Bonjour,
J'ai bien compris que les modes d'infection d'un Ransomware du type TeslaCrypt pouvaient être soit par un mail piégé soit par une exploit Web.
J'ai cependant des questions sur son mode de fonctionnement :
- existe t'il un moyen de savoir comment a eu lieu l'infection (trace dans la base de registre ou dans les logs?)
- une fois infecté comment opère le Ransomware ? Immédiatement ou au redémarrage ?
- Est-ce qu'il fonctionne une seule fois ? ou dés qu'un nouveau document est créé il chiffre à la volée ?
Merci.
[Clôt] Demande de précisions sur les rançongiciels
Re: Demande de précision sur les Ransomware
Bonjour,
Le disque dur sur lequel le système d'exploitation est installé & la mémoire vive contiennent les informations permettant d'établir l'historique de l'incident. Il est donc important de commencer par les préserver. Une fois les images systèmes réalisées, vous pourrez débutez sereinement vos recherches. Appuyez vous sur les indicateurs de compromission (IOC) pour repérer rapidement les éléments malicieux & partant de là vous pourrez, en fonction de vos compétences, reconstruire ce puzzle. Au minimum avoir de bonnes connaissances du système d'exploitation et sur les caractéristiques du système de gestion de fichiers car rien que la présence du binaire (TeslaCrypt) va vous renseigner sur les dates de création/modification/accès/suppression/etc.. ce qui va vous amener à découvrir d'autres informations utiles comme, les dates des exécutions, sur le nombre de fois que le programme a fonctionné, sous quelles conditions,.. Donc oui, utilisez ce que vous connaissez, fichiers de ruches, fichiers des évènements, fichiers de.. mais ne les manipulez pas comme vous en avez l'habitude en tant que simple utilisateur sinon vous serez très vite limité et il vous sera impossible d'avoir une vue cohérente sur l'ensemble. Pour répondre aux autres questions, TeslaCrypt procède immédiatement au chiffrage et demeure actif jusqu'au déchiffrage suite au paiement de la rançon. Sur TeslaCrypt, la date de création du fichier recover_file_xxxxxxxxx.txt ( change en fonction des variantes ) indique à peu près le début du chiffrage et la date de l'affichage de la page des instructions ( ex: _ReCoVeRy_.HTM ) indique le moment où l'utilisateur prends connaissance de la demande de rançon.
Le disque dur sur lequel le système d'exploitation est installé & la mémoire vive contiennent les informations permettant d'établir l'historique de l'incident. Il est donc important de commencer par les préserver. Une fois les images systèmes réalisées, vous pourrez débutez sereinement vos recherches. Appuyez vous sur les indicateurs de compromission (IOC) pour repérer rapidement les éléments malicieux & partant de là vous pourrez, en fonction de vos compétences, reconstruire ce puzzle. Au minimum avoir de bonnes connaissances du système d'exploitation et sur les caractéristiques du système de gestion de fichiers car rien que la présence du binaire (TeslaCrypt) va vous renseigner sur les dates de création/modification/accès/suppression/etc.. ce qui va vous amener à découvrir d'autres informations utiles comme, les dates des exécutions, sur le nombre de fois que le programme a fonctionné, sous quelles conditions,.. Donc oui, utilisez ce que vous connaissez, fichiers de ruches, fichiers des évènements, fichiers de.. mais ne les manipulez pas comme vous en avez l'habitude en tant que simple utilisateur sinon vous serez très vite limité et il vous sera impossible d'avoir une vue cohérente sur l'ensemble. Pour répondre aux autres questions, TeslaCrypt procède immédiatement au chiffrage et demeure actif jusqu'au déchiffrage suite au paiement de la rançon. Sur TeslaCrypt, la date de création du fichier recover_file_xxxxxxxxx.txt ( change en fonction des variantes ) indique à peu près le début du chiffrage et la date de l'affichage de la page des instructions ( ex: _ReCoVeRy_.HTM ) indique le moment où l'utilisateur prends connaissance de la demande de rançon.
- Messages : 116213
- Inscription : 10 sept. 2005 13:57
Re: Demande de précision sur les Ransomware
Salut,
Sachant que comme c'est expliqué dans les pages relatives aux ransomwares.
Deux méthodes de distributions sont utilisées :
Côté prévention, comme la plupart des emails renforme des Zips contenant des Trojan.JS (JavaScript), internet Windows Script Host permet de limiter la casse : Comment se protéger des scripts malicieux sur Windows.
Reste que l'utilisateur est le meilleur rempart : être vigilant.
et.. et.. et.. faire des sauvegardes des documents importants.
Le Ransomware Locky, lui, ne se met pas au démarrage, il s'installe, chiffre tout ce qu'il peut et se ferme et laisse les messages d'instructions du paiements.
En espérant qu'on ait répondu à tes interrogations !
Comme ѠOOT le dit, il faut des connaissances techniques, ce n'est pas simple.Fnme1970 a écrit :- existe t'il un moyen de savoir comment a eu lieu l'infection (trace dans la base de registre ou dans les logs?)
Sachant que comme c'est expliqué dans les pages relatives aux ransomwares.
Deux méthodes de distributions sont utilisées :
- par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée
- par des exploits WEB.
Côté prévention, comme la plupart des emails renforme des Zips contenant des Trojan.JS (JavaScript), internet Windows Script Host permet de limiter la casse : Comment se protéger des scripts malicieux sur Windows.
Reste que l'utilisateur est le meilleur rempart : être vigilant.
et.. et.. et.. faire des sauvegardes des documents importants.
Tout de suite. Le but c'est pas d'attendre, c'est de chiffrer le plus de documents possibles, le plus rapidement, avant que l'utilisateur/administrateur/antivirus voit quelque chose. Plus, ils font de dégâts, plus tu es susceptible de perdre des documents (en nombre ou importants), plus tu es susceptible de payer pour les récupérer.Fnme1970 a écrit :- une fois infecté comment opère le Ransomware ? Immédiatement ou au redémarrage du PC ?
Ca dépend desquels.TeslaCrypt créé une clef dans le registre pour se charger au démarrage de l'ordinateur (ainsi que les instructions de paiements) et rester ainsi sur Windows pour chiffrer tous les nouveaux documents qui y seront utilisés. Beaucoup de ransomwares font ceci.Fnme1970 a écrit :- Est-ce qu'il fonctionne une seule fois ? ou dés qu'un nouveau document est créé il chiffre à la volée ?
Le Ransomware Locky, lui, ne se met pas au démarrage, il s'installe, chiffre tout ce qu'il peut et se ferme et laisse les messages d'instructions du paiements.
En espérant qu'on ait répondu à tes interrogations !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Demande de précision sur les Ransomware
Bonsoir,
et merci à tous les deux pour vos réponses rapides et complètes.
@ѠOOT j'ai effectué une sauvegarde la ram de mon ordi et téléchargé l'exemple du système miniature.Si je suis bien arrivé à lire et «un peu» à comprendre les explications et ce que je voyais pour le fichier image wizluv.e01, je n'arrive pas ouvrir le fichier généré pour la ram (en .raw).
Je pense que ce n'est ni une photo ni un fichier image. Donc comment faire pour exploiter ces données?
et merci à tous les deux pour vos réponses rapides et complètes.
@ѠOOT j'ai effectué une sauvegarde la ram de mon ordi et téléchargé l'exemple du système miniature.Si je suis bien arrivé à lire et «un peu» à comprendre les explications et ce que je voyais pour le fichier image wizluv.e01, je n'arrive pas ouvrir le fichier généré pour la ram (en .raw).
Je pense que ce n'est ni une photo ni un fichier image. Donc comment faire pour exploiter ces données?
Re: Demande de précision sur les Ransomware
Bonjour,
À l'époque, j'avais cru bon de ne pas trop entrer dans certains détails. De plus, les outils ou moyens employés varient fortement en fonction des besoins - il existe un grand nombre d'exploitations possibles. Entre midi & deux, je vais vous rédiger rapidement quelque chose d'assez simple qui vous permettra d'aborder la question du : "Que s'est t'il passé?". Je n'entrerai pas des utilisations avancées, comme les possibilités de débogages,..
edit: Lire Exploration standard de l'antémémoire via Volatility
À l'époque, j'avais cru bon de ne pas trop entrer dans certains détails. De plus, les outils ou moyens employés varient fortement en fonction des besoins - il existe un grand nombre d'exploitations possibles. Entre midi & deux, je vais vous rédiger rapidement quelque chose d'assez simple qui vous permettra d'aborder la question du : "Que s'est t'il passé?". Je n'entrerai pas des utilisations avancées, comme les possibilités de débogages,..
edit: Lire Exploration standard de l'antémémoire via Volatility
Re: Demande de précision sur les Ransomware
Bonjour,
merci d'avoir pris le temps de créer une page pour expliquer comment "lire" la mémoire vive extraite. Je m'y mets ce weekend et vous ferez sans doute part de mon retour.
merci d'avoir pris le temps de créer une page pour expliquer comment "lire" la mémoire vive extraite. Je m'y mets ce weekend et vous ferez sans doute part de mon retour.