Bonjour,

Ici on a ratissé large en interdisant les docm (éventuellement dans des ZIP) en pièce jointe avec un mail explicatifs aux gens expliquant que si leur correspondant rencontrait un soucis avec une PJ légitime on pouvait passer par d'autres systèmes (tickets de dl). Ça fonctionne car on n'utilise pas de docm en interne…

Pour le coup des UNC il me semble que j'avais lu (je remets plus la main dessus) des papiers comme quoi il n'y avait plus besoin que les lecteurs soient mappés pour être concernés (un mélange d'historique et de scan réseau je suppose).

À un moment on avait aussi un pastebin.com. IN A 127.0.0.1 sur les NS internes puisque le virus récupérait sa charge sur pastebin…

Mais bon dans tous les cas la difficulté est l'équilibre sécu/désagréments au quotidien.

Cordialement,


Le 26/05/2016 à 15:47, VAILLEAU Olivier a écrit :

Bonjour Bruno,

 

Sur l’ensemble de nos établissements (plusieurs hôpitaux représentants 3000 agents et 2500 postes de travail), nous subissons environ une attaque de crypto par semaine.

A chaque fois, les partages sur le serveur de fichier se font pourrir et nous oscillons entre 5 000 à 200 000 fichiers cryptés en quelques minutes.

La seule parade pour nous est la sauvegarde.

Nous arrivons en général à trouver les fichiers qui ont été cryptés :

-          Soit ils ont une date de modification qui colle à la période d’attaque (par exemple, tous les fichiers modifiés de 8h43 à 8h50)

-          Soit ils ont une extension spécifique,

-          Soit le nom a été modifié.

Pour tous ces fichiers, je supprime sans vergogne, et je lance la restauration en spécifiant « ne pas écraser ». Du coup, je retrouve tous mes fichiers avant cryptage.

 

Le mail reste le vecteur principal de ces infections. Dans de nombreux cas l’antivirus sur les mails ne sert pas à grand-chose car la charge virale n’est pas dans le mail. C’est une pièce jointe qui va lancer un bout de code VBA (ou autre) et aller récupérer le contenu viral sur un pastebin ou autre.

 

Pour s’en protéger :

1/ Sensibliser les utilsiateurs (mais c’est rarement efficace)

2/ restreinte le plus possible les droits d’accès sur les partages

3/ monter le moins de lecteur réseau possible (et tient donc, pourquoi pas passer en chemin unc ? Depuis les « favoris » de Seven, c’est un jeu d’enfant d’aller sur \\server1\share)

 

Pour que l’infection soit moins douloureuse, il faut vraiment avoir des backup et un outil qui permet de restaurer quelques milliers de fichier de façon sélective..

 

ESET aurait réussi à obtenir un Master KEY sur un des crypto, permettant de récupérer les fichiers (comme quoi la suppression n’est pas forcément une bonne pratique)

 

Cordialement,

 

Olivier VAILLEAU

 

 

De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de CORTES Bruno
Envoyé : jeudi 26 mai 2016 15:07
À : French SysAdmin Group
Objet : [FRsAG] [Tech] Malware /Cryptolocker

 

Plop la liste,

 

                C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…

 

Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…

 

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.

 

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.

 

Bruno C. Gestionnaire de parc

 

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.

 



_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/