Jump to content

Courrier recommandé car nouveau virus dangereux en France


altazon

Recommended Posts

Bonjour à tous les INpactiens !

 

Je travaille dans une PME où on a un serveur et 25 postes. 

 

La société qui s'occupe de notre parc vient de nous envoyer un courrier recommandé nous disant qu'un nouveau virus type "Cryptolocker" est en train de parasiter les réseaux, à l'échelle nationale.

 

Il nous dit qu'il faut acheter un nouvel antivirus plus performant que le notre, et que ca a un surcout de 4000 Euros sur 3 ans.

 

Qu'en penser ? Au téléphone ils sont très alarmés, et nous disent avoir très peur et ne pas avoir de solution.

 

Ca vous parle ? Vous feriez quoi ?

 

Merci beaucoup !

Link to comment
Share on other sites

Ils doivent sûrement parler de Locky, depuis le temps la plupart des antivirus sont à jour et le bloque.
Après vu que ça se lance avec une PJ vérolé dans un email douteux il faut surtout faire de la prévention et de la pédagogie auprès des utilisateurs.

Link to comment
Share on other sites

Même si l'antivirus le détectera vite il n'est pas exclus que dès l'ouverture il aie le temps de faire des saloperies. Donc ça n'exclut pas de faire des bonnes sauvegardes.

 

Concernant l'antivirus, soit il est vraiment pourri (ce qui est un comble si vous payez déjà, mais ça serait pas une première), soit c'est à la limite de la pratique malhonnête de chercher à se donner du taf pour un virus qui est maintenant bien connu.

Link to comment
Share on other sites

On a eu la visite de ces trucs par mail. On se rend compte que F-Secure ne détecte pas toutes les variantes. Former les utilisateurs et bloquer au niveau des serveurs est encore la meilleure des choses.

 

Mais oui je suis curieux de savoir quel antivirus vous avez...

Link to comment
Share on other sites

Bonjour, Aucun antivirus ne bloque totalement Locky, donc si tu as déja un antivirus payant et que tu en ai satisfait pas la peine de changer.

La seule solution logiciel qui peut t'aider c'est un anti-spam (style Mail-In-Black) en amont, pour bloquer le mail-virus, et si le parc informatique est infecté, une solution de sauvegarde externalisé, en aval.

La solution humaine maintenant, c'est de former les utilisateurs à faire attention au pièces jointe .ZIP

 

 

Link to comment
Share on other sites

Il a fallu 1 an a TrendMicro (Kit business complet hosted blablabla payant) pour traiter le cas des Ransomwares. Dans ma boîte, on a eu le temps de se faire infecter 2x, sans aucune alerte, détection, etc...Rien.

Peu de pertes (à part du temps), en raison d'un système de sauvegarde poussé.

On a relevé le niveau de filtration des pièces jointes aussi, au grand dam des utilisateurs.

Link to comment
Share on other sites

Contre ce genre de chose le mieux est la formation des utilisateurs, les antivirus bloquent parfois les attaques mais pas toutes. Essayer de solutionner le problème juste avec l'antivirus ne sera pas efficace : c'est un complément pas plus. En plus ces systèmes ont tendance à causer des faux positifs et bloquer des fichiers légitimes.

 

Il faut aussi supprimer totalement Flash Player et la possibilité d'utiliser Java dans le navigateur (web-start et surtout les applet).

Si du code métier requiert absolument ces technos les isoler dans une VM avec un accès ultra minimal au réseau.

 

Et bien sur des sauvegardes fréquentes et avec un historique qui remonte assez loin histoire de ne pas ce retrouver avec les sauvegardes déjà chiffrés par le malware. Bien sur l'historique de sauvegarde doit impérativement être non modifiable par l'utilisateur / le malware.

 

Aussi aucun système n'est épargné : Windows, Mac OS X, Linux (plutôt les sites webs), téléphones portables. Il ne faut pas oublier que pour chiffrer les données ont a besoin juste d'accéder aux données utilisateurs et pour cela pas besoin d'utiliser de faille pour devenir root par exemple.

 

PS : chez nous cela à fait quelques dégâts, pour l'instant très contenus car la sauvegarde à été restaurée, mais des dégâts quand même.

Link to comment
Share on other sites

Bonjour,

Je ne comprends pas : toute bonne société doit filtrer/supprimer les pièces jointes dans les emails et utiliser son propre système de partage de fichiers.

Le lien vers Korben est très intéressant et les commentaires cités aussi.

 

Pour éviter les fichiers office piégés; j'ai bloqué sur l'antispam (clearos) les fichiers office avec macro, et ça a l'air de bien jouer.

Que restent-il comme types de fichiers qui pourraient être infectés ?

Link to comment
Share on other sites

Que restent-il comme types de fichiers qui pourraient être infectés ?

Difficile d'être exhaustif.

 

Si on est totalement parano on peut dire que tout fichier peut potentiellement causer des buffer overflow dans un logiciel précis et introduire des virus mais dans ce cas cela pourrait même être dans le corps du mail ou les entêtes :transpi: .

 

Les PDF ce sont déjà montrés par le passé très dangereux mais c'est pas vraiment envisageable de les bannir. Par contre il faut bien mettre à jour le lecteur PDF ! Et rester prudent mais bon un problème d'interface chaise-clavier est si vite arrivé ...

 

On peu bannir tout ce qui est .js, .vbs certains malwares les utilisent ainsi que les .swf (flash) .jar (Java).

Et bien sur tout ce qui est exécutables (.exe, .com, .pif, .bat ...)

Après c'est pareil .exe et .jar par exemple c'est génant pour ceux qui transmettent des programmes.

 

Une petite liste par forcément complète à 100% mais déjà bien : http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/

 

Aussi lire toutes les archives pour voir si il à des fichiers mauvais dedans mais aussi les liens donnés dans les mails ... c'est sans fin :transpi:

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...