RANSOMWARE

Bonjour,

une attaque en règle d'un ransomware est en cours via ONEDRIVE. Attention, si l'attaque réussit, cela va crypter la totalité des données des PCs reliés à ce compte !!!!
Perso, j'ai 2 PCs qui ont été cryptés + une attaque en règle sur 2 autres de mes serveurs que j'ai pu stopper à temps.
Par ce biais, cela passe AU TRAVERS des anti-virus et donc extrêmement dangereux.

Ce que je peux conseiller :
- Supprimer ONEDRIVE
- Mettre à jour vos PCs avec la dernière version de Windows 10 qui inclue un bloqueur de RANSOMWARE (cela m'a sauvé mes serveurs)
- Analyser COMPLETEMENT vos PCs et disques de sauvegardes

NE PAS PAYER LA RANCON DEMANDEE : 2000$ par PC

Bonne journée

c’est quoi one drive???

C'est comme le Google drive ou Dropbox mais de chez Microsoft.

Encore un avantage du NAS QNAP et de leur "SnapShots"



1 modification(s), le 13/11/19 17:57 par robrub.

Pour info, j'utiliSAIS OneDrive avec mon pack Office, pas pour le cabinet.
Vu le temps que j'ai pris pour réinstaller 2 PCs et en sécuriser 4 au final, Il sera désinstallé SYSTEMATIQUEMENT, ce que j'ai fais sur tous mes PCs sous maintenance (1 bonne centaine !!!!)
Pour rappel, OneDrive est installé d'OFFICE avec Windows 10, aucune option pour l'en empêcher pour l'instant

Cela n'a donc rien à voir avec un NAS. Et juste pour la "petite histoire", OneDrive gère aussi les "snapshots" sur 30 jours, et ce ransomware datait du mois d'août et était en "sommeil".

Dans le cas des NAS, j'ai eu le souci de ce type d'attaque il y a deux chez un client utilisant un SYNOLOGY et vu la technologie du "sommeil", il a tout perdu sur ses disques, heureusement qu'il m'avait écouté en effectuant des sauvegardes sur disques externes "tournants", ce qui m'avait permit à l'époque de "nettoyer" ses sauvegardes AVANT de les réinstaller.

solution rester sous seven, non?

@riemer

Oui, bien sûr que les Snapshots n’éliminent pas la nécessité des sauvegardes. C'est juste pour avoir les données sous la main et de pouvoir remonter loin dans le temps.

Un "snapshot" qui reste "accessible" à Windows, n'est pas hors danger. Chez QNAP, il ne sont visibles QUE par l'interface du NAS. De toute façon, il faut avoir un moyen rapide de TOUT réinstaller Windows, programmes etc (avec un image disk fait régulièrement).

Riemer le sait mais pour les autres : ne JAMAIS brancher une sauvegarde ou copier des données AVANT d'avoir formaté le disque et réinstallé Windows.

@Jérome Non, Win 7, 8 ou 10 ne change rien



1 modification(s), le 14/11/19 09:08 par robrub.

@ jerome, non je pense que l'on est mieux protégé en mettant à jour
à noter les nas rnetgear ne supporte plus l'AV qui était intégré, Netgear dit et recommande un AV sur le pC qui serait suffisant.

Oui, un AV sur PC est bien mais UNIQUEMENT si le NAS n'est pas utilisé comme serveur. Sinon, plusieurs PC avec chacun leur AV vont essayer de "sécuriser" le NAS et ça sera le bordel.

Pour le randsomware, la seule chose qui marche sont des sauvegardes qui ne sont pas connecté (physiquement ou informatiquement) aux PC.

Robby

Bonjour,
@riemer : cela veut-il dire que le ransomware crypte les PC à distance, sans l'ouverture d'un quelconque fichier suspect sur onedrive ?
Je n'ai pas bien compris ...
Eric

Sauf erreur de ma part (je n'ai pas suivi les infos dessus depuis qq temps), il faut exécuter le fichier pour qu'il puisse s'installer (mais le "fichier" peut autre chose qu'un fichier .exe )

C'est ce qu'il me semble Robby, d'où la vigilance à porter sur tous les mails et leurs PJ.
Mais j'aimerai savoir si, dans le cas de riemer, onedrive et les pc connectés ont été contaminés tout seul, ou bien s'il y a eu une inattention, ce qui peut arriver à tous.

En l'occurrence, c'est encore plus vicieux. C'est une dll de Windows si est signée qui a été intégrée dans un document qui a exécuté le ransomware à retardement.
Il ne faut pas oublier que c'est un business de bandits si rapporte énormément d'argent.
Ils se sont donnés les moyens techniques pour cela
La version 1909 de Windows 10 a intégré une plus grande puissance de protection pour cela a condition que cette saleté ne soit pas déjà présente.
Un moyen de le savoir simple dans le cas du mien
TeamViewer est planté et non teinstallable

@Laurent et robrub, ben j’ai pas onedrive, si il est installé par défaut sur win 10, mieux vaut ne pas upgrader surtout si comme moi on n’en a pas l’utilité.

Il faut Upgrader, c'est ce qui a sauvé plusieurs de mes PCs qui ont détecté et bloqué ce logiciel. Pour rappel, W7 ne sera plus maintenu à partir de Janvier et W10 1909 intègre une sécurité spécifique à ce type d'attaque, ce qui n'est pas le cas de W7
Kaspersky a annoncé ce week-end avoir détecté une attaque massive en Asie (pour l'instant) de ce type et qu'AUCUN ANTI-VIRUS actuel, y compris eux, ne sait contrer. La seule solution est la version intégrée de W10 d'après eux, et pour qu'ils disent du bien d'un concurrent, ce n'est pas à prendre à la légère.
Après, vous faites comme vous voulez, mais faites des sauvegardes sur des disques "tournants" et contrôlez les régulièrement. Cela évitera la casse au cas où

Autre entrée : Vérifiez si dans la racine de votre disque C: si un soft appelé program.html est présent. Si c'est le cas, supprimez le, nettoyez le disque par l'utilitaire adéquat et ANALYSEZ votre PC et tous les PCs connectés à celui-ci. En prenant en compte également les clés USB et disques externes. Je rappelle que c'est un "agent dormant"



1 modification(s), le 14/11/19 12:44 par riemer.

En clair,
Aucun PC du cabinet avec des bases de données ou sauvegardes sur sites externes (D’ailleurs comme il est question de données médicales, a-t-on le droit de le faire ?)
Messagerie sécurisée dédiée aux échanges pro
Messagerie sous un poste linux pour touts les autres échanges, dissocié du reseau du cabinet
Jeu de sauvegardes sur DD ext
Ce qui finalement est simple à gérer

Je rappelle que OneDrive n'est pas là pour les données médicales mais installé d'office (c'est le cas de le dire) avec le Pack Office Microsoft (toutes versions). C'est là qu'est le danger

En ce qui concerne les messageries, et j'en sais quelque chose vu que je viens de le subir, TOUS LES FICHIERS des disques durs sont cryptés, y compris dans les répertoires cachés et protégés car il se greffe dans une DLL système de Windows !!!

Donc pouvez vous me confirmer que si je n’ai pas One Drive, je suis protégé de ce ransomware spécifique?

Celui là, oui, pour sa diffusion sur l'ensemble de vos PCs, mais il en sort tous les jours en ce moment. C'est le nouveau type d'attaques lucratives des hackers des pays de l'Est et d'Asie.

Il faut juste respecter les règles de sécurité indiquée ci-dessus et avoir Windows 10 à jour car il inclut une protection contre ces attaques