Page 1 sur 2

FIREFOX : script malicieux...ransomware ?

Publié : 13 mars 2017 18:12
par pug
Bonjour Malekal, bonjour à tous,

J'utilise FIREFOX comme navigateur. Hier, il me propose de telecharger une mise à jour et hop, je clique pour enregister le fichier comme j'en ai l'habitude. Puis je le lance... Et là, surprise ! J'ai le logiciel MARMITON (merci Malekal !) qui se manifeste et qui m'indique qu'il vient de bloquer un script qui voulait se lancer sur l'ordi.

Et en y regardant de plus près, la mise à jour n'était pas en ".exe" mais en "js" (javascript), et de surcroit était censée proposer la version FIREFOX 53.8.7 alors que la dernière mise à jour est la 52.0...

Alors je me demande ce qui se serait passé si le script avait fonctionné. Une recherche sur virus total indique quelques pistes JSransom.genic, ou HEUR_JSRANSOM.02... Mais je n'ai rien trouvé sur la toile, pas plus que de posts d'internautes ayant rencontré ce problème...

Qui peut m'en dire plus (oui, j'aimerais savoir à quoi j'ai échappé...)

Salutations à tous

Re: FIREFOX : script malicieux...ransomware ?

Publié : 13 mars 2017 18:24
par angelique
Firefox se met à jour via Aide/A propos de firefox ou silencieusement , JAMAIS autrement, dans ton cas ça pu une page Ѡeb piégée qui te fait croire que Firefox doit être mis à jour.

le .js pu le dropper qui va chercher le ransomeware qui va chiffrer tes données.

Tu donner la page web ou le .js est proposé ?

Re: FIREFOX : script malicieux...ransomware ?

Publié : 13 mars 2017 18:52
par pug
Bonjour Angelique,

Au temps pour moi pour la mise à jour de Firefox qui est automatique, c'est quand je telecharge un programme que je l'enregistre et le lance... Mais c'est cet automatisme que j'ai utilisé ! Toujours reflechir avant...

Pour le site sur lequel j'ai récupéré ce script, j'ai bien une idée et j'essaie de refaire la manip. il s'agit du site d'une revue tout à fait honorable et je ne veux pas balancer son nom avant d'en être sur..

@+

Re: FIREFOX : script malicieux...ransomware ?

Publié : 13 mars 2017 19:31
par Malekal_morte
Salut,

.JS sur Dropbox ...
Tu as la page d'origine avec la mise à jour ?
Tu peux donner le lien complet dropbox ?

C'est une des méthodes pour pousser Le ransomware Sage, il me semble.

Re: FIREFOX : script malicieux...ransomware ?

Publié : 13 mars 2017 20:18
par pug
Bonjour Malekal,

Je n'ai jamais mis les pieds sur un site ressemblant de près ou de loin à DROPBOX ... A priori, j'étais sur le site d'une revue de jardinage bien connue (pas un site à risques...!)

Re: FIREFOX : script malicieux...ransomware ?

Publié : 13 mars 2017 20:56
par Malekal_morte
Quel site ?
Tu peux chercher dans ton histoire l'adresse de la page de mise à jour Firefox ?

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 09:42
par pug
Bonjour Malekal,

Malheureusement pour le cas présent, je ne conserve pas l'historique de ma navigation...

Pour ce qui est du site, il s'agit de celui de la revue RUSTICA auquel j'ai accédé par le biais de la newsletter hebdomadaire... Se pourrait-il que ce soit cette dernière qui soit vérolée ...?

Après m'être connecté des dizaines de fois, j'ai réussi à reproduire la tentative d'infection (qui est donc aléatoire ?)

Voir les deux impressions d'écran où l'on visualise bien l'adresse du site...

@+

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 09:44
par pug
J'ai oublié de préciser que je suis sur le site de RUSTICA, je visualise la page sans problème, puis apparait la page de firefox qui m'indique que le navigateur n'est plus à jour, puis si je ne clique pas pour télécharger la pdeudo mise à jour, le site de RUSTICA réapparait...

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 10:55
par nam1962
Une bonne suite de protection pour Firefox :

ublock origin – bloqueur de pub éthique et léger !
decentraleyes qui va accélérer le surf en limitant les échanges réseau indiscrets. (peut bloquer les fonctionnalités de certains site !)
Calomel SSL Validation – pour savoir si le site visité est légitime
betterprivacy – pour supprimer les cookies LSO (long terme) qui sinon disent au monde que l'on est en ligne !
En complément du précédent : self-destructing cookies qui élimine les cookies quand on quitte les sites !

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 10:57
par Malekal_morte
Donne le lien complet de la newsletter stp...

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 11:01
par angelique
Perso je n'arrive pas à reproduire ton truc sur le lien que tu donnes sur la capture hxxps://www.rustica.fr/tv/jardiner-avec-lune-gr ... 13170.html

En analysant un peu plus ➫ http://urlquery.net/report.php?id=1489481589199 je vois pas grand chose, Malekal utilise des outils comme Fiddler , il verra certainement.


ça ne te fait ça que sur cette page ??

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 11:03
par Malekal_morte
Donne le lien complet de la newsletter stp.

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 18:42
par pug
Bonjour Angélique, bonjour Malekal, bonjour à tous,

Pour répondre aux différentes questions :

- C'est la première fois que je rencontre ce problème, et donc uniquement sur ce site

- le lien complet :

https://www.rustica.fr/tv/jardiner-avec ... mpaign=875

Mais avant d'arriver sur ce lien, il y a un lien de renvoi que je ne peux pas lire, copier ou imprimer, c'est beaucoup trop rapide...

RUSTICA lien renvoi un.jpg

- Pour pouvoir réaliser les copies d'écran de mon précédent message, j'ai bien dû me connecter une vingtaine de fois avant que le script me soit à nouveau proposé

- Comme je l'ai dit, je me connecte sur le site par l'intermédiaire de la newsletter reçue dans ma messagerie. En regardant dans le code source de transmission de cette dernière, je vois qu'elle est émise par "mailjet.com" (en pièce jointe, j'ai effacé mon adresse mail...). L'infection pourrait elle venir de ce site d'envoi d'emails ?

RUSTICA code source.jpg

@+ et merci de l'intérêt porté à mes questions...

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 18:43
par pug
Encore une chose, pour un lien vraiment complet, il faudrait que je transmette la newsletter ?

Re: FIREFOX : script malicieux...ransomware ?

Publié : 14 mars 2017 18:51
par Malekal_morte
transfère le mail sur [email protected] oui.