Bonjour Bruno,
Sur l’ensemble de nos établissements (plusieurs hôpitaux représentants 3000 agents et 2500 postes de travail), nous subissons environ une attaque de crypto par semaine. A chaque fois, les partages sur le serveur de fichier se font pourrir et nous oscillons entre 5 000 à 200 000 fichiers cryptés en quelques minutes. La seule parade pour nous est la sauvegarde. Nous arrivons en général à trouver les fichiers qui ont été cryptés :
- Soit ils ont une date de modification qui colle à la période d’attaque (par exemple, tous les fichiers modifiés de 8h43 à 8h50)
- Soit ils ont une extension spécifique,
- Soit le nom a été modifié. Pour tous ces fichiers, je supprime sans vergogne, et je lance la restauration en spécifiant « ne pas écraser ». Du coup, je retrouve tous mes fichiers avant cryptage.
Le mail reste le vecteur principal de ces infections. Dans de nombreux cas l’antivirus sur les mails ne sert pas à grand-chose car la charge virale n’est pas dans le mail. C’est une pièce jointe qui va lancer un bout de code VBA (ou autre) et aller récupérer le contenu viral sur un pastebin ou autre.
Pour s’en protéger : 1/ Sensibliser les utilsiateurs (mais c’est rarement efficace) 2/ restreinte le plus possible les droits d’accès sur les partages 3/ monter le moins de lecteur réseau possible (et tient donc, pourquoi pas passer en chemin unc ? Depuis les « favoris » de Seven, c’est un jeu d’enfant d’aller sur \server1\sharefile:///\\server1\share)
Pour que l’infection soit moins douloureuse, il faut vraiment avoir des backup et un outil qui permet de restaurer quelques milliers de fichier de façon sélective..
ESET aurait réussi à obtenir un Master KEY sur un des crypto, permettant de récupérer les fichiers (comme quoi la suppression n’est pas forcément une bonne pratique)
Cordialement,
Olivier VAILLEAU
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de CORTES Bruno Envoyé : jeudi 26 mai 2016 15:07 À : French SysAdmin Group Objet : [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.