Re: [FRnOG] [ALERT] Cryptolock

En effet, il y a même un avis du CERT : http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/CERTFR-2016-ALE-001.html Le 07/03/2016 13:54, Romain a écrit : > Effectivement, oui. Free Mobile, avocats, factures, tout y passe. > > Le 7 mars 2016 à 13:51, David Ponzone a

[FRnOG] Re: [ALERT] Cryptolock

On Mon, Mar 07, 2016 at 01:51:19PM +0100, David Ponzone wrote a message of 8 lines which said: > Quelqu’un a remarqué une forte augmentation des attaques type > cryptolock par mail depuis environ 10 jours ? Oui. Grâce à ses boites noires, Bernard voit tout :

[FRnOG] [ALERT] Cryptolock

Quelqu’un a remarqué une forte augmentation des attaques type cryptolock par mail depuis environ 10 jours ? --- Liste de diffusion du FRnOG http://www.frnog.org/

Re: [FRnOG] [ALERT] Cryptolock

Effectivement, oui. Free Mobile, avocats, factures, tout y passe. Le 7 mars 2016 à 13:51, David Ponzone a écrit : > Quelqu’un a remarqué une forte augmentation des attaques type cryptolock > par mail depuis environ 10 jours ? > > > > --- > Liste

Re: [FRnOG] Re: [ALERT] Cryptolock

c'est effectivement assez inquiétant. J'ai des proches qui se sont faits avoir. Les fichiers sont chiffrés et prennent l'extension mp3. Pas de solution de déchiffrement à jour. Est-ce que vous pensez que comme pour les autres attaques la clé privée est commune à tous ou un couple clé privé /

Re: [FRnOG] Re: [ALERT] Cryptolock

A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail entrant, avec un zip en pièce jointe, qui contient un script qui récupère un exe par HTTP. Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, exe, bat, cmd, msi, etc…. ainsi que le téléchargement

Re: [FRnOG] Re: [ALERT] Cryptolock

Non, c’est une ruse qui utilise une « fonctionnalité » de Microsoft. La pièce jointe apparait comme PDF alors que c’est un exe ou zip: https://en.wikipedia.org/wiki/CryptoLocker#Operation > Le 7 mars 2016 à 15:55, Yannick Guerrini a écrit : > > Il me semble avoir

Re: [FRnOG] Re: [ALERT] Cryptolock

Déjà rencontré le problème il y 15 jours, chez une de mes connaissances, tous ces répertoires ont été cryptés sauf par chance ceux qui commençais pas _ underscore et c'était les plus important ! Le 7 mars 2016 à 16:08, Patrick Rauld a écrit : > Déjà rencontré le

Re: [FRnOG] Re: [ALERT] Cryptolock

uTorrent aussi est devenu une saloperie. Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent. > Le 7 mars 2016 à 16:22, Etienne CorpG a écrit : > > Bonjour, > > Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du > client

Re: [FRnOG] Re: [ALERT] Cryptolock

Non, non, et c'est bien ça qui m'a interpellé : un véritable fichier pdf en pièce jointe, pas un exécutable .pdf.exe dont on aurait modifié l’icône pour le faire passer pour du pdf, comme c'est le cas d'habitude. Et bien entendu, tout est déjà parti à la poubelle... D'où ma question : est-ce que

Re: [FRnOG] Re: [ALERT] Cryptolock

Bonjour, Dans le même sujet, un ransomware a aussi été vu dans la version 2.90 du client Transmission vendredi dernier: http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/ Ca impacte les utilisateurs MacOS X.

[FRnOG] Re: [ALERT] Cryptolock

le proxy filtrant ne va pas empêcher la contamination mais a la possibilité de filtrer les échanges du virus avec l'extérieur et d'empêcher le fishing. Le filtrage dns, c'est qu'une possibilité. Il y a les websense et consorts. Quant aux antivirus, on se demande bien à quoi ils servent. Il y a

Re: [FRnOG] Re: [ALERT] Cryptolock

[troll] la solution : utiliser des applications en mode SaaS sur un PC linux [/troll] Troll à part, je pense que ça fait partie des solutions. Le 7 mars 2016 à 16:27, David Ponzone a écrit : > uTorrent aussi est devenu une saloperie. > Raison pour laquelle pas mal

Re: [FRnOG] Re: [ALERT] Cryptolock

mais pas que µtorrent ! http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/ ++ Guillaume Le 07/03/2016 16:27, David Ponzone a écrit : uTorrent aussi est devenu une saloperie. Raison pour laquelle pas mal

Re: [FRnOG] Re: [ALERT] Cryptolock

évidemment faire aussi des sauvegardes et mettre ses archives en read-only (sans droits pour les remettre en read-write) Le 7 mars 2016 à 15:12, Louis a écrit : > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits > avoir. Les fichiers sont chiffrés

Re: [FRnOG] Re: [ALERT] Cryptolock

Bonjour. Je le connais très très bien et je peux vous dire que même certains Antivirus passent des fois au travers. La dernière blague c'est une détection par Trend mais avec un beau nettoyage impossible à la clef... La seule parade efficace c'est d'interdire l'exécution des .exe ou des

[FRnOG] Re: [ALERT] Cryptolock

On Mon, Mar 07, 2016 at 03:12:46PM +0100, Louis wrote a message of 58 lines which said: > Est-ce que vous pensez que comme pour les autres attaques la clé > privée est commune à tous ou un couple clé privé / publique est > vraiment générée par PC (comme indiqué dans les

Re: [FRnOG] Re: [ALERT] Cryptolock

le fameuse réponse du "work as design". Dernièrement, j'ai eu un "- c'est pas conforme à la RFC - oui mais c'est work as design. Je demande une demande de nouvelle fonctionnalité pour changer ça" Le 7 mars 2016 à 16:03, David Ponzone a écrit : > Non, c’est une ruse qui

Re: [FRnOG] Re: [ALERT] Cryptolock

Complément : Une politique de backup avec une rotation. Il ne faut pas que l'espace de stockage soit accessible pour éviter de voir les données se faire crypter. Stéphane Le 07/03/2016 15:12, Louis a écrit : c'est effectivement assez inquiétant. J'ai des proches qui se sont faits avoir. Les

Re: [FRnOG] Re: [ALERT] Cryptolock

Il me semble avoir également vu passer du pdf. C'est possible d'ailleurs de lancer automatiquement un script avec ce type de fichier ? Le 07/03/2016 15:21, David Ponzone a écrit : > A priori, le vecteur d’attaque est toujours, jusqu’à nouvel ordre, un mail > entrant, avec un zip en pièce jointe,

Re: [FRnOG] Re: [ALERT] Cryptolock

fail [] ++ Guillaume Le 07/03/2016 16:27, David Ponzone a écrit : uTorrent aussi est devenu une saloperie. Raison pour laquelle pas mal d’utilisateurs Mac basculent sur qBittorrent. Le 7 mars 2016 à 16:22, Etienne CorpG a écrit : Bonjour, Dans le même sujet, un

[FRnOG] Re: [ALERT] Cryptolock

On Mon, Mar 07, 2016 at 01:51:19PM +0100, David Ponzone wrote a message of 8 lines which said: > Quelqu’un a remarqué une forte augmentation des attaques type > cryptolock par mail depuis environ 10 jours ? Blague à part, nos impôts paient une agence qui gère un site

Re: [FRnOG] Re: [ALERT] Cryptolock

et encore quand le virus ne désactive l'antivirus. Le 7 mars 2016 à 16:59, David Ponzone a écrit : > Ils protègent des maladies connues et identifiées :) > > > Le 7 mars 2016 à 16:55, Xavier Beaudouin a écrit : > > > > Hello, > > > >> Quant aux antivirus,

Re: [FRnOG] Re: [ALERT] Cryptolock

Bonjour ! Pour revenir sur le sujet de l'antivirus qui ne détecte pas les nouveau virus tout juste sorti : Sur mon serveur de mail, j'ai récemment interfacé MIMEdefang avec un script d'analyse de macro sur document Office (http://www.decalage.info/python/olevba). Pour l'instant, je ne

Re: [FRnOG] Re: [ALERT] Cryptolock

Oh, le grand chaman qui sait tout et qui est sûr de lui alors qu'il doit probablement pas y connaître grand chose. Il y avait longtemps. Un AV (bon après ça dépend lequel) c'est pas juste une base de signature. Ca permet d'interdire l'exécution de fichiers en fonction de leur

Re: [FRnOG] Re: [ALERT] Cryptolock

Hi Tous. Ceci date un poil..mais la comprehension des Ransomware est identique et ce que nous voyons ces derniers temps est presque aussi identique à ce qu¹il y a sur le lien ci-dessous (un autre en plus de mon email precedent).

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

Le meilleur outil sur le sujet est http://www.webpagetest.org qui te permet de faire tes tests depuis plusieurs points dans le monde avec des profils bande passante/latence spécifiques, faire un filmstrip, tester des scenarios de panne partielle, etc... En outil à installer en local, les

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

On 03/07/2016 07:40 PM, Michel Py wrote: > Bonjour à tous, > > Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de chargement > d'une page web ? Firefox a un analyseur built-in. Ctrl-Maj-I, onglet Network, recharger la page et il affiche le graphe des chargements de ressources.

[FRnOG] [TECH] Logiciel d'analyse de chargement de page web

Bonjour à tous, Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de chargement d'une page web ? > L'Internet est lent ! Plein de bande passante, et c'est seulement certaines pages qui sont lentes. Je cherche un logiciel qui permettrait d'identifier quels sont les éléments de la

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

Firebug plugin sur firefox fait ça. Généralement tu trouvera un image en HD sur un serveur merdique qui bloque le chargement du reste de la page. Le 7 mars 2016 19:43, "Michel Py" a écrit : > Bonjour à tous, > > Est-ce que quelqu'un pourrait recommander un

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

Le 07/03/2016 19:40, Michel Py a écrit : > Plein de bande passante, et c'est seulement certaines pages qui sont lentes. > Je cherche un logiciel qui permettrait d'identifier quels sont les éléments > de la page en question qui ralentissent le chargement, combien de requêtes > sont envoyées,

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

Le 07/03/16 19:40, Michel Py a écrit : Bonjour à tous, Est-ce que quelqu'un pourrait recommander un logiciel d'analyse de chargement d'une page web ? tu as l'onglet "network" dans le debugger intégré de firefox qui fait ca --- Liste de diffusion du FRnOG

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

Neoload de Neotys. (Payant) Avec les agents côté serveur pour corréler les metrics avec la charge. > Le 7 mars 2016 à 20:33, Raphael Jacquot a écrit : > > > > Le 07/03/16 19:40, Michel Py a écrit : >> Bonjour à tous, >> >> Est-ce que quelqu'un pourrait recommander un

Re: [FRnOG] Re: [ALERT] Cryptolock

http://www.lemagit.fr/actualites/4500278093/Locky-des-alertes-lancees-trop-tard-en-France Sinon, quand on a 50k$ à claquer, FireEye semble réussir à contrer les Cryptolocker. J’ai bien dit « semble » :) > Le 7 mars 2016 à 19:12, Pascal Allochon (pallocho) a > écrit : > >

Re: [FRnOG] Re: [ALERT] Cryptolock

On Mon, Mar 7, 2016, at 18:28, Michel Py wrote: > > Louis a écrit : > > Règle sur le proxy : - interdire de se connecter via une IP sans utiliser > > des noms dns > > - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres > > que 443) > > Impossible à mettre en pratique dans

Re: [FRnOG] Re: [ALERT] Cryptolock

On Mon, 2016-03-07 at 21:54 +0100, Radu-Adrian Feurdean wrote: > > > Règle sur le proxy : - interdire de se connecter via une IP sans > utiliser des noms dns > > > - autoriser que http-80 et https-443 (interdire CONNECT sur ports > autres que 443) > > > > Impossible à mettre en pratique dans le

Re: [FRnOG] Re: [ALERT] Cryptolock

On lundi 7 mars 2016 18:04:24 CET Sylvain Vallerot - sylv...@gixe.net wrote: > Bonsoir, > > On 07/03/2016 17:43, frnog.kap...@antichef.net wrote: > > L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque > > personne ne fait de sauvegarde. Plus les gens feront des sauvegardes

Re: [FRnOG] Re: [ALERT] Cryptolock

Hello, > Quant aux antivirus, on se demande bien à quoi ils servent. Il y a > tellement de variantes des malware. Il faut que je retrouve l'article du > Gartner qui préconisait d’abandonner les antivirus. Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature que *après* qu'un

Re: [FRnOG] Re: [ALERT] Cryptolock

Hello, comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas trouvé de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous les jours. *J'ai eu des retours de personnes qui auraient déchiffré leur fichiers avec ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer.

RE: [FRnOG] Re: [ALERT] Cryptolock

> David Ponzone a écrit : > Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, > exe, bat, cmd, msi, etc…. > ainsi que le téléchargement de fichiers du même type. Efficace mais impossible dans la plupart des organisations. C'est valable pour les geeks, tu renommes

Re: [FRnOG] Re: [ALERT] Cryptolock

https://www.gartner.com/doc/339858/signaturebased-virus-detection-desktop-dying http://blogs.gartner.com/neil_macdonald/2010/12/23/antivirus-is-dead-long-live-antivirus/ Au fait, pour être plus précis, c'est l'antivirus à base de signature qui est visé par le Gartner. Les antivirus de nos jours

Re: [FRnOG] Re: [ALERT] Cryptolock

Pas toutes les versions, certains apparaissent comme un fichier texte basique, après ça dépend de l'OS et de l'association des fichiers également. Le 7 mars 2016 à 16:03, David Ponzone a écrit : > Non, c’est une ruse qui utilise une « fonctionnalité » de Microsoft. >

Re: [FRnOG] Re: [ALERT] Cryptolock

Interdire l'exécution d'applications inconnues dans %AppData% permet déjà d'éliminer beaucoup de variantes. Le 7 mars 2016 à 15:12, Louis a écrit : > c'est effectivement assez inquiétant. J'ai des proches qui se sont faits > avoir. Les fichiers sont chiffrés et prennent

Re: [FRnOG] Re: [ALERT] Cryptolock

-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 Bonsoir, On 07/03/2016 17:43, frnog.kap...@antichef.net wrote: > L'éfficacité de l'extorsion par rançongiciel exploite le fait que presque > personne ne fait de sauvegarde. Plus les gens feront des sauvegardes et moins > cette attaque sera

Re: [FRnOG] Re: [ALERT] Cryptolock

Bonjour à tous, Avez vous essayé de décrypté les fichiers ?? Comme beaucoup d'entre vous, mon entourage professionnel et personnel a été touché. https://github.com/Googulator/TeslaCrack#install-python Le 7 mars 2016 à 16:48, Guillaume GARNIER a écrit : > fail [] >

Re: [FRnOG] Re: [ALERT] Cryptolock

Ils protègent des maladies connues et identifiées :) > Le 7 mars 2016 à 16:55, Xavier Beaudouin a écrit : > > Hello, > >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a >> tellement de variantes des malware. Il faut que je retrouve l'article du >> Gartner qui

Re: [FRnOG] Re: [ALERT] Cryptolock

J’ai pas retrouvé l’analyse de Gartner mais leur magic quadrant te donne quand même l’impression qu’il faut en installer 5 ou 6 :) http://www.gartner.com/doc/reprints?id=1-2TXNYBS=151211=sbw > Le 7 mars 2016 à 16:38, Louis a écrit : > > le proxy filtrant ne va pas

Re: [FRnOG] [ALERT] Cryptolock

Bonjour, Oui depuis Janvier il y à une forte augmentation de ce type de malwareŠpour certains clients c¹est plusieurs dizaines par jourŠ l¹AV / AS est inefficace pour ce type d¹attaque. Sans compter les ScamsŠBref (bulletin à lire ci-dessous pour ceux en ayant le courage et le temps ).

[FRnOG] [TECH] Cryptolock et sauvegardes

>>> Louis a écrit : >>> Règle sur le proxy : - interdire de se connecter via une IP sans utiliser >>> des noms dns >>> - autoriser que http-80 et https-443 (interdire CONNECT sur ports autres >>> que 443) >> Michel Py a écrit : >> Impossible à mettre en pratique dans le monde réel. >