Aloyse57 Posté(e) le 28 mai 2015 Partager Posté(e) le 28 mai 2015 Salut, Pour la deuxième fois un PC de la compagnie s'est fait infecter par CRYPTOWALL. Notre antivirus Business Trend n'a rien vu passer : si je n'étais pas certain que c'était une merde , maintenant j'en suis convaincu. Mon PC est sous NOD32 (oui, je n'ai jamais eu confiance dans Trend, ce n'est pas la première fois qu'il est en défaut) qui a intercepté les fichiers infectés lors d'une copie de fichiers "serveurs" vers mon PC. J'ai trouvé le PC qui crypte les documents "serveurs", il est isolé maintenant, et la restauration des documents est en cours sur le serveur. Le serveur ne supporte pas un antivirus car c'est un vieux W2000 et qu'il soutient notre ERP incompatible avec toute notion de sécurité/accès simultané aux fichiers physiques (date de la fin des années 80). Le problème, c'est que je n'arrive pas à savoir d'où vient cette fichue infection. Rien dans les emails de la personne (pièces jointes bien identifiées et vérifiées) et rien dans le log des sites visités de spécial. Avez-vous une idée, d'où ça pourrait venir ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliewan Posté(e) le 29 mai 2015 Partager Posté(e) le 29 mai 2015 Une page web vérolée ? Comme une page de site de streaming ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arcy Posté(e) le 29 mai 2015 Partager Posté(e) le 29 mai 2015 Si tu as isolé le PC infecté, en recoupant la date de création du fichier avec les sites visités, ça pourrait passer ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliewan Posté(e) le 29 mai 2015 Partager Posté(e) le 29 mai 2015 Oui en regardant avec les logs du proxy peut être... Lien vers le commentaire Partager sur d’autres sites More sharing options...
beankylla Posté(e) le 29 mai 2015 Partager Posté(e) le 29 mai 2015 sinon le classique clef usb? :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Aloyse57 Posté(e) le 29 mai 2015 Auteur Partager Posté(e) le 29 mai 2015 Salut, J'ai recoupé avec les logs et c'est une page infectée : dans le moteur de recherche Google, il est même indiqué que le site est probablement hacké. De plus, dans la courte description du site (jardinage), on voit vi*gra, ci*lis et compagnie Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliewan Posté(e) le 29 mai 2015 Partager Posté(e) le 29 mai 2015 La page hackée, un grand classique Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lyaume Posté(e) le 29 mai 2015 Partager Posté(e) le 29 mai 2015 Petite question bête, mais comment une page hackée peut amener un ransomware sur l'ordinateur? Il faut télécharger quelque chose ou le site le fait pour nous directement? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Skywa Posté(e) le 29 mai 2015 Partager Posté(e) le 29 mai 2015 Pas besoin forcément de télécharger un truc, ça peut utiliser un faille flash ou activex ou autres. Surtout si on utilise un navigateur obsolète ou pas à jour. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jaskier Posté(e) le 18 juin 2015 Partager Posté(e) le 18 juin 2015 En même temps, y'a encore plus simple. Envoyer une facture au format doc, et hop le tour est joué. On a des clients qui se sont fait avoir, et pour celui-ci, ça a été un 0day bien méchant, car reconnu par aucune solution antivirus le jour même. Le lendemain, les solutions pro étaient à jour, dont celle de Trend avec Deep Security. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliewan Posté(e) le 18 juin 2015 Partager Posté(e) le 18 juin 2015 Je ne peux que plussoyer. On en a eu une vague au taf. De fausses factures proforma au format .doc... Quiu étaient des saloperies.... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.