérite de se faire virer. Payer la rançon quand on 
> n'a pas de sauvegarde viable, c'est comme "l'apprentissage par le 
> kilométrage" : en général une fois suffit pour comprendre. Payer la rançon 
> pour faire des économies, c'est impardonnable. La perte de productivité elle 
> va devenir pire si on n'éradique pas le problème. Vous avez 3 heures, rangez 
> votre bureau.

Tiens au fait, ils fournissent une facture les escrocs ? Et ça va où dans la 
compta ? :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

2016-03-08 Par sujet lilian coupat 




> Le 8 mars 2016 à 15:59, Barthélémy DELUY  a écrit :
> 
> Je penche plutôt pour l'autre option .
> 
> Un hacker n'a RIEN à gagner à faire grimper les enchères une fois que le
> système est infecté. S'il fait ça, il perd en crédibilité, donc plus aucun
> client ne paiera. Ils ont au contraire tout à gagner à livre la clé de
> déchiffrement le plus rapidement possible, pour gagner la "confiance" d'un
> maximum de victimes potentielles. Il vaut mieux tirer cent fois 1000$
> qu'une fois 10'000$ parce que les autres se seront résignés à perdre leurs
> données...
> Ce genre de malwares est fait pour infecter beaucoup de machines
> rapidement, donc le pirate doit réclamer une somme que tout américain moyen
> serait capable de payer s'il veut espérer recevoir un maximum de paiements.
> S'il veut toucher une fois une grosse somme, le "pirate" s'attaquera à une
> cible spécifique dont il connaîtra les moyens financiers.
> 
> 



je suis tout à fais d'accord. Pour avoir déjà eu à gérer les relations avec ces 
escrots pour des clients la hotline de certains d’entre nous sont loins d’être 
aussi rapide ;-)
On correspond par mail et les réponses tombes dans les minutes qui suivent. Ils 
ont tout intérêt à ce que leurs business tourne le mieux possible. Pour info en 
regardant le blockchain, le wallet en Bitcoin des ravisseur avait engrangé 75 
bitcoin en une semaine… c’est très lucratif, donc ca va perdurer … 

Un conseil si vous souhaitez payer. Lorsque vous prenez contact avec eux et 
qu’ils vous demande un document comme preuve qu’ils sont bien en capacité de le 
décoder, envoyez une photo de vous en vacance, ça coutera moins chères que si 
vous envoyé une facture ou une pièce ayant un caractère professionnel. Pour du 
perso c’est de l’ordre de 1 bitcoin alors que du pro c’est 4 et plus …

  

Lilian Coupat | Abeille Informatique
5 Avenue du Maréchal Leclerc - 63800 Cournon d'Auvergne
04 73 145 145 | lil...@abeille.com  | 
www.abeille.com 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

2016-03-08 Par sujet David Ponzone 


> Le 7 mars 2016 à 18:28, Michel Py  a 
> écrit :
> 
>> David Ponzone a écrit :
>> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, 
>> exe, bat, cmd, msi, etc….
>> ainsi que le téléchargement de fichiers du même type.
> 
> Efficace mais impossible dans la plupart des organisations. C'est valable 
> pour les geeks, tu renommes toto.zip toto.zip.xxx avant de l'envoyer,
> Impossible à mettre en pratique dans le monde réel.

Dans le monde réel, l’employé de base (au niveau IT) ne devrait JAMAIS 
télécharger un exe ou un msi sur son PC pour l’installer lui-même.
C’est contamination garantie à court terme.
De même, l’employé de base ne devrait jamais utiliser le mail pour échanger des 
zip, ou autre.

Ensuite, sur le plupart des firewall, tu peux mettre des exceptions pour que 
les geeks puissent jouer.
Tu peux aussi interdire les exe, et autres dangers, seulement dans les mails et 
les laisser passer en HTTP mais bon…

Le seul problème, c’est pour que les mises à jour (et autres) de Microsoft se 
passent normalement, il faut autoriser les dll et cab.

Petit bug chez Checkpoint sur la gamme 600: si on interdit les gzip par HTTP, 
on ne peut plus accéder à impots.gouv.fr.
Si quelqu’un sait pourquoi….mais ça ressemble fortement à une boulette.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

2016-03-07 Par sujet Pascal Allochon (pallocho) 
Bonjour,


Oui depuis Janvier il y à une forte augmentation de ce type de
malwareŠpour certains clients c¹est plusieurs dizaines par jourŠ
l¹AV / AS est inefficace pour ce type d¹attaque.

Sans compter les ScamsŠBref (bulletin à lire ci-dessous pour ceux en ayant
le courage et le temps ).

http://blog.talosintel.com/2016/02/tax-scams.html#more

Bon courage,

Cdlt

Pascal 




On 07/03/2016 13:51, "frnog-requ...@frnog.org on behalf of David Ponzone"
 wrote:

>Quelqu¹un a remarqué une forte augmentation des attaques type cryptolock
>par mail depuis environ 10 jours ?
>
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

2016-03-07 Par sujet Vincent 
En effet, il y a même un avis du CERT :

http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/CERTFR-2016-ALE-001.html

Le 07/03/2016 13:54, Romain a écrit :
> Effectivement, oui. Free Mobile, avocats, factures, tout y passe.
>
> Le 7 mars 2016 à 13:51, David Ponzone  a écrit :
>
>> Quelqu’un a remarqué une forte augmentation des attaques type cryptolock
>> par mail depuis environ 10 jours ?
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

2016-03-07 Par sujet Romain 
Effectivement, oui. Free Mobile, avocats, factures, tout y passe.

Le 7 mars 2016 à 13:51, David Ponzone  a écrit :

> Quelqu’un a remarqué une forte augmentation des attaques type cryptolock
> par mail depuis environ 10 jours ?
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Cryptolock

2016-03-07 Par sujet David Ponzone 
Quelqu’un a remarqué une forte augmentation des attaques type cryptolock par 
mail depuis environ 10 jours ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/