Wcrypt; l'enfer des rançongiciels en action en ce moment
Bonjour, bonsoir !
Un rançongiciel sévit actuellement dans plus de 99 pays différents et se propage très vite car il utilise dans son code d'infection non seulement le chiffrement du poste, mais aussi la découverte des postes environnants.
On compte déjà parmi les victimes l'opérateur Téléfonica (IT Espagne) et le NHS du Royaume uni, ce qui est très problématique dans le cas du dernier car des vies humaines sont en jeu.
Pour la partie technique:
Le rançongiciel-ver utilise du code révélé par le groupe TheShadowBrokers et utilisant la faille MS17-010 entre autres pour se propager à cette vitesse.
Selon la carte de Malwaretech, il y aurait actuellement plus de 78 000 machines infectés et cela ne fait qu'augmenter:
https://intel.malwaretech.com/botnet/wcrypt/
Pour vous donner une idée de la crise actuelle, un indicateur de santé de l'Internet est passé en Yellow, ce qui n'était plus arrivé depuis 2015.
LOG OFF
C'est de pire en pire les ransomware. Il y a 2 mois une secrétaire à mon taff pourtant bien briefée depuis 20 ans sur les dangers des pièces jointes s'est faite avoir. Je me suis rendu compte de la boulette 30 minutes après le click fatal. 70% des 2To de notre commun était déjà crypté. Fort heureusement tous nos serveurs sont virtualisés et j'enregistre des snapshoots toutes les 3heures. Comme c'est arrivé le matin première heure, on a perdu seulement 1 heure de donnée et le fonctionnement de l'entreprise a "juste" été perturbé pour la journée.
Plus récemment, il y a quelques jours. Je reçois un mail du support d'un fournisseur que l'on utilise régulièrement qui me demande de cliquer sur un lien. Le mail est conforme à ce que l'on reçoit d'habitude, le lien affiché est correcte, idem pour la cible. Tout semble ok. L'adresse de l'expéditeur est légitime aussi. N'ayant ouvert aucun ticket récemment je me méfie. J'ouvre une session en local, sans aucun droit réseau et je clique. Bingo mon navigateur ouvre pendant 1 seconde une adresse de merde, puis ensuite quelques fenêtres DOS. Encore quelques secondes de plus et mon fond d'écran est changé par une demande de rançon et bien sûr mon disque dur (sans rien d'important dessus) s'en retrouve crypté.
Bref j'ai été choqué car même si je voyais arriver l'arnaque gros comme une maison, le mail a su générer assez d’attrait pour que je clique, ce qui est une première pour moi. (j'imagine même pas les dégâts sur un utilisateur lambda qui n'est pas briefé et qui clique partout sans réfléchir.
C'est encore plus drôle quand les utilisateurs devant l'incapacité d'ouvrir la pièce jointe ce la renvoie entre eux.
Je me fait pas trop d'illusions, J'imagine que sur du Windows il y a en permanence une multitude de 0day bien sale qui circulent en permanence. Sans compter la multitude de hack connu mais qui tardent d'être détecté par tous les antivirus (j'utilise ESET NOD 32).
Il n'y a pas de secret tous le monde et vulnérable. Prévention, vigilance et sauvegarde.
J'avoue que je ne comprend pas non plus comment avec un lien seulement ils peuvent faire quelque chose...
Les mise à jour nécessaires actuelles pour tout les Windows sont reprises là:
https://www.reddit.com/r/pcmasterrace/comments/6atu62/psa_massive_ransomware_campaign_wcry_is_currently/
A bon entendeur !
Csb : Le serveur de ma boîte s'est fait ransommé il y a un mois environ. Ce qui arrive bien évidement juste après qu'on vire le responsable IT (qui était un blaireau, mais au moins connaissait les différents mots de passe pour réinstaller).
Enfin bref, j'ai galeré comme un pourri parce que je suis technique mais pas infra, du coup mes appris ne sont pas encore toutes réinstallé, on a perdu des données client critique. Du coup on est en train de passer chez Amazon (si quelqu'un sait faire des import d'hyper-v vers Amazo' d'ailleurs, mp direct).
Pour ceux qui se demande, quand j'ai contacté le pirate i' nous a dit : 5 bitcoin aujourd'hui, 7 demain.
Pour info, 1 btc ~ 1100€
Je te conseille juste de regarder le taux de change actuel du BTC:
Le 13/05/2017 à 03:44 GMT+2 1BTC égal 1513€
Pour ton problème d'import, il y a un tool chez AWS pour ça: https://aws.amazon.com/fr/ec2/vm-import/
;)
On est bien d'accord qu'une fois infecté sois t'as une sauvegarde sois t'es baisé?
J'ai lu que seulement 1/5 entreprise avait perdu leurs données, ce qui me parait peu vu que de ce que je sache, les ransomwares ont aucun mal à crypter tes données avec des méthodes suffisamment complexes (ya qu'à voir ce que permet veracrypt) pour être absolument indéchiffrables nan?
questions
faitsdivers
actualites
choc
politique
musique