Questions sur les protections contre les Crypto-Ransomware

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
pafzedog

Questions sur les protections contre les Crypto-Ransomware

par pafzedog »

Bonjour,

J'ai vu passer quelques articles sur la possibilité de filtrer les extensions de fichier directement au niveau du serveur de fichiers (je bosse sur un parc informatique) que ce soit sur du Samba (journalisation dans smb.conf) ou directement sur les produits Microsoft (FSRM avec des filtres) et j'ai commencé à mettre en place cette dernière sur notre serveur avec une liste d'extensions à bannir. Je comprend bien la faiblesse de cette mesure qui en cas d'extension de fichier aléatoire ou non présente dans la liste restera inefficace mais cela reste quand même une protection supplémentaire qui pourrait être intéressante.

Mais ce qui me chagrine le plus c'est plutôt que je ne sais pas comment ces malwares procèdent lorsqu'ils chiffrent les fichiers car le fait de bloquer l'extension de fichier au niveau du serveur pourrait ne pas empêcher le chiffrement si celui-ci est effectué avant le renommage (changement d'extension) et cette mesure de prévention serait alors totalement inopérante.

Merci de vos avis éclairés sur la question ;)

pafzedog
Malekal_morte
Messages : 110316
Inscription : 10 sept. 2005 13:57

Re: [Question] Protection contre les Crypto-Ransomware

par Malekal_morte »

Salut,

Deux méthodes de distributions sont utilisées : Par exemple, le Ransomware Locky, c'est que des campagnes d'emails.

Côté prévention, comme la plupart des emails renforme des Zips contenant des Trojan.JS (JavaScript), internet Windows Script Host permet de limiter la casse : Comment se protéger des scripts malicieux sur Windows.
Reste que l'utilisateur est le meilleur rempart : être vigilant et les informer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
pafzedog

Re: [Question] Protection contre les Crypto-Ransomware

par pafzedog »

Oui, je connais bien les vecteurs d'infection, nous subissons les campagnes de mailing depuis le début et nous avons averti nos utilisateurs en conséquence. Ma question portait plutôt sur l'efficacité relative d'interdire certaines extensions de fichiers. Si le malware dans un premier temps chiffre le fichier "puis" renomme dans un second temps alors ce filtrage est totalement inutile, les fichiers seront quand même chiffrés. As-tu un avis sur ce point précis ?
Avatar de l’utilisateur
devadip
Messages : 938
Inscription : 25 févr. 2008 20:01

Re: [Question] Protection contre les Crypto-Ransomware

par devadip »

slt
puisque la question est posée, je voulais savoir si les logiciels de protections comme malwarebytes anti ransomware permettent une bonne protection contre tous les types de ransomwares.
je sais que tu as dit que l'inconvénient de ce type de logiciel est qu'il ne bloque qu'un type de virus mais on n'est pas tous professionnels au niveau sécurité informatique et les gosses ont tendances à cliquer sur tout et n'importe quoi
merci
pafzedog

Re: [Question] Protection contre les Crypto-Ransomware

par pafzedog »

devadip a écrit :slt
puisque la question est posée, je voulais savoir si les logiciels de protections comme malwarebytes anti ransomware permettent une bonne protection contre tous les types de ransomwares.
je sais que tu as dit que l'inconvénient de ce type de logiciel est qu'il ne bloque qu'un type de virus mais on n'est pas tous professionnels au niveau sécurité informatique et les gosses ont tendances à cliquer sur tout et n'importe quoi
merci
Bonjour,

excuse-moi mais ce n'est pas vraiment le sujet de mon post, pourquoi ne pas créer un nouveau sujet ?
Cela facilite généralement le boulot des admins qui répondent sur ce forum et évite de passer à côté du sujet principal.

merci à toi.
Avatar de l’utilisateur
angelique
Messages : 31150
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: [Question] Protection contre les Crypto-Ransomware

par angelique »

Le CERT-FR en a causé quelques mots.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
pafzedog

Re: [Question] Protection contre les Crypto-Ransomware

par pafzedog »

oui j'ai vu celle qui traitait notamment de locky.

Je vais ré-exprimer ma question car je crois que je me suis mal fait comprendre :

Quand je parle de bloquer certaines extensions de fichiers, je ne parle pas de bloquer le malware lui-même ou la pièce jointe mais cette solution permet de bloquer la possibilité d'écrire un fichier sur le partage réseau lui-même si l'extension correspond à une liste pré-établie.
Par exemple: interdire la création de fichiers *.locky , *.micro, *.vvv *.doc.mp3 etc....
Donc voilà pourquoi je me questionnai sur le déroulement du chiffrement des fichiers, si le malware chiffre et renomme en un seule étape ("commande qui chiffre" "monfichierimportant.doc" > "monfichierimportant.doc.locky"), il n'arrivera pas à ses fins par contre si il exécute deux opération distinctes ("command qui chiffre" "monfichierimportant.doc" puis "commande qui renomme" "monfichier important.doc" > "monfichierimportant.doc.locky") le fichier ne pourra pas être renommé mais il sera déjà chiffré et donc cette méthode devient tout à fait inutile ....

Est-ce quelqu'un à une information sur la manière dont procèdent ces malwares ?
pafzedog

Re: [Question] Protection contre les Crypto-Ransomware

par pafzedog »

Salut,

Personne n'a d'idée sur ce point précis ?
dommage, auriez-vous des adresses de forum même en anglais ou je puis poser la question ?

merci
ѠOOT

Re: [Question] Protection contre les Crypto-Ransomware

par ѠOOT »

Bonjour,

Excusez du retard. La majorité des actuels rançongiciels chiffreurs effectuent leurs traitements en mémoire vive, grosso-modo, il y a écrasements du contenu initial par celui chiffré : le fichier source est en quelque sorte "ré-écrit". Par conséquent, il est raisonnable de proscrire les méthodes de filtrages / blocages d'extensions de fichiers via listes ( blanches / noires ), et comme souligné, ça ne fonctionnera pas sur les renommages pseudo-aléatoires. Il en va de même pour la mise en place des corbeilles réseaux qui habituellement peuvent contribuer aux récupérations. Bien définir de bonnes sauvegardes, polices de sécurité, gestions de droits / permissions,.. les habituelles mesures du filet de sécurité. Pour la mise en place de fortifications, pourquoi pas, ceci étant attention à ne pas tomber dans le piège de la ligne Maginot.

Rappel: Les rançongiciels sont des menaces sérieuses
qui ne cessent de croitre et d'évoluer à travers le monde.
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.fbi.gov/news/podcasts/thisw ... e-rise.mp3
pafzedog

Re: [Question] Protection contre les Crypto-Ransomware

par pafzedog »

Bonjour et merci beaucoup pour cette réponse,

Je ne prends ces mesures que pour des fortifications effectivement, les sauvegardes sont vérifiées et s'effectuent avec un utilisateur dédié qui est le seul à posséder les permissions d'écritures sur ces dernières.Les droits des partages réseau ont été révisés au plus 'juste' afin d'éviter une propagation trop grande en cas d'infection.

Mais je trouvais l'idée séduisante malgré ses faiblesses, je vais certainement utilisé la seconde solution qui consiste alors à seulement détecter un type d'extension donnée et à lancer un script qui ajoute une interdiction d'écriture sur tout le partage à l'utilisateur incriminé tout en nous notifiant par mail.

Encore une fois merci d'avoir pris le temps de répondre.

Salutations.
pafzedog

Re: Questions sur les protections contre les Crypto-Ransomwa

par pafzedog »

Un petit retour sur cette stratégie qui s'est avérée payante ce matin même.

Malgré la prévention effectuée en amont, un utilisateur a donc ouvert une pièce jointe ce matin en remontant ces mails de la veille, l'ironie est que nous avons justement envoyé un mail de rappel hier soir ! mais bon passons, nous savons que la prévention a aussi ses limites .

Pour la version du Locky que cette personne a lancé, l'interdiction d'écriture des fichiers *.locky est efficace. Tous les fichiers présents sur son disque dur sont donc chiffrés mais le ransomware a échoué lorsqu'il s'est attaqué aux partages réseaux protégés, nous avons reçu un mail de notification nous permettant d'identifier l'utilisateur et donc de désinfecter sa machine.
Malekal_morte
Messages : 110316
Inscription : 10 sept. 2005 13:57

Re: Questions sur les protections contre les Crypto-Ransomwa

par Malekal_morte »

Pourquoi ne pas interdire Windows Script Host aussi ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
pafzedog

Re: Questions sur les protections contre les Crypto-Ransomwa

par pafzedog »

je me suis penché sur la question que brièvement et vais certainement y revenir. La solution FSRM est très rapide à mettre en place car directement sur le serveur de fichier lui même (compter 5 minutes à tout casser) par contre pour ce qui est du déploiement par GPO, nous avons un parc assez hétérogène et cela demande plus de temps de travail et de test puis nous nous servons aussi de scripts pour l'administration du parc. Comme je le disais, je vais y revenir car elle sera sans conteste plus efficace dans le temps.
Malekal_morte
Messages : 110316
Inscription : 10 sept. 2005 13:57

Re: Questions sur les protections contre les Crypto-Ransomwa

par Malekal_morte »

Une page rapide sur les "anti-ransomwares" :
Mon avis sur les anti-ransomwares : Les Anti-Ransomwares.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »