Questions sur les protections contre les Crypto-Ransomware

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Répondre
pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Questions sur les protections contre les Crypto-Ransomware

Message par pafzedog » 20 mars 2016 15:14

Bonjour,

J'ai vu passer quelques articles sur la possibilité de filtrer les extensions de fichier directement au niveau du serveur de fichiers (je bosse sur un parc informatique) que ce soit sur du Samba (journalisation dans smb.conf) ou directement sur les produits Microsoft (FSRM avec des filtres) et j'ai commencé à mettre en place cette dernière sur notre serveur avec une liste d'extensions à bannir. Je comprend bien la faiblesse de cette mesure qui en cas d'extension de fichier aléatoire ou non présente dans la liste restera inefficace mais cela reste quand même une protection supplémentaire qui pourrait être intéressante.

Mais ce qui me chagrine le plus c'est plutôt que je ne sais pas comment ces malwares procèdent lorsqu'ils chiffrent les fichiers car le fait de bloquer l'extension de fichier au niveau du serveur pourrait ne pas empêcher le chiffrement si celui-ci est effectué avant le renommage (changement d'extension) et cette mesure de prévention serait alors totalement inopérante.

Merci de vos avis éclairés sur la question ;)

pafzedog

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85050
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Question] Protection contre les Crypto-Ransomware

Message par Malekal_morte » 20 mars 2016 15:33

Salut,

Deux méthodes de distributions sont utilisées : Par exemple, le Ransomware Locky, c'est que des campagnes d'emails.

Côté prévention, comme la plupart des emails renforme des Zips contenant des Trojan.JS (JavaScript), internet Windows Script Host permet de limiter la casse : Comment se protéger des scripts malicieux sur Windows.
Reste que l'utilisateur est le meilleur rempart : être vigilant et les informer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Re: [Question] Protection contre les Crypto-Ransomware

Message par pafzedog » 20 mars 2016 16:38

Oui, je connais bien les vecteurs d'infection, nous subissons les campagnes de mailing depuis le début et nous avons averti nos utilisateurs en conséquence. Ma question portait plutôt sur l'efficacité relative d'interdire certaines extensions de fichiers. Si le malware dans un premier temps chiffre le fichier "puis" renomme dans un second temps alors ce filtrage est totalement inutile, les fichiers seront quand même chiffrés. As-tu un avis sur ce point précis ?

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 653
Inscription : 25 févr. 2008 21:01

Re: [Question] Protection contre les Crypto-Ransomware

Message par devadip » 20 mars 2016 17:27

slt
puisque la question est posée, je voulais savoir si les logiciels de protections comme malwarebytes anti ransomware permettent une bonne protection contre tous les types de ransomwares.
je sais que tu as dit que l'inconvénient de ce type de logiciel est qu'il ne bloque qu'un type de virus mais on n'est pas tous professionnels au niveau sécurité informatique et les gosses ont tendances à cliquer sur tout et n'importe quoi
merci

pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Re: [Question] Protection contre les Crypto-Ransomware

Message par pafzedog » 20 mars 2016 17:48

devadip a écrit :slt
puisque la question est posée, je voulais savoir si les logiciels de protections comme malwarebytes anti ransomware permettent une bonne protection contre tous les types de ransomwares.
je sais que tu as dit que l'inconvénient de ce type de logiciel est qu'il ne bloque qu'un type de virus mais on n'est pas tous professionnels au niveau sécurité informatique et les gosses ont tendances à cliquer sur tout et n'importe quoi
merci
Bonjour,

excuse-moi mais ce n'est pas vraiment le sujet de mon post, pourquoi ne pas créer un nouveau sujet ?
Cela facilite généralement le boulot des admins qui répondent sur ce forum et évite de passer à côté du sujet principal.

merci à toi.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27077
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [Question] Protection contre les Crypto-Ransomware

Message par angelique » 20 mars 2016 20:30

Le CERT-FR en a causé quelques mots.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Re: [Question] Protection contre les Crypto-Ransomware

Message par pafzedog » 20 mars 2016 23:09

oui j'ai vu celle qui traitait notamment de locky.

Je vais ré-exprimer ma question car je crois que je me suis mal fait comprendre :

Quand je parle de bloquer certaines extensions de fichiers, je ne parle pas de bloquer le malware lui-même ou la pièce jointe mais cette solution permet de bloquer la possibilité d'écrire un fichier sur le partage réseau lui-même si l'extension correspond à une liste pré-établie.
Par exemple: interdire la création de fichiers *.locky , *.micro, *.vvv *.doc.mp3 etc....
Donc voilà pourquoi je me questionnai sur le déroulement du chiffrement des fichiers, si le malware chiffre et renomme en un seule étape ("commande qui chiffre" "monfichierimportant.doc" > "monfichierimportant.doc.locky"), il n'arrivera pas à ses fins par contre si il exécute deux opération distinctes ("command qui chiffre" "monfichierimportant.doc" puis "commande qui renomme" "monfichier important.doc" > "monfichierimportant.doc.locky") le fichier ne pourra pas être renommé mais il sera déjà chiffré et donc cette méthode devient tout à fait inutile ....

Est-ce quelqu'un à une information sur la manière dont procèdent ces malwares ?

pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Re: [Question] Protection contre les Crypto-Ransomware

Message par pafzedog » 23 mars 2016 13:47

Salut,

Personne n'a d'idée sur ce point précis ?
dommage, auriez-vous des adresses de forum même en anglais ou je puis poser la question ?

merci

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: [Question] Protection contre les Crypto-Ransomware

Message par ѠOOT » 25 mars 2016 17:45

Bonjour,

Excusez du retard. La majorité des actuels rançongiciels chiffreurs effectuent leurs traitements en mémoire vive, grosso-modo, il y a écrasements du contenu initial par celui chiffré : le fichier source est en quelque sorte "ré-écrit". Par conséquent, il est raisonnable de proscrire les méthodes de filtrages / blocages d'extensions de fichiers via listes ( blanches / noires ), et comme souligné, ça ne fonctionnera pas sur les renommages pseudo-aléatoires. Il en va de même pour la mise en place des corbeilles réseaux qui habituellement peuvent contribuer aux récupérations. Bien définir de bonnes sauvegardes, polices de sécurité, gestions de droits / permissions,.. les habituelles mesures du filet de sécurité. Pour la mise en place de fortifications, pourquoi pas, ceci étant attention à ne pas tomber dans le piège de la ligne Maginot.

Rappel: Les rançongiciels sont des menaces sérieuses
qui ne cessent de croitre et d'évoluer à travers le monde.
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.fbi.gov/news/podcasts/thisw ... e-rise.mp3
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Re: [Question] Protection contre les Crypto-Ransomware

Message par pafzedog » 25 mars 2016 21:57

Bonjour et merci beaucoup pour cette réponse,

Je ne prends ces mesures que pour des fortifications effectivement, les sauvegardes sont vérifiées et s'effectuent avec un utilisateur dédié qui est le seul à posséder les permissions d'écritures sur ces dernières.Les droits des partages réseau ont été révisés au plus 'juste' afin d'éviter une propagation trop grande en cas d'infection.

Mais je trouvais l'idée séduisante malgré ses faiblesses, je vais certainement utilisé la seconde solution qui consiste alors à seulement détecter un type d'extension donnée et à lancer un script qui ajoute une interdiction d'écriture sur tout le partage à l'utilisateur incriminé tout en nous notifiant par mail.

Encore une fois merci d'avoir pris le temps de répondre.

Salutations.

pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Re: Questions sur les protections contre les Crypto-Ransomwa

Message par pafzedog » 30 mars 2016 12:31

Un petit retour sur cette stratégie qui s'est avérée payante ce matin même.

Malgré la prévention effectuée en amont, un utilisateur a donc ouvert une pièce jointe ce matin en remontant ces mails de la veille, l'ironie est que nous avons justement envoyé un mail de rappel hier soir ! mais bon passons, nous savons que la prévention a aussi ses limites .

Pour la version du Locky que cette personne a lancé, l'interdiction d'écriture des fichiers *.locky est efficace. Tous les fichiers présents sur son disque dur sont donc chiffrés mais le ransomware a échoué lorsqu'il s'est attaqué aux partages réseaux protégés, nous avons reçu un mail de notification nous permettant d'identifier l'utilisateur et donc de désinfecter sa machine.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85050
Inscription : 10 sept. 2005 13:57
Contact :

Re: Questions sur les protections contre les Crypto-Ransomwa

Message par Malekal_morte » 30 mars 2016 12:58

Pourquoi ne pas interdire Windows Script Host aussi ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

pafzedog
newbie
newbie
Messages : 8
Inscription : 20 mars 2016 14:44

Re: Questions sur les protections contre les Crypto-Ransomwa

Message par pafzedog » 30 mars 2016 13:56

je me suis penché sur la question que brièvement et vais certainement y revenir. La solution FSRM est très rapide à mettre en place car directement sur le serveur de fichier lui même (compter 5 minutes à tout casser) par contre pour ce qui est du déploiement par GPO, nous avons un parc assez hétérogène et cela demande plus de temps de travail et de test puis nous nous servons aussi de scripts pour l'administration du parc. Comme je le disais, je vais y revenir car elle sera sans conteste plus efficace dans le temps.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85050
Inscription : 10 sept. 2005 13:57
Contact :

Re: Questions sur les protections contre les Crypto-Ransomwa

Message par Malekal_morte » 20 déc. 2016 13:06

Une page rapide sur les "anti-ransomwares" :
Mon avis sur les anti-ransomwares : Les Anti-Ransomwares.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Securite informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Bing [Bot] et 1 invité