Outlook : Detection des mails contenant un Ransomware

[Parisien_entraide]

Précisions : Je n'utilise pas outlook, et je n'ai pas testé

Logo_Ransomwre.png

Pour les plus pressés :


LE LIEN


https://www.synergy-usa-llc.com/ransoms ... rview.html

Video de fonctionnement (langue US) : https://www.youtube.com/watch?v=wkGhBpy7dD0


Cela peut être utile pour une Sté, preuve en est que la faille est toujours humaine :

Une fausse opération de phishing trompe 30 000 agents de Bercy : https://www.lesnumeriques.com/vie-du-ne ... 67017.html
____________________________________________

DESCRIPTION


Il s'agit d'un module complémentaire gratuit pour outlook qui va détecter et protéger contre les mails reçus contenant un ransomware en pièce jointe

Il est dispo pour les version 32 et 64 bits d'Outlook 2007, 2007, 2010, 2013, 2016, Outlook pour Office 365
Il fonctionne sur tous les OS de Windows XP SP3 à Win 10

Selon la FAQ il semblerait que la détection se base sur les extentions de type : .ace, .arj , .application , .bat , .cmd , .com , .cpl , .dll , .docm , .dotm , .exe , .gadget , .hta , .inf , .jar , .js , .jse , .lnk , .mdb , .mde , .msc , .msh , .msi , .msp , .pif , .potm , .ppam , .ppsm , .pptm , .ps , .ps1 , .ps2 , .psc , .reg , .scf , .scr , .shs , .sldm , .vb , .vbe , .vbs , .ws , .wsc , .wsf , .wsh , .xlam , .xlsm , .xltm

Les extensions .zip, .rar sont scannées (pour leur contenu)

Pour les Stés qui veulent l'utiliser la Privacy semble claire. https://www.synergy-usa-llc.com/privacy.html

Et concernant la collecte de données (source : FAQ) :

"Periodically we collect information such as the version of RansomSaver that you use and the number of threats that were removed by our application. The purpose of this is to help us offer you a better product. We display this info on this nice map : http://www.synergy-usa-llc.com/ransomsaver-onmap.html"

Pour les grandes administrations et stés, il est possible d'adapter le produit à ses besoins (pour un déploiement à grande échelle par ex)
Il suffit de contacter la sté (là par contre c'est leur coeur de métier, donc cela ne sera pas gratuit)

Le programme comporte des options

Outlook_Antiransom_ Options.png

Outlook_Antiransom.png

[Malekal_morte]

Merci pour l'info =)

Je ne suis pas sûr que bloquer les documents Word et Excel (qui sont vecteur on est d'accord) plaisent à beaucoup d'utilisateurs.
A voir.

En complément, il est possible de bloquer les extensions de fichiers depuis Outlook : Comment faire pour configurer Outlook de façon à bloquer des extensions de noms de fichiers de pièces jointes supplémentaires

[devadip]

slt
l'URL que tu donnes parisien est bloqué par Bitdefender Endpoint Security Tools (page non sur)

One engine detected this URL
URL https://www.synergy-usa-llc.com/
Host www.synergy-usa-llc.com
Downloaded file b39ab4701f0cf867c3627d108030ba9e365c33bcdd44d3cf5714e18fc65e2f05
Last analysis 2017-10-04 00:24:53 UTC
Detection
Details
Community
BitDefender: Malware

[Parisien_entraide]

slt
l'URL que tu donnes parisien est bloqué par Bitdefender Endpoint Security Tools (page non sur)

Tsss tsss :-)

Lorsque je fais ce genre d'article je teste le site, les liens et les fichiers


Bitdefender bloque parce qu'il doit lire "ransomware" (en fait il utilise un mot clé) et que le fichier sur la page d'origine peut lui poser problème vu son action (spectrum monitor) mais je peux t'assurer également que les scripts et objets de cette page sont "safe" et le programme proposé pour outlook est clean

Sur les fichiers inclus dans le .rar (j'ai réactualisé le test initial t pour toi)

https://www.virustotal.com/fr/file/6c4f ... 507409385/

et

https://www.virustotal.com/fr/file/75dc ... 507409397/

[devadip]

Slt
J'avais mis ça parce que sur le PC de ma femme, il y a bitdefender pro et qu'il le bloquait mais je me doute que si tu l'as mis, l'URL est clean.
De plus, je pense que 1 detection sur 65 sur virus total ressemble plus a une fausse détection même si celui qui detecte est bitdefender (donc le number 1 des AV)

[Parisien_entraide]

Slt
J'avais mis ça parce que sur le PC de ma femme, il y a bitdefender pro et qu'il le bloquait mais je me doute que si tu l'as mis, l'URL est clean.
De plus, je pense que 1 detection sur 65 sur virus total ressemble plus a une fausse détection même si celui qui detecte est bitdefender (donc le number 1 des AV)

1 detection sur 65 sur Virus total ? Laquelle ? Je viens de vérifier à nouveau et rien ne figure (même pour Bitdefender) idem avec d'autres scanner en ligne, Metascan, Virus Immune etc (je sais qu'ils ont chacun des limites) mais pour l'adresse du site, vu que Bitdendender prend le site à la racine, et comme je l'indiquais, le premier programme qui apparait vu sa fonction ne peut que déclencher des alarmes (un peu comme utiliser certains produits Nirsoft et Synsinternals)
En tous les cas le module de surveillance de Trend Micro (Brower Guard) pour les sites web lui ne bronche pas sur ce faux positif

[devadip]

erreur de ma part, c'est 1/64 détection par virus total
https://www.virustotal.com/fr/url/91159 ... 507475886/

bon après, on va se prendre la tête, c'est une fausse détection de la part de bitdefender, je donnais juste l'info que ça bloquait l'URL

a+

[Parisien_entraide]

erreur de ma part, c'est 1/64 détection par virus total
https://www.virustotal.com/fr/url/91159 ... 507475886/

bon après, on va se prendre la tête, c'est une fausse détection de la part de bitdefender, je donnais juste l'info que ça bloquait l'URL

Déjà avec virustotal on ne parlait pas de la même chose
Toi tu parlais du lien, moi des fichiers de l'archive

Pour le lien y a d'autres outils que l'analyse virustotal (analyse de la page, scripts, objets, regarder ce qui entre et qui sort etc)

Quant à Bitdfender.. il y a beau être numéro 1 suivant ton classement (disons qu'il est dans le trio de tête), mais classer un site comme néfaste, alors que ce qui l'incite à agir de la sorte est juste un programme de monitoring "safe" qui figure sur la page principale, le terme ransom, et le lien https://www.synergy-usa-llc.com/ransoms ... rview.html
Cela veut dire que l''analyse est plutôt basique...
Je viens de tester avec des DNS sécuritaires, et aucun n'a ce site dans sa base non plus

Par contre le site à une faille (mais je n'entrerai pas dans les détails car cela n'a rien à voir avec ce qui précède)