(3 vote(s), 
Loading...Mikaël de T2T nous propose une courte vidéo sur le déclencher d'une charge envoyée par email :
Les ransomware restent une vraie plaie encore aujourd'hui, chez les particuliers mais aussi et surtout en entreprise. La chaîne de sécurité doit permettre d'éliminer ces risques avant qu'ils puissent être exploités : en frontal sur les serveurs mails ou MTA exposés puis sur les postes utilisateurs avec un antivirus à jour et bien configuré. Le ransomware ne sera pas nécessairement détecté par l'antivirus mais le comportement de la charge téléchargée peut être plus ou moins reconnue. Les plateformes de sandboxing sont très utiles et peuvent fonctionner très rapidement grâce au hash des fichiers malveillants sur le même principe que virustotal.
Des GPOs peuvent également permettre d'éviter le lancement de macros venant de sources non connues. De même que si vous avez un serveur windows en partage de fichier alors utilisez ces règles FSRM. Si vous utilisez des SAN d'autres outils payant existent chez Varonis ou Data Insight par exemple.
Enfin : aucun utilisateur ne doit être administrateur de son poste (et encore moins du domaine!) plus l'utilisateur a des droits plus les dégâts vont se propager dans le système et dans l'entreprise. Dans beaucoup de sociétés on trouve encore des utilisateurs "VIP" qui pensent que leur position hiérarchique leur procure un bouclier magique et le droit de faire n'importe quoi sur le poste, que voulez-vous... ce sont souvent ceux-là qui confondent aussi smartphone perso et pro et grâce à qui toutes les adresses email de la boite fuitent grâce à des applications tierces installées sans aucun contrôle, bref !
Si vous êtes un particulier alors je vous conseille chaudement d'installer RansomFree qui fonctionne en protection résidente et détecte des comportements associables à des ransomware.
Je vous déconseille également de mémoriser les identifiants de vos NAS dans Windows, cela limitera les chances d'un malware qui se lancerait au boot de contaminer votre NAS. Personnellement j'utiliser un NAS Synology dédié pour mes sauvegardes avec un stockage chiffré que je démonte une fois le backup terminé. Bien sûr tout cela part aussi sur disque externe pour palier au vol, incendie, etc. Oui c'est un peu chiant de ressaisir votre mot de passe, mais le jour où vous perdrez des données cette contrainte semblera bien futile.
6 commentaires
Je suis régulièrement votre blog et tout aussi régulièrement je suis vos recommandations.
Dans ce billet, vous conseillez chaudement aux particuliers d'installer RansomFree. Ce que j'ai fais.
L'installation faite au cours d'une session, le logiciel est actif pour le reste de la session. Mais si vous arrêter votre PC et que vous le redémarrez le lendemain par exemple, le logiciel se lance et environ 5 minutes après il se met en erreur avec le message suivant : "Cybereason RansomFree protection has been disabled due to an unexpected error. Please restart your computer in order to enable protection." Puis une deuxième message : "Une exception non gérée s'est produite dans votre application. Si vous cliquez sur Continuer, l'application va ignorer cette erreur et essayer de continuer. Si vous cliquez sur Quitter, l'application va s'arrêter immédiatement. Le thread actuel doit être en mode STA (Single Tread Apartment) avant que des OLE puissent être effectués. Assurez-vous que votre fonctgion Main est marquée comme STAThreadAttribute."
Avez-vous ce type de problème et ce type de messages avec votre installation ?
Merci à vous.
@dregnier: non je n'ai pas rencontré ce souci. Après le redémarrage est-ce que l'application est présente en barre des tâches ? Si non, Je vous invite à désinstaller l'application pour la réinstaller ensuite. Si le problème persiste contactez directement RansomFree pour leur demander assistance.
Bonjour,
L'application est présente en barre de tâches.
J'ai réalisé une désinstallation et réinstaller ensuite mais pas d'améliorations.
J'ai pris contact avec RansomFree et j'attends leur réponse.
Petite précision : Si vous ne désinstallez pas le logiciel et que vous lancez l'application comme pour une première installation, il vous est proposé de réparer. Vous cliquez sur "Repair" et "Finish", l'iône dans la barre de tâche avec un point d'exclamation rouge disparaît et deux secondes après réapparaît et RansomFree est actif pour toute la session en cours.
Merci de votre retour
Autre constat :
RansomFree crée 2 dossiers cachés sous "Documents" avec un certain nombre de fichiers aux appellations absconses et qui laisserait entendre qu'il s'agit de dossiers et fichiers créés par je ne sais quel virus.
Après un clic droit sur l'icône dans la barre de tâches et la sélection de "Pause ... for 1 hour" vous verrez ces dossiers disparaître et réapparaître si cette fois vous cliquez sur "Resume ..."
Complément :
Ce ne sont pas 2 dossiers cachés créés sous "Documents" mais beaucoup plus.
A savoir, les 2 dossiers cachés précédemment cités + 2 dossiers par disques connectés. Personnellement, j'ai 2 SSD et 1 HDD, ce qui me fait un total de 8 dossiers cachés.
Je trouve que cela fait un peu beaucoup ....
Idem pour ces dossiers cachés dont j'aimerais bien connaitre la signification.
Quelqu’un sait?