Habu

Comme on en parle depuis un moment, Windows 10 veut mettre en avant le Windows Store qui était totalement délaissé sous Windows 8 et Windows 8.1... [Tout lire]

Annoncé il y a un peu moins d’un mois par Amazon, Lumberyard fait à nouveau parler de lui avec une vidéo fort sympathique.

Par défaut, Firefox interroge quotidiennement le serveur Web de son éditeur à la recherche de mises à jour pour le navigateur et les installe automatiquement. Or ces recherches peuvent ralentir le démarrage de Firefox. Vous pouvez les désactiver.

Si vous utilisez Dropbox, vous pensez sans doute que vos données sont à l'abri sur les serveurs d'Amazon. Hé bien non ! Depuis 2014 Dropbox a entamé la migration des données de ses clients vers sa propre infrastructure, migration rendue publique hier.

Mon article sur Locky vous a beaucoup plus et j'en suis ravi. La bonne nouvelle, c'est qu'il est possible de s'en protéger avec pas moins de 5 parades que la société Lexsi a pris le temps de décrire ici.

La plus rapide étant de passer tout son OS en Russe pour le vacciner, je vais plutôt vous résumer la seconde solution, à la fois rapide et pratique quand on ne parle pas un mot de Poutinien. Attention, elle sera efficace uniquement avec les versions actuelles de Locky. Rien ne garantit qu'une version ultérieure de Locky ne contournera pas le souci.

Comme Locky essaye de créer la clé HKCU\Software\Locky dans la base de registre (regedit), il suffit de la créer avant lui...

et de refuser tous les droits d'accès sur celle-ci:

Et voilà ! Ainsi, en se lançant sur votre système, Locky se crashera comme une station Mir dans le jardin de Paco. Les autres solutions proposées par Lexsi sont un poil plus complexes, mais vraiment intéressantes. Je vous invite à les lire, ne serait-ce que pour votre culture personnelle.

Merci à Olivier pour le partage.

Cet article merveilleux et sans aucun égal intitulé : Locky – La solution pour s’en protéger ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Vous pensiez que Locky était méchant ?

Et bien c'est parce que vous ne connaissez pas encore Petya. Ce ransomware tout frais démoulé ne se contente pas de chiffrer vos petits fichiers pour les prendre en otage...

Non, non... Il chiffre la MFT (Master File Table - Table de fichiers principale) et remplace la MBR (Master Boot Record - Zone d'amorce) par son propre programme qui réclame alors de l'argent pour obtenir la clé de déchiffrement.

Pour se répandre, Petya utilise ce qu'on appelle des campagnes de spear-phishing, avec une série d'emails en allemand semblant provenir d'un chercheur d'emploi qui envoie son CV à télécharger via un lien Dropbox.

Si le destinataire est endormi, il va alors cliquer sur le lien, télécharger l'exécutable et le lancer. À ce moment-là, Petya écrasera la MBR, ce qui provoquera un écran bleu (ou autre couleur) de la mort et l'ordinateur redémarrera. Ensuite, c'est un faux checkdisk qui se lancera, faisant croire à une réparation du disque. En vérité, en arrière-plan, c'est la MFT (et tous les fichiers présents sur votre disque dur ? Ça reste à confirmer...) qui est alors chiffré.

Dès que le processus de chiffrement est terminé, un écran rouge avec une tête-de-mort apparaitra alors, réclamant 0,99 Bitcoin soit environ 366 € pour obtenir la clé de déchiffrement. Impossible de retourner sous Windows ou de le réparer.

En gros, une fois que Petya a fait son chemin sur votre ordinateur, la seule solution qui s'offre à vous est de réparer la MBR et réinstaller Windows. Ou de payer la rançon, mais ce n'est pas quelque chose que je vous conseille, car l'issue reste incertaine, la somme est élevée et ça encourage les criminels à continuer. Bon normalement, Dropbox est informé et fait ce qu'il faut pour supprimer les copies de Petya, mais il y a fort à parier que l'exécutable sera rapidement hébergé ailleurs.

Edit : Si ce tweet n'est pas un gros poisson d'avril, il semblerait que Petya encode la MFT simplement avec un XOR dont la valeur serait 7. Tout espoir n'est donc pas perdu.

Pour se prémunir de Petya, je vous invite à relire mon article sur Locky, mais en gros, pour faire court, c'est :

• 1/ Soyez vigilant sur ce que vous exécutez sur votre machine
• 2/ Faites des sauvegardes quotidiennes

Bonne chance et faites tourner. La prévention par l'information est la meilleure des protections (et ça rime, nom d'un ganglion !).

Ah et en bonus, voici une vidéo qui montre Petya à l'oeuvre...

Source

Cet article merveilleux et sans aucun égal intitulé : Petya – Un nouveau ransomware qui verrouille totalement votre ordinateur ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Après la chasse aux œufs de Pâques, voici de quoi amuser les plus grands avec deux lieux à visiter en immersion et à 360° : la Batcave de Bruce Wayne ainsi que les datacenters de Google dans l'Oregon. 

• Lire la suite

L'association d'automobilistes allemande ADAC a récemment publié un rapport inquiétant sur les voitures qui peuvent s'ouvrir et se démarrer simplement lorsque la clé est à proximité. Des voleurs peuvent en effet se servir d'un amplificateur radio pour dérober la voiture.

• Lire la suite

La bataille entre le Apple et le FBI vient subitement de prendre fin : l’agence n’a plus besoin d’aide pour récupérer les données chiffrées de l’iPhone verrouillé. La guerre n’est en revanche pas terminée, car le problème de fond n’a pas été réglé.

• Lire la suite

Cédric, créateur de Newsoo, fournisseur d’accès à Usenet français, s’est fait perquisitionner et saisir tout le matériel mardi dernier après une plainte de la SACEM. Si nous n’avons pu accéder au dossier, nous avons néanmoins pu échanger avec le principal intéressé qui nous livre son témoignage.

• Lire la suite

Jouable dans le cadre d'un accès anticipé depuis quelques semaines, Eternal Crusade s'offre une nouvelle carte de conquête de forteresse et rehausse le nombre maximum de joueurs sur ses serveurs.

Microsoft avait lancé hier un bot de conversation sur Twitter. Nommée Tay, cette petite intelligence artificielle devait apprendre rapidement des discussions et devenir capable de réagir. Malheureusement, les internautes lui ont surtout appris à lui dire des horreurs, provoquant son rappel en laboratoire.

• Lire la suite

L’application Google Maps aurait fait une erreur d’indication et aurait causé par la destruction de la maison de son propriétaire.

Aux États-Unis, une tornade a récemment touché la ville de Rowlett et causé de gros dégâts à de nombreuses habitations. La maison de Lindsey Diaz a subi de gros dégâts et celle-ci était en attente de réparation. À la place, cette propriétaire a eu la mauvaise surprise de retrouver sa maison complètement ravagée en rentrant.

Et ce serait Google Maps qui serait à l’origine de cette destruction puisque l’application de Google se serait emmêlé les pinceaux et aurait confondu deux adresses où pour l’une était prévu une démolition et l’autre une réparation, deux résultats totalement opposés. La destruction était prévue au 7601 Cousteau Dr et non au 7601 Calypso Dr, deux adresses qui se ressemblent légèrement, mais qui sont tout de même indiquées avec exactitude par Apple Maps et Mapquest.

Lindsay Diaz était en attente de ce permis de réparation et apprendra de sa voisine que celui-ci ne serait peut-être plus utile puisqu’elle venait d’apercevoir des grues en pleine démolition de sa demeure. Billy L. Nabors, l’entreprise en charge de la démolition, a envoyé des captures d’écran à la propriétaire afin de lui prouver que c’est bien l’application Google Maps qui lui avait indiqué exactement cette adresse et ils auraient donc suivi à la lettre les indications de l’application. L’entreprise ne s’est donc même pas excusée pour cette erreur monumentale et rejette la faute sur Google.

L’explication la plus logique serait que l’ampleur des dégâts de la tornade aurait compliqué les accès aux rues sur lesquelles ils s’engagent et que celle-ci aurait eu du mal à vérifier si l’adresse sur laquelle ils s’engageaient était exacte.

Néanmoins, on pourrait quand même considérer que c’est aux entreprises de démolition elles-mêmes de vérifier que leurs informations sont exactes et dans ce cas-ci qu’elles détruisent bien la bonne maison et non à Google. On espère tout de même qu’une solution sera rapidement trouvée pour la propriétaire de la maison.

Anthony Ortiz Beltran (St.)

Les chercheurs en sécurité de la firme américaine Bastille ont prouvé qu’ils pouvaient tromper le dongle d’une souris sans fil pour prendre le contrôle d’un ordinateur. La démonstration est effrayante et la portée de l’attaque importante.

C'est désormais officiel : LDLC et Materiel.net ne font plus qu'un. L'Autorité de la concurrence a validé l'opération  finalisée hier soir. Le cybermarchand lyonnais acquiert ainsi son concurrent, pour un prix global de 39,215 millions d'euros.

• Lire la suite

On s'éloigne gentiment du hardware informatique en parlant des liseuses de chez Amazon, mais ces petits engins ont du succès et vous êtes certainement nombreux à en avoir une sur la table de chevet. A noter que de nombreux anciens modèles de l'engin nécessitent que vous passiez par la case mise à jour avant ce soir minuit, car sinon ils pourraient ne plus arriver à se connecter en sans-fil, ce qui est gênant pour un appareil qui n'a pas de prise Ethernet... [Tout lire]

Depuis quelques semaines, pour une raison que j'ignore, j'ai de gros soucis avec YouTube. Impossible de regarder une vidéo en HD tellement ça met de temps à charger. Alors en attendant que ça revienne comme avant (foutu peering), j'ai trouvé un site qui s'appelle ProxFree qui fait office de proxy entre vous et YouTube.

Ceux qui étaient chez Free quand il y avait ce genre de soucis doivent connaitre. ProxFree dispose de plusieurs options intéressantes : Choix de la localisation du serveur proxy (plus c'est prêt de chez vous, plus c'est rapide), choix de l'IP de connexion à YouTube (pratique si vous voulez mater des vidéos censurées dans votre pays), et des trucs qui permettent de refuser les cookies, les scripts et de cacher votre user agent ou votre referer.

A bookmarker car diablement pratique ! ProxFree.

Cet article merveilleux et sans aucun égal intitulé : ProxFree – Pour contourner les limitations de Youtube (débit ou blocage par pays) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Videos show players playing demo that includes bazaar environment, combat

Du 14 au 18 mars 2016 se tient à San Francisco la GDC 2016, l'occasion pour de nombreux éditeurs et développeurs de nous présenter leurs dernières nouveautés. Paradox Interactive n'a pas été en reste et en a profité pour nous dévoiler Tyranny, le tout nouveau RPG développé par les talentueuses personnes de chez Obsidian Entertainment.

Il n'aura donc pas fallu attendre bien longtemps avant de pouvoir découvrir le nouveau RPG développé par Obsidian puisque rappelez-vous, Pillars of Eternity est sorti au début de l'année 2015 et son extension en deux parties a vu le jour durant l'été 2015 et en février 2016. Quoi qu'il en soit, revenons-en à Tyranny. C'est donc un jeu de rôle utilisant une vue 2D isométrique mettant en scène un monde où le bien et le mal se sont déjà fait la guerre, malheureusement, le mal a gagné. Les armées de Kyros, le grand méchant de l'histoire, ont répandu la terreur sur le monde et les habitants ont dû tant bien que mal s'adapter à ce nouvel état de fait.

Contrairement à ce que nous pourrions aisément penser, le joueur n'incarnera pas ici un villageois qui se rebellera et prendra la tête d'une résistance contre le grand tyran, mais jouera bel et bien un officier de Kyros. Nous devrons faire régner la terreur, la peur et rendre les habitants loyaux à leur nouveau seigneur. Toutefois et bien que nous pourrons exécuter tout simplement les ordres que l'on nous donnera, nous pourrons également choisir notre propre chemin vers une gloire bien plus personnelle et faire régner la justice.

Vous l'aurez compris, Tyranny ne devrait pas être un jeu très politiquement correct, mais l'on nous promet également de très nombreux choix et conséquences et il ne serait pas non plus étonnant de pouvoir se rebeller contre Kyros. Quoi qu'il en soit, il ne nous faudra pas attendre bien longtemps avant de pouvoir répandre le mal sur de pauvres paysans puisque Tyranny devrait bel et bien voir le jour en 2016. Sur ce, je vous laisse sur quelques images ainsi que sur un trailer.
 

Alors que la GDC bat son plein à Sans Francisco, Obsidian et Paradox ont décidé d’annoncer sans tambour ni trompettes leur toute nouvelle collaboration : un jeu de rôle en vue isométrique nommé Tyranny.

Vous êtes quelques-uns à m'avoir demandé d'écrire un article sur le nouveau malware qui fait rage en ce moment : Locky. Et bien voilà.

Qu'est-ce que Locky ?

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l'Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

Quels sont les dégâts qu'il engendre ?

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Voici les fichiers qui sont chiffrés et dont l'extension est changée en .locky (d'où le nom du malware...) :

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Le fond d'écran de Windows est lui aussi remplacé, affichant la même demande.

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

Enfin, si la victime visite l'un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un "déchiffreur" baptisé Locky Decryptor PRO. Déchiffreur dont l'efficacité n'a pas été prouvée.

Là où ça pose de vrais problèmes, notamment dans les entreprises, c'est au niveau des disques réseaux partagés. Locky chiffre aussi tout ce qui l'intéresse sur ces partages réseau. Et quand on sait que la plupart du temps, c'est à cet endroit qu'est partagée toute l'intelligence collective d'une société, il y a de quoi avoir de grosses suées froides.

Comment se protéger contre Locky ?

Comme je le disais dans mon dossier sur Cryptolocker, il n'y a pas 36 000 façons de se protéger de ce genre de choses. Tout d'abord c'est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l'adresse de l'expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé. Ensuite, je vous recommande de vous équiper d'un vrai antivirus : Norton, Kaspersky, ESET, F-Secure...etc. Évitez les AV gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles. Toutefois, l'antivirus n'est pas une solution miracle. Il peut vous protéger mais il ne faut pas non plus lui accorder toute votre confiance. C'est à vous d'être vigilant sur ce que vous ouvrez sur votre ordinateur.

Faites régulièrement les mises à jour de votre OS et de vos outils. N'activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites. Au pire, en cas de doute et de nécessité absolue d'ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu'un Word ou un Excel.

Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d'information auprès des employés pour les avertir et rappeler ces bonnes bases. Ensuite, concernant les partages réseau, passez en revue les droits d'accès (et on arrête de se loguer partout en tant qu'Administrateur de domaine, s'il vous plait ) et placez les données importantes en sécurité.

Enfin, et c'est de loin le meilleur conseil de ma liste : Faites des sauvegardes !!! Ailleurs que sur un partage réseau accessible à Locky évidemment. Ainsi, en cas d'infection, vous pourrez toujours récupérer vos données.

Comment savoir si vous êtes infecté par Locky ?

Vu ce que je viens de vous décrire, vous comprendrez qu'une infection par Locky saute aux yeux. Toutefois, pour en être certain, vous pouvez toujours vérifier que les clés de base de registre...

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
• HKCU\Software\Locky\id
• HKCU\Software\Locky\pubkey
• HKCU\Software\Locky\paytext

...ou les fichiers suivants sont visibles sur votre poste.

• C:\Users\(username)\AppData\Local\Temp\ladybi.exe
• C:\Users\(username)\Documents\_Locky_recover_instructions.txt

Si c'est le cas, félicitations, vous êtes dans la merde.

Comment s'en débarrasser ?

Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l'argent et vous ne reverrez pas plus vos données, car rien n'indique que le déchiffreur en question soit efficace. De plus, payer c'est encourager les cybercriminels à continuer ce genre d'opérations de chantage.

Concrètement, si votre ordinateur est infecté par Locky, je vous recommande les étapes suivantes :

• Faites le deuil de vos données. Soyez fort !
• Mettez de côté les disques durs infectés (ou faites en une copie) pour le jour très hypothétique où quelqu'un arrivera a pondre un outil pour récupérer vos datas.
• Achetez de nouveaux disques durs ou formatez les anciens et repartez d'une sauvegarde saine ou réinstallez un Windows tout propre sur votre machine.
• Puis reportez-vous au point "Comment se protéger contre Locky ?" de cet article.

Conclusion

Vous l'aurez compris, il n'y a pas de remède miracle contre Locky. C'est pourquoi, il faut que chacun prenne le temps d'informer ses amis, sa famille, ses collègues au sujet de ce malware afin d'enrayer sa propagation. Pour cela, je vous invite à leur partager cet article (ou un autre, peu importe) qui leur sera surement utile et qui les aidera peut être à éviter la catastrophe.

Sources :

• http://community.hpe.com/t5/Security-Research/Feeling-even-Locky-er/ba-p/6834311
• http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2
• https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
• https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
• http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-victims
• https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more
• http://phishme.com/locky-a-new-encryption-ransomware-borrowing-ideas-from-the-best/
• https://www.sensepost.com/blog/2016/understanding-locky/

Voici quelques astuces de la communauté pour se protéger contre Locky:

De Faco:
Bonjour,

juste inscrit, premier post.

Je suis admin réseau est j'ai eu le cas hier, donc je vais préciser un peu ( avec mes connaissance actuelles).

-Le message peux être en bon français (pas comme quand j'écris ^^), c'était le cas chez moi.
-La pièce jointe peu être un .doc avec Macro, un .exe ou un .zip (pour ma part, c’était un zip).
-Il s'attaque bien aux partages réseau (mes sauvegardes étaient de samedi, ouf ! )
-Avec un serveur windows, vous pouvez bloquer son action avec des restrictions de fichier. je vous donne les extensions que je filtraient plus la petite nouvelle "*.locky" :

filescrn.exe filegroup add /filegroup:"CryptoLocker" /members:"*.aaa"

filescrn.exe filegroup modify /filegroup:"CryptoLocker" /members:"*.aaa|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.vault|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_to_decrypt*.*|how_to_recover*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|*@gmail_com_*|*.*exx|*.*oshit|*.*nochance|*.*locked|*.*kraken|*.*kb15|*.*enc*|*.*darkness|*.*crypto|*.*AES256|*.*cry|*@india.com*|*cpyt*|*crypt*|*decipher*|*install_tor*.*|*keemail.me*|*qq_com*|*ukr.net*|*restore_fi*.*|*help_restore*.*|*how_to_recover*.*|*.exx|*@freespeechmail.org|*.*silasw9pa@yahoo.co.uk|*.*@mail2tor.com|*.*@scramble.io|*.locky" /Nonmembers:".~lock.*.odt#"

Beaucoup de programmes font des fichiers lock quand ils ouvrent des documents, cela peux donc poser problème. Donc dans le filtre de fichier, rajouter les "/Nonmenbers" afin de ne pas avoir de problème (ex ici avec un fichier .odt)

++

Edit :
Vous pouvez aussi faire des restrictions logiciels à l'aide de GPO en bloquant les exe et autres zip dans les différents dossiers temp de windows (utilisateur/systeme). Pareil, avec parcimonie, certains programmes colle des exe ou autre dans ces dossiers et ne sont pas des menaces, à identifier et autoriser.

De Sebiiiii:
Comme Faco, je m'inscrit enfin, pour relater mon expérience pro.
Un client a eu locky il y a 2 semaines.
Il est arrivé sans doute par PJ, sur un poste qui avait été désinfecté 2 semaines auparavant (sans doute restait-il un rootkit quelque part, eset antivirus pro ne l'a pas détecté et l'antivirus a été désinstallé dans cet intervalle de 2 semaines)
Oui, il va vraiment chercher tous les partages réseau, donc si votre "sauvegarde" est juste une copie sur un partage réseau, ce n'est pas bon du tout.
Pour le cas de mon client, un des serveurs hébergeant un programme spécifique n'était pas sauvegardé (une base gestion commerciale mdb de 700 Mo, alors que toutes les autres sonnées, plus de 2.5To, étaient correctement sauvegardées.)
Pas le choix, pas le temps d'attendre un décrypteur autre, la rançon (4 bitcoin dans leur cas) a été payée, en retenant son souffle quand à "l'honnêteté" du ransompirate.
Ouf, le système est automatisé, ça se voit, et les données ont été décryptées par l'exécutable envoyé.

Bref, pas glop, mais pour le business l'important est d'avoir récupéré les données.

De Jobpilot:
Nous avons été infecté par locky.
Comme c'est une personne assez importante dans l'entreprise qui à ouvert le fichier word et cliquer sur activer les macros (y a des giffles qui se perdent) ça nous à chiffrer plein de fichiers sur tous les shares réseaux ou il avait accès.

Ils nous a fallut 40min pour nous rendre compte qu'il y avait un problème.
Ils nous à fallut 5min pour isoler la machine (il était propriétaire des fichiers chiffrés) + 1h pour tester si d'autres machines (120 pc) étaient contaminé (si il y a des fichiers en .locky sur le disque dur C c'est qu'elle est contaminé) heureusement il était le seul contaminé.

Nous utilisons rsnapshot qui nous fait un snapshot des partages réseaux (1.3to) toutes les heures, donc à bloqué les deux serveurs qui font tourné rsnapshot.
après j'ai fait un script qui à chercher sur les serveurs de fichiers les .locky et qui les efface et un autre qui à fait un rsync -au depuis le dernier snapshot non contaminé en direction des serveurs de fichiers.

Bien sur les sauvegardes ne sont accessible que en sftp ou rsync. Résultat on a perdu peut être dans certain cas 40min de travail, par contre il nous a fallut tous le reste de la journée pour que tout rentre dans l'ordre.

Pour éviter les fichiers office piégé j'ai bloquer sur l'antispam (clearos) les fichiers office avec macro et ça à l'air de bien jouer.

Vous pouvez suivre toute la discussion et les astuces des Korbenautes sur le fil de discussion dédié.

Pour aller un peu plus loin dans les virus qui foutent la panique, mon dossier sur Cryptolocker:

Comprendre Cryptolocker et ses clones

Cryptolocker et ses dérivés comme CryptoWall, TorrentLocker, Synolocker ou CTB-Locker sont des chevaux de Troie d'un nouveau genre, qui prennent en otage les fichiers de la victime en les chiffrant.
Je vous ai concocté un petit dossier sur Cryptolocker et ses dérivés, et j'y ai ajouté une série d'outils pour éliminer le malware et récupérer vos données. J'espère que ça vous plaira....

lire la suite

Cet article merveilleux et sans aucun égal intitulé : Locky – Tout ce qu’il y a à savoir sur le malware du moment ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

The space exploration game will join "EVE: Valkyrie" when the Oculus Rift comes out at the end of March.

AnyDVD reprend du service quelques jours après la fermeture de SlySoft. C'est cette fois-ci RedFox qui exploite le logiciel et qui a également remis en route CloneDVD et CloneBD. Une bonne nouvelle pour les pirates de Blu-ray HD 4K ? Pas seulement.

Durant un court laps de temps, le client BitTorrent Transmission pour OS X a été contaminé par un ransomware. Celui-ci, KeRanger, est le premier à être réellement diffusé et fonctionnel sur cette plateforme. Il est recommandé de mettre à jour le logiciel aussi vite que possible.

• Lire la suite

La TNT s'apprête à ne plus passer qu'en MPEG-4. Si votre télévision ou votre décodeur n'est pas compatible, ce sera l'écran noir à partir de demain. Comment se préparer, quel décodeur acheter et comment obtenir de l'aide : on fait le point.

• Lire la suite

Alors qu'Apple et le FBI sont en pleine joute judiciaire au sujet du chiffrement des données des iPhone, sur fond de menaces terroristes, voici qu'Amazon créé la surprise en retirant le support du chiffrement des données sur la dernière version de FireOS.

Le simulateur d'algorithmes No Man's Sky est toujours vivant, et Hello Games vient d'ailleurs d'en dévoiler la date de sortie. C'est le 21 juin prochain sur PC et PS4 qu'on pourra voir (moyennant tout de même 59,99€) si on a affaire à un jeu ou un enchaînement d'écrans de veille. Des éditions limitées sont mises en vente pour les plus faibles d'entre nous. Rock Paper Shotgun et PC Gamer ont pu toucher à une démo et donnent pour le moment des impressions mitigées. L'effet de grandeur et la diversité des planètes forcent le respect, mais on ne sait toujours pas si No Man's Sky tiendra le coup à long terme et si les joueurs auront envie de renouveler l'expérience sur 18 446 744 073 709 551 616 planètes. No Man's Sky est déjà pré-commandable sur Steam et GOG. A un tel prix, préférez la version GOG que vous pourrez partager avec vos proches sans DRM et remboursée à hauteur de 6.40€ en crédits GOG pour compenser la tarification régionale. Et aussi parce que ça renfloue les caisses

Lire la suite sur Nofrag...

Si vous passez beaucoup de temps à monter des configs et installer tout le nécessaire dessus, voici un outil open source qui va vous faire gagner du temps sur l'aspect Drivers.

En effet, Snappy Drivers est le genre d'application portable indispensable qui permet en quelques clics d'installer ou de mettre à jour n'importe quel type de matos sur un ordinateur Windows (7, 8, 10, XP, Vista, etc.). Pas besoin de courir sur les sites des constructeurs ni de suivre les dernières mises à jour de pilotes pour être toujours à la pointe.

Snappy Drivers nécessite le téléchargement de packs de drivers et si vous voulez vraiment la totale pour être paré à toute éventualité, comptez plus de 11 Go de téléchargement.

Enfin pour ne rien gâcher à l'affaire, vous verrez qu'il est aussi possible de personnaliser le look du logiciel. Idéal si vous avez des goûts de chiottes.

Voilà en gros pour Snappy Drivers. Un bon petit outil qui devrait plaire à tous ceux qui font de la maintenance sur PC à longueur de journée !

Merci à Romain !

Cet article merveilleux et sans aucun égal intitulé : Snappy Drivers – Le couteau suisse du pilote logiciel ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Apple a finalement donné sa réponse au tribunal qui exige de l’entreprise, via une demande du FBI, le développement d’une solution capable de déverrouiller un iPhone dans le cadre d’une enquête. Elle y attaque les méthodes employées par l’agence fédérale et l’utilisation faite de certaines lois.

• Lire la suite

Par défaut, la corbeille est la seule icône présente sur le Bureau après l'installation de Windows. Pour faire de la place et l'avoir constamment sous la main, vous pouvez l'attacher à la barre des tâches. Vous pourrez ainsi facilement y faire glisser des fichiers à supprimer de votre ordinateur et la vider.