ADSL-BC

[Jared]

A tester, cela a sauvé un client cette semaine !

http://www.shadowexplorer.com/

Il n'y avait pas de versions précédentes mais pourtant SE a retrouvé une shadow copy de quelques jours avant le cryptolocker

[Pierre.]

De toute manière le but de ces bidules est avant tout de chiffrer les fichiers utilisateurs car ce sont ces derniers qui ont de la valeur.
Chiffrer les fichiers système, ca risque juste de rendre la machine inutilisable et ce qui rend plus difficile l'affichage du message pour réclamer de l'argent... donc pas forcément besoin de droits admin.

Il en a besoin des droits d'admin pour supprimer les points de restaurations via lesquelles il serait possible de restaurer les versions précédentes des fichiers.

C'est là que je me rend compte que la gestion de windows devient quelque chose de très lointain pour moi!

[mackguil]

A tester, cela a sauvé un client cette semaine !

http://www.shadowexplorer.com/

Il n'y avait pas de versions précédentes mais pourtant SE a retrouvé une shadow copy de quelques jours avant le cryptolocker

Déjà essayé mais nada pas de restore point, merci.

[jibi049]

Attendre ou passer l'éponge, dans ce cas

[mackguil]

Attendre ou passer l'éponge, dans ce cas

En plus le mec est de bonne composition, il avait trois sauvegarde (2 hdd usb et un nas syno) toutes connectées au pc et bien évidement cryptées...

[jibi049]

Merde alors ! c'est vraiment pas de bol...

[mackguil]

Merde alors ! c'est vraiment pas de bol...

BAh, il le fera plus attention à ce qu'on lui dit la prochaine fois.

[Cygace]

rien ne protège contre les ransomwares sauf un ou deux produits pros sur le marché

[mackguil]

Je viens de crée un fichier de signature car le type de fichier à retrouver n'est même pas reconnu dans la base de données de tesdisk et essayer de scanner le la partition mais sans grand espoir.

[mackguil]

rien ne protège contre les ransomwares sauf un ou deux produits pros sur le marché

Une solution de backup multi-version devrait faire l'affaire.

[prozacd70]

Il dit qu'il n'est plus en activité..
https://korben.info/pages/Cryptolocker/ ... ocker.html

[mackguil]

Il dit qu'il n'est plus en activité..
https://korben.info/pages/Cryptolocker/ ... ocker.html

Heureusement ... cinq infections sur le mois de mars dans mon entourage.

[ced64k]

C'est arrivé chaque fois via des faux emails genre bpost ?

Je vois que pour les mails UPS envoyés par CTB-Locker c'est via un word attaché qui demande d'autoriser les macros...

[mackguil]

C'est arrivé chaque fois via des faux emails genre bpost ?

Oui toujours par mail avec un fichier joint.

[tntuner]

Pour by-passer les antispams, j'ai vu un mail frauduleux qui contenait un PDF attaché. Et le lien qui conduisait sur la page de phishing se trouvait dans le PDF.
Ils sont de plus en plus malins pour contourner les anti-spams et anti-virus des boites mails.

Pour revenir à cryptolocker et autres "encrypteurs" du genre, il faut voir quel type de fichier est attaché dans le mail et modifier l'exécutable qui va les ouvrir par défaut.
Souvent ce sont des .HTA ou des .REG. Pour se protéger, une idée est de modifier la base de registres en conséquence (par exemple les ouvrir avec notepad).
Evidemment, c'est à titre préventif.

[mackguil]

..pour se protéger, une idée est de modifier la base de registres en conséquence (par exemple les ouvrir avec notepad).
Evidemment, c'est à titre préventif.

Le souci dans le dépannage, c'est toujours du curatif.

[ced64k]

Dans ces cas-là ça cible quand même des utilisateurs très lambda. Faut ouvrir une pièce jointe d'un email à priori assez louche et autoriser une modif dans la base de registre ou de lancer une macro...
Par contre on dirait que ça peut aussi arriver en visitant un site web via du javascript: https://nakedsecurity.sophos.com/2016/0 ... tachments/

[mackguil]

Dans ces cas-là ça cible quand même des utilisateurs très lambda. Faut ouvrir une pièce jointe d'un email à priori assez louche et autoriser une modif dans la base de registre ou de lancer une macro...
Par contre on dirait que ça peut aussi arriver en visitant un site web via du javascript: https://nakedsecurity.sophos.com/2016/0 ... tachments/

La plupart des dépannages sont des clients lambda, ceux qui font vraiment attention sont assez rares.

[tntuner]

C'est ce qui nous différencie des gens lambda...