Jump to content
nobru

ransomware et réseau

Recommended Posts

bonjour,

j'ai lu les quelques articles à propos des ransomwares sur ce site

en résumé il n'y a presque rien d'efficace pour se protéger sinon faire des sauvegardes

mais comme il est dit que les ransomwares s'attaquent au ressources partagées, comment protéger les supports de sauvegarde car à un moment ou à un autre il faut bien que le support soit visible par le poste que l'on veut sauvegarder donc visible par un ransomware éventuel ? que la sauvegarde se face sur disque/clé usb ou disque réseau (nas) ou sur un autre poste

 

je suis curieux de lire vos réflexions / solutions sur le terrain

 

Share this post


Link to post
Share on other sites

Bonjour,

 

La dernière solution de sauvegarde que j'ai mise en place se base sur deux sauvegardes distinctes :

  • Sur un NAS
  • Sur un jeu d'HDD externes

Le NAS est sur un autre site, relié par VPN.

Ca permet de disposer d'un espace conséquent de stockage, en faisant des cycles de rétention de sauvegardes, par de l'incrémentiel, avec plusieurs jeux de sauvegardes complètes. Si on se rend compte que des fichiers sont cryptés après plusieurs jours (ca m'est arrivé chez un client), on peut ainsi les restaurer.

 

En plus de ca, une sauvegarde sur un disque dur différent chaque jour de la semaine permet de bénéficier d'une sauvegarde hors ligne.
Si le jeudi tu te fais pirater, par exemple. Ta sauvegarde NAS est aussi cryptée. Ton disque externe de sauvegarde du jeudi est branché, crypté aussi. Pas grave (enfin moins grave) tu as aussi le disque dur du mercredi, du mardi, etc, qui ne sont connectés à rien.

 

Et là, en terme de sureté, pour une PME/PMI, t'es pas mal!

 

Share this post


Link to post
Share on other sites

Ça dépend de ce que tu veux sauvegarder : BDD, SQL, VM ...

Sinon pour les sauvegardes sur NAS, je conseille un partage dédié aux sauvegardes. Ensuite de connecter le NAS juste avant la sauvegarde ( un petit script avec net use fait le job) et de le déconnecter après (pareil un net use /d)

Sinon la sauvegarde sur cartouche RDX avec une cartouche par semaine.

Sinon les sauvegardes windows server ne sont pas accessibles aux ransomware.

C'est vrai que c'est la galère ces ransomware, j'en ai au moins 2 ou 3 par semaine avec les particuliers ...

 

Share this post


Link to post
Share on other sites
Il y a 2 heures , nobru a déclaré:

bonjour,

 

- quel logiciel utilisez-vous ?

- pas trop long la sauvegarde hors site via vpn ?

Pour le logiciel, tout dépend de ce que tu sauvegardes (pc ou serveur), du volume, fréquence, rotation des sauvegardes, possibilités de restauration, etc.

Pour la sauvegarde via VPN, même chose!! Un de mes clients a de gros volumes de fichiers modifiés tous les jours, et le débit sur le site principal est médiocre. Du coup, la tâche est impossible, nous attendons la mise en service d'un accès fibre dédiée.

Pour d'autres, aucun problème.

 

Il y a 1 heure , yul a déclaré:

Ça dépend de ce que tu veux sauvegarder : BDD, SQL, VM ...

Sinon pour les sauvegardes sur NAS, je conseille un partage dédié aux sauvegardes. Ensuite de connecter le NAS juste avant la sauvegarde ( un petit script avec net use fait le job) et de le déconnecter après (pareil un net use /d)

Sinon la sauvegarde sur cartouche RDX avec une cartouche par semaine.

Sinon les sauvegardes windows server ne sont pas accessibles aux ransomware.

C'est vrai que c'est la galère ces ransomware, j'en ai au moins 2 ou 3 par semaine avec les particuliers ...

 

Pour le net use, franchement pour moi, c'est pas top. Pas top, déjà parce que ca rajoute un problème potentiel (connexion, déconnexion, ca peut ne pas marcher pour plusieurs raisons), et ensuite tu ne peux pas compte dessus pour isoler ta sauvegarde. Si le ransomware s'applique (ou le piratage manuel) à un moment où la sauvegarde se fait, la destination sera connectée. Donc tu ne peux pas compter sur cette technique pour l'isoler.

Je parlais de disques externes, mais j'utilise effectivement, chez mes plus gros clients, des RDX (une par jour, soit 5 RDX de 500Go en l'occurence).

Pour la sauvegarde windows server et les ransomware, peut être, mais j'ai envie de dire : on s'en fout!! :D

La sauvegarde doit pouvoir répondre à une attaque par cryptage, mais aussi un incendie, un autre virus, la suppression de fichiers accidentelle, la panne matérielle,  etc....

Share this post


Link to post
Share on other sites

bonjour,

 

alors comment vous faite "dans la vie réelle" ?

 

- si vous n'utilisez pas net use ?

- après avoir constaté une infection, vous re-formattez tout ?

 

- un ransomware peut crypter les fichiers d'une clé ou disque relié en usb mais peut-il se 'propager' vers un autre poste si l'on y connecte une clé 'cryptée' ?

 

bye

Share this post


Link to post
Share on other sites

Le virus se log dans les TEMPS du PC INFECTE il ne "mute" pas vers les périphériques amovible ( heureusement ! ) 

 

Donc si il crypte une clé usb tu peux la brancher sur un autre pc tu verras juste les fichiers en crypté.

 

Après une infection voici ce que je fais :

Je débranche le PC du réseau

Je transfert la dernière version de mawlaresbytes sur une clé usb qui sert qu'a avoir des outils de nettoyages

Une fois le malwares supprimé je vire tous les locky

Je sauvegarde ce qui n'est pas crypté

Je formatte le poste et je le réinstalle car le virus crypte des programmes , des données windows

Share this post


Link to post
Share on other sites
Il y a 17 heures , nobru a déclaré:

bonjour,

 

alors comment vous faite "dans la vie réelle" ?

 

- si vous n'utilisez pas net use ?

- après avoir constaté une infection, vous re-formattez tout ?

 

- un ransomware peut crypter les fichiers d'une clé ou disque relié en usb mais peut-il se 'propager' vers un autre poste si l'on y connecte une clé 'cryptée' ?

 

bye

Je te l'ai dit dans mon premier message, il faut privilégier la mise en place d'une solution déportée (pour palier aux destructions sur site telles qu'un incendie, et une solution hors ligne (disques durs externes déconnectés ou RDX pour palier aux attaques de type ransomware).

Après une infection, dans le doute c'est mieux de formater, mais on peut s'en passer si on sait parfaitement quelle variable du ransomware a été utilisée et si les risques sont nuls une fois la désinfection faite.

 

Pour la propagation sur USB, voir ma réponse plus bas...

 

Il y a 11 heures , Jeuxaforum a déclaré:

Le virus se log dans les TEMPS du PC INFECTE il ne "mute" pas vers les périphériques amovible ( heureusement ! ) 

 

Donc si il crypte une clé usb tu peux la brancher sur un autre pc tu verras juste les fichiers en crypté.

 

Après une infection voici ce que je fais :

Je débranche le PC du réseau

Je transfert la dernière version de mawlaresbytes sur une clé usb qui sert qu'a avoir des outils de nettoyages

Une fois le malwares supprimé je vire tous les locky

Je sauvegarde ce qui n'est pas crypté

Je formatte le poste et je le réinstalle car le virus crypte des programmes , des données windows

Je trouve ce genre de commentaire limite dérangeant sur un forum pro...

Il est extrêmement dangereux d'affirmer qu'un ransomware n'infecte pas les périphériques amovibles USB.

Déjà parce que ton discours assimile tous les ransomwares, alors qu'ils sont très différents (que ce soit dans le chiffrement, le vecteur d'infection, etc).

Ensuite, parce qu'on sait très bien que des variantes de cryptolocker par exemple, depuis 2014, intègrent un ver afin de se répliquer sur les périphériques USB, et sur les lecteurs réseaux automatiquement.

Ensuite, quand tu dis que "le virus crypte des programmes , des données Windows", là aussi c'est un gros amalgame. Les ransomwares ne cryptent pas les exécutables (d'autres virus le font).

A mon avis, depuis deux ans, on vit la vague de piratage la plus virulente que j'ai connue. Il faut donc être extrêmement prudents, et conseiller les bonnes choses en temps que pro. Par exemple, après ce genre d'infection, analyse de tous les supports USB ayants pu servir, puisqu'on sait qu'il y a un risque réel. 

 

 

 

 

Share this post


Link to post
Share on other sites
il y a 9 minutes, Makarov62 a déclaré:

Voici un article intéressant sur comment se protéger et comme nettoyer un Pc infecté par un Ransomware

 

http://www.zataz.com/meilleurs-outils-proteger-ransomwares/

 

Quelques pistes aussi dans l'article que j'ai rédigé fin 2015 : http://www.tech2tech.fr/ransomware-avec-cryptage-quelques-pistes/

Share this post


Link to post
Share on other sites

J'en ai eu un magasin aujourd'hui qui a transformé toutes les photos en mp3 ...:blink:. Aucun exploitable évidemment...

et au démarrage 50 pop-up pour donner les infos pour payer...

 

Il m'a laissé bête celui là... expliquer le cryptage aux client ça passe, mais là la pauvre dame ne comprenait pas que

je ne puisse pas lui faire l'opération inverse mp3-> jpg <_<

Share this post


Link to post
Share on other sites
Sur 2/3/2016 at 09:35 , Pyrithe a déclaré:

Je te l'ai dit dans mon premier message, il faut privilégier la mise en place d'une solution déportée (pour palier aux destructions sur site telles qu'un incendie, et une solution hors ligne (disques durs externes déconnectés ou RDX pour palier aux attaques de type ransomware).

Après une infection, dans le doute c'est mieux de formater, mais on peut s'en passer si on sait parfaitement quelle variable du ransomware a été utilisée et si les risques sont nuls une fois la désinfection faite.

 

Pour la propagation sur USB, voir ma réponse plus bas...

 

Je trouve ce genre de commentaire limite dérangeant sur un forum pro...

Il est extrêmement dangereux d'affirmer qu'un ransomware n'infecte pas les périphériques amovibles USB.

Déjà parce que ton discours assimile tous les ransomwares, alors qu'ils sont très différents (que ce soit dans le chiffrement, le vecteur d'infection, etc).

Ensuite, parce qu'on sait très bien que des variantes de cryptolocker par exemple, depuis 2014, intègrent un ver afin de se répliquer sur les périphériques USB, et sur les lecteurs réseaux automatiquement.

Ensuite, quand tu dis que "le virus crypte des programmes , des données Windows", là aussi c'est un gros amalgame. Les ransomwares ne cryptent pas les exécutables (d'autres virus le font).

A mon avis, depuis deux ans, on vit la vague de piratage la plus virulente que j'ai connue. Il faut donc être extrêmement prudents, et conseiller les bonnes choses en temps que pro. Par exemple, après ce genre d'infection, analyse de tous les supports USB ayants pu servir, puisqu'on sait qu'il y a un risque réel. 

 

 

 

 

Hello,

ce que je veux dire par là je parle pour le virus locky , il crypte ton pc , tes lecteurs réseaux , ta clé usb oui c'est le cas mais ton virus va pas se déplacer sur la clé usb qui , en la branchant sur un autre pc l'infectera. Pour le locky , j'ai vu des .locky dans le system32 d'un client , je l'ai vu qu'une fois ! Il te crypte également des fichiers de le programm files .

Pour CTB LOCKER j'ai jamais eu le cas où le virus se déplace. Il a toujours été présent sur PC il crypte certe la clé usb , les lecteurs réseaux mais le virus ne va pas se loger sur le pc des collègues , sur la clé usb.

 

Par contre j'ai fais des test sur une VM isolé , j'ai installé l'outil de bitdefender et il fonctionne bien ! j'ai volontairement télécharger un ransomware et le blocage des exe dans le appdata semble être une excellente solution pour l'instant. Je sais que certains anti-virus ( symantec endpoint ) te permette de verrouiller ça pour l'ensemble du parc

Share this post


Link to post
Share on other sites
il y a 4 minutes, Jeuxaforum a déclaré:

Hello,

ce que je veux dire par là je parle pour le virus locky , il crypte ton pc , tes lecteurs réseaux , ta clé usb oui c'est le cas mais ton virus va pas se déplacer sur la clé usb qui , en la branchant sur un autre pc l'infectera. Pour le locky , j'ai vu des .locky dans le system32 d'un client , je l'ai vu qu'une fois ! Il te crypte également des fichiers de le programm files .

Pour CTB LOCKER j'ai jamais eu le cas où le virus se déplace. Il a toujours été présent sur PC il crypte certe la clé usb , les lecteurs réseaux mais le virus ne va pas se loger sur le pc des collègues , sur la clé usb.

 

Par contre j'ai fais des test sur une VM isolé , j'ai installé l'outil de bitdefender et il fonctionne bien ! j'ai volontairement télécharger un ransomware et le blocage des exe dans le appdata semble être une excellente solution pour l'instant. Je sais que certains anti-virus ( symantec endpoint ) te permette de verrouiller ça pour l'ensemble du parc

Ok, mais ce que je veux dire, c'est que ce sujet parle des ransomwares en général. Dans ta réponse, rien ne laisse penser que tu parles d'un ransomware en particulier.

Et dans le cadre d'une discussion générale sur les ransomwares, il est totalement faux et dangereux d'affirmer qu'une contamination par périphérique USB n'est pas possible. Ca c'est bien le cas d'un certain nombre de ransomwares, qui infectent immédiatement les médias USB à l'aide d'un ver.

Et pour CTB Locker, le fait de ne jamais avoir été confronté à la situation de propagation sur des médias USB ne veut pas dire que c'est impossible. L'analyse de ce ransomware, depuis déjà plusieurs variantes, permet de dire qu'il embarque bien un ver qui sert précisément à ca.


Pour l'outil de bitdefender, oui, c'est une solution qui permet d'améliorer la sécurité.

Share this post


Link to post
Share on other sites

Depuis peu, qd je save avec cobian, je crypte en aes... je ne pense pas que les fichiers puissent être recrypter... je n'ai pas fait le test...

 

 

 

Share this post


Link to post
Share on other sites
il y a 49 minutes, KampfTruthahn a déclaré:

La sauvegarde n'est pas la seule solution au problème. Vous avez besoin de penser de la tête, et ce sera votre principal moyen de défense! 

Bonjour,

 

Comme je te l'ai demandé par MP, merci de te présenter avant toute intervention sur le forum stp.

 

Sinon, ton commentaire n'est pas très constructif...
La sauvegarde reste, à mon sens, la première des précautions à mettre en place, et souvent la seule qui s'avère efficace suite à une infection, car on sait très bien qu'en prévention, rien ne garanti une protection infaillible (à moins d'avoir un budget illimité, mais c'est un autre débat).

Donc il faut blinder cet aspect là.

C'est bien aussi de dire qu'il faut réfléchir, mais sans donner d'axe de réflexion, c'est un peu inutile! ;)
 

Share this post


Link to post
Share on other sites

regarder le dernier acronis true image 2017 il y a des nouveauté coté ransomware et pour le coup il gère différent support de sauvegarde, par contre coté serveur je sèche.

Share this post


Link to post
Share on other sites
Sur ‎26‎/‎01‎/‎2017 at 13:48 , Pyrithe a déclaré:

Bonjour,

 

Comme je te l'ai demandé par MP, merci de te présenter avant toute intervention sur le forum stp.

 

Sinon, ton commentaire n'est pas très constructif...
La sauvegarde reste, à mon sens, la première des précautions à mettre en place, et souvent la seule qui s'avère efficace suite à une infection, car on sait très bien qu'en prévention, rien ne garanti une protection infaillible (à moins d'avoir un budget illimité, mais c'est un autre débat).

Donc il faut blinder cet aspect là.

C'est bien aussi de dire qu'il faut réfléchir, mais sans donner d'axe de réflexion, c'est un peu inutile! ;)
 

 

Bonjour,

 

Effectivement la sauvegarde est la meilleure solution contre ce genre de souci. Après ça passe aussi par l'éducation des utilisateurs à ne pas faire tout et n'importe quoi :

 

Exemple : ramasser une clé usb et la connecter à son pc pour voir son contenu :

 

http://france3-regions.francetvinfo.fr/hauts-de-france/nord-pas-calais/nord/attention-arnaque-cle-usb-gendarmes-appellent-vigilance-1217923.html

 

Share this post


Link to post
Share on other sites
Il y a 10 heures , TheCyberSeb a déclaré:

 

Bonjour,

 

Effectivement la sauvegarde est la meilleure solution contre ce genre de souci. Après ça passe aussi par l'éducation des utilisateurs à ne pas faire tout et n'importe quoi :

 

 

+1

 

Bonsoir,

 

Il faut combiner plusieurs choses pour tenter de se protéger des ransomwares, ces actions seront plus à usage de TPE/PME que des particuliers.

- éduquer les utilisateurs a être méfiant. Plus dur pour les particuliers.

- Proposer une solution antispam tel que Mail In Black, Altospam ...  la majorité des ransomwares arrivant par mail

- laisser actif le mode protégé sur la suite office, cela évite aux macros de se lancer dès l'ouverture des fichiers

- utiliser la console FSRM sur les serveurs de fichiers Windows pour bloquer les utilisateurs infectés : https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce    | Tapez sur google : FSRM ransomware, y a plein de tuto

- Activer les clichés instantanés sur les serveurs Windows (si le ransomware ne les chiffrent pas !)

 

Et des sauvegardes il en faut !

Si vous sauvegardez sur un NAS dédié à cet usage, pensez à limité les droits d'accès au seul compte utiliser pour le job.

Ayez également un historique (1 copie de la veille ne suffit pas)

Un support en mode hors ligne

Vérifiez avec votre client que ses données importantes sont bien sauvegardées et que l'historique lui convient.

Certains logiciels de sauvegarde, créent des fichiers avec leurs extensions (Acronis, Veeam, ...) sa aide aussi plutôt qu'une simple copie de fichiers

 

Surtout, vérifiez que les sauvegardes fonctionnent ! :):)

 

Voilou !

 

Share this post


Link to post
Share on other sites

Un ransomware est il capable de se propager sur une cle usb protégé en ecriture ? J'imagine que non mais au cas ou, je demande.

 Est-il capable de se propager a traver un vlan ethernet ou un Gest Wifi ? J'imagine que non, mais en theorie ça me parait possible.

Sur les sav autobackup, il y a souvent des fichiers protégé par mots de passe non creers par le client. Vous les suprimez, vous (avec accord du client) ?

Si l'un d'eutre eux est un virus,  il pourait se propager ? (executé par un programme par exemple)  

Actuelement, je recupe les données via live cd puis je fait une analyse avec bitdefendeur et malwarebite sous windows (banc de test) mais c'est téméraire je reactualise pas mon windows a chaque fois. Je pense que je vais arreter de le faire sous windows et verifier s'il y a contamination juste avec Bitdefender Rescue CD si c'est pas trop lent. Vous en pensez quoi, vous procedez comment ? 

Sous live cd,  il y a mes autres hdd qui apparaissent, le virus risque pas d'aller dessus, ou ça existe les virus capapable de faire ça ? 


Vous faite quoi pour proteger votre atelier ? 

Parce que vu le nombres de virus qui rentre en atelier, si on fait pas très très attention on finira par le regretter.

Cette semaine, j'ai branché ma kanguru sur un pc en oubliant de la protegé en ecriture et le PC ma fait 1 min de musique de crack qui vien de nul part. Rien a signaler avec analyse bitdefendeur. En plus le client avais une grosse tete de mort comme font d'ecran lol. j'ai demandé au client si il avait changé les son windows il ma dit que non. 

Sinon je backup sur un nas, dans le cloud et je protege mon dossier cloud avec bitdefendeur. j'ai un vlan rj45, et je voulais faire un mode guest avec un point d'acce wifi Ubiquiti mais comme un con j'ai cassé le bouton de rénisialisation qui etait pas en face du troue et j'arrive plus rien a en tirer. :D

Share this post


Link to post
Share on other sites
Il y a 10 heures , Exelsis a déclaré:

avoir un lan dedié atelier (ou vlan) non connecté a la partie administrative avec juste accès internet c est bien ;)

 

Oui, je suis d'un avis similaire. Pis bon, l'analyse peut-être fait hors réseau après actualisation de la base de données de l'outil.

 

A l'heure actuellement, on trouve du switch administrable à pas trop cher. (de tête Cisco SG200-08) ou alors un réseau à part avec une solution type pfsense.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...