MAJ RDP victime du ransomware Blackout - Virus/Spywares - Windows & Software
Marsh Posté le 18-08-2017 à 08:55:33
Pour un NAS, les plus connu sont Synology et QNAP, ils ont chacun toutes sortes de modèles, en fonction du nombres de disques que tu veux.
Mais attention, un NAS n'est pas protégé contre les Ransomware, expérience vécue au taf...
Marsh Posté le 18-08-2017 à 09:40:09
naglefourbe a écrit : j'ai investigué un peu pour savoir d'où ça venait et je pense avoir trouvé : une vieille version de µtorrent exécutée en admin. Vieille version parce que *insérez ici le nom d'un tracker privé* et en mode admin parce que *bordel de ports avec le VPN*. La MAJ du stockage en ligne était longue (3 jours et demi), je n'ai pas attendu pour faire autre chose. est-ce qu'il y a d'autres services comme nomoreransom pour identifier et guetter une solution ? sachant que je peux mettre côte-à-côte un fichier chiffré avec sa version non chiffrée et la clé publique, ça n'aide pas ? |
J'ai quelques doutes sur la source de l'infection... même si il ne faut pas garder sur son disque dur des logiciels en version obsolète, car on n'est jamais à l'abri d'un Web Exploit qui tire partie justement des logiciels non à jour et ayant des vulnérabilités (Pour Blackout je ne sais quelle méthode il utilise)
Vu que le ransomware "Blackout" est assez récent il faudrait déterminer à quelle classe il appartient avant de se lancer à l'aide d'outils pour se dépanner tout seul
En plus si le ransomware n'est pas connu ou peu, les "chercheurs" se voient privés de ce qui a causé l'infection (Dropper, executable etc)
Pour trouver la classe (si cela fonctionne)
https://id-ransomware.malwarehunterteam.com/
Cela ne donnera pas obligatoirement une solution mais permet d'orienter la recherche avec la possibilité "un jour" de trouver l'outil adéquat
Les principales sources d'infection d'un ransomware, le sont pas le biais d'emails comportant des PJ en javascript ou VBS (utiliser un logiciel tiers comme thunderbird et non la messagerie de Microsoft va aider)
En juillet il y a eu une grosse avalanche d'emails vérolés
Un élément important : Sécuriser les navigateurs WEB et :
A lire :
https://www.malekal.com/virus-powershell/
https://telecharger.malekal.com/download/marmiton/
Pour le navigateur, il n'est pas inutile d'installer (Firefox) : No Script, Ublock Origin, (c'est le minimum pour éviter de se retrouver sur une page infectée avec un Js malveillant qui va s'activer à la première visite)
Sinon tu peux demander à Malekal si il en sait plus sur ce ransomware :
https://forum.malekal.com/viewforum.php?f=3
Marsh Posté le 18-08-2017 à 10:36:10
hello,
merci pour les réponses
j'élimine tout de suite les pièces jointes vérolées, je ne consulte même pas de messagerie sur la machine incriminée. L'infection et les dégâts ont eu lieu pendant la nuit, les seules choses en cours étaient Utorrent et une page Amazon Photos où j'uploadais les photos (Microsoft Edge, deux onglets ouverts : l'upload Amazon photos et gestion de l'espace Prime). Les dossiers photos étaient sûrs puisque hors tout depuis 4 à 5 mois... Je parle de Utorrent pour l'avoir lu au sujet de Blackout justement. Le blocage aurait pu se faire via l'UAC mais j'exécutais Utorrent en admin. Je m'en bouffe les doigts, même si en croisant les vieilles saves de HDD qui traînent je n'ai pas trop perdu (en trucs perso, le reste c'est mort).
Marsh Posté le 18-08-2017 à 12:06:49
naglefourbe a écrit : hello, |
Le problème d'uTorrent, ce sont les sources de téléchargement du logiciel (souvent livré avec un malware, ou ces derniers mois avec un logiciel invisible de minage de bitcoins). A partir de là uTorrent ne sert que de tremplin mais n'est pas la cause première de l'infection (hormis ce qu'on télécharge évidemment :-)
Quant à la faille d'utorrent, la dernière connue date de quelques années (et pas de soucis depuis la 1.7.7)
Sinon tu as un lien pour l'association uTorrent et Blackout ? (j'ai rien vu dans mes flux rss à ce sujet)
Marsh Posté le 18-08-2017 à 13:47:06
ha ? pourtant depuis mai 2017 il y a eut pas mal de choses, juste google les deux termes et y a du résultat (ransomware+utorrent). bon je les ai découverte APRES forcément... perso c'était une version 1.6 je crois, je peux même pas checker je l'ai déjà désinstaller. mais si quelqu'un se souvient des versions "conseillées" sur l'ex-T411 ben voilà
le souci vient des pubs présentes sur utorrent en fait, qui exploitent une faille. je ne suis pas allé chercher plus loin, je vais choisir autre chose comme client torrent, forcément.
Marsh Posté le 18-08-2017 à 15:19:02
naglefourbe a écrit : |
Sauf que les ransomware ne marchent pas comme ça.
Ce sont des fichiers qui sont sur des partages réseaux qui ont été chiffrés ? donc c'est n'importe quelle machine qui a accès à ces partages qui peut avoir fait ça, bien que les fichiers chiffrés soient sur ton serveur, c'est pas nécessairement le serveur qui a été vérolé.
Et là où c'est vicieux, c'est que pour éviter d'être facilement repérés par les AV comportementaux, la majorité de ces ransomwares ne se cale pas au boot ni rien. Au prochain reboot de la machine infectée, tu ne trouve plus rien.
naglefourbe a écrit : |
Ce sera pareil avec un NAS. N'importe quelle machine qui aura accès aux partages pourra potentiellement les chiffrer.
Marsh Posté le 18-08-2017 à 15:38:20
Sans compter ce qui est téléchargé potentiellement infecté ... (rarement des distribs Linux )
Il y a des habitudes à changer.
Marsh Posté le 18-08-2017 à 17:03:43
flash_gordon a écrit : |
il n'y avait que cette machine en route depuis 16/18H d'affilée sur le réseau (même pas la télé en wifi). et il n'y a pas que les dossiers partagés qui ont été chiffrés.
flash_gordon a écrit : |
haaaa ok zut. et utiliser un système de fichier plus exotique est potentiellement protecteur ? (je pense au NAS toujours)
Marsh Posté le 18-08-2017 à 17:06:40
nex84 a écrit : |
là je peux rien dire, je vais même pas tenter de justifications foireuses. (et même les OS libres je les télécharge directement )
Marsh Posté le 18-08-2017 à 17:32:20
naglefourbe a écrit : |
Ben non.
Les ransomware ne font rien que les utilisateurs ne peuvent pas faire manuellement, il n'y a même pas besoin d'élévation des privileges ni d'avoir des droits admin.
A partir du moment où un utilisateur a accès en écriture à un fichier, il peut le renommer, le supprimer, ou le chiffrer. Quelque soit le système de fichier.
Et ben c'est exactement ce que font les ransomwares. Rien de plus que ce que peut faire un utilisateur avec ses droits actuels. Il liste les fichiers accessibles par l'utilisateur qui a lancé le truc, et les chiffre un par un, exactement comme pourrait le faire n'importe quel utilisateur mal intentionné.
Marsh Posté le 18-08-2017 à 18:48:08
ok pigé.
c'est pour ça que mes fichiers sont chiffrés par date d'accès et non par dossier ? je me demandais pourquoi les timestamp ne se suivaient pas.
Marsh Posté le 18-08-2017 à 19:31:18
Oui, il commence par les derniers modifiés, en théorie ce sont ceux pour lesquels tu es censé tenir le plus.
Marsh Posté le 18-08-2017 à 20:36:37
naglefourbe a écrit :
|
En fait ton infection est venue par les régies de pubs qui apparaissent dans uTorrent, que ta version soit à jour ou pas, et qu'elle soit en admin ou pas
Une solution rapide : http://www.abelhadigital.com/hostsman
Il peut entrer en conflit avec certains antivirus comme AVIRA qui protègent le fichier HOSTS. Il suffit dans l' AV de désactiver la fonction lorsqu'on fait la mise à jour avec les listes déjà installées dans le programme
Ne pas oublier, si le programme ne le fait pas à l'install, de désactiver le fichier le services "Client.DNS" sinon gros ralentissements à prévoir
Ensuite dans les options tu peux faire les MAJ en automatique ou en manuel (tu complètes ta protection par ce qui a été dit auparavant)
Marsh Posté le 19-08-2017 à 09:13:41
hello, l'url que tu laisse ne m'envoie nulle part c'est un soft qui guette les arrivées non désirées à partir d'une base de données ?
j'ai passé la machine qui me sert de serveur sous bitdefender 2018, le module dit "anti ransomware" est assez agressif.
edit : ok le site est dispo mais je n'y accède pas, j'ai peur ^^ je vais vérifier mes DNS...
re-edit : note pour plus tard, avec les DNS Google 8.8.8.8 et 8.8.4.4 le site est en erreur et inaccessible. j'ai pris les premières sur OpenNIC et ça roule
Marsh Posté le 19-08-2017 à 11:48:07
naglefourbe a écrit : hello, l'url que tu laisse ne m'envoie nulle part c'est un soft qui guette les arrivées non désirées à partir d'une base de données ? edit : ok le site est dispo mais je n'y accède pas, j'ai peur ^^ je vais vérifier mes DNS... re-edit : note pour plus tard, avec les DNS Google 8.8.8.8 et 8.8.4.4 le site est en erreur et inaccessible. j'ai pris les premières sur OpenNIC et ça roule |
Alors j'ai testé...
j'ai le DNS principal de NTT, http://www.alextesi.com/2013/05/14 [...] ces-world/
et en secondaire celui de Comodo https://www.comodo.com/secure-dns/ (il bloque certains sites considérés comme dangereux, mais aussi certains sites de P2P etc)
En jouant avec les DNS j'ai accès à la page principale et au téléchargement
http://hostsman2.it-mate.co.uk/Hos [...] taller.zip
Par contre le forum est au tas (pour le détail par ex de la mise à jour)
Pour les "'anti ransomwares"... ils agissent a posteriori, et il suffit de regarder quelques tests pour voir que les dernières moutures passent à travers, autant agir en amont non ?
Ensuite "normalement" les AV protègent (mais pas toujours des variantes qui n'arrêtent pas de fleurir) contre les CTB Locker, LOcky, TeslaCrypt, Petya (que chassent les anti ransomwares), mais ne remettra pas en l'état, évidemment un PC déjà chiffré
Après il y a les classiques (outre le port SMB normalement patché, alors que cela fait des années que l'on sait qu'il y a une faille) :
Fermer le port : "445" qui correspond à NetBT (tout comme les classiques 137.138.139)
http://www.zebulon.fr/dossiers/30- [...] iques.html
Préférer une connexion "Réseau Public", au lieu de Réseau domestique ou réseau de bureau (Windows notamment via son firewall qui est très bon, sera plus agressif et sécure)
Sinon pour en revenir à la liste de Hosts, je peux t'assurer qu'après divers tests (en sélectionnant soit la protection de l'AV sur la navigation, soit les modules de type Ublock Origin, soit que le hosts,) que la protection Hosts est nettement plus efficace car elle agit sur tous les programmes qui veulent accéder au net (surtout pour les régies de pubs et liens infectés sur les sites "safe" ). Perso j'ai entre 20 000 et 80 000 adresses nouvelles, qui sont bloquées tous les jours
La protection contre les régies de pubs, les AV ne s'en occupent pas (tout comme un Adwcleaner ne chassent pas les mêmes saloperies qu'un MalwareBytes)
Par contre l'ensemble est complémentaire, car on n'est pas à l'abri d'une mise à jour moins réactive de l'une des protections (sachant que la plupart se "nourissent" à une base commune dans le cloud), et cela c'est la faiblesse également des AV (leur labo)
Le tout est de trouver un équilibre en évitant de surcharger le PC d'un tas de programmes qui vont le ralentir, ou entrer en conflit etc
En complément : http://forum.malekal.com/viewtopic.php?t=381
On peut aller plus loin (Editeur de stratégie etc) mais avec tout ce qui a été dit précédemment, je peux t'assurer que tu vas sérieusement limiter la casse
Pour preuve, j'aide parfois le club d'anciens en dessous de chez moi (enfin des anciennes surtout qui cliquent sur tout ce qui bouge notamment dans leur messagerie sans compter qu'elles n'arrêtent pas de s'envoyer des .ppt, pdf, etc entre elles), avec seulement comme AV le windows defender (qui n'est pas top), le firewall de windows, et tout ce qui précède, et depuis 2 ans, en suivant mes conseils (mise à jour etc) je n'ai eu personne qui a été infecté (je scanne de temps à autre)
Marsh Posté le 22-09-2017 à 16:21:59
hello ici,
petite MAJ, j'ai eu le temps de fouiller le SSD pour voir dans quel ordre se sont passées les choses. Gros choc pour moi, l'infection a de grande chance d'être arrivée via le RDP.
Je l'avais écrit, c'est un PC classique côté matos qui est allumé 24/7 pour faire serveur maison (Plex, streaming perso, photos etc.). Je le contrôle uniquement via le bureau à distance, pas de périphériques dessus. Et le mot de passe était très faible. genre très très faible
forcément sur des fichiers chargés depuis un dossier partagé en TSclient je n'ai aucune chance de savoir ce qui est passé sur la machine.
bref.
un autre système plus sécurisé que le bureau à distance à proposer siouplé ? je n'en ai besoin qu'en local, à distance hors réseau local je lance une session teamviewer si je sais que ça va me servir.
merci.
Marsh Posté le 22-09-2017 à 19:30:24
change le port par défaut qui est 3389, pour cela, il faut passer par le registre.
évite mots de passe trop fréquents, et tu devrais être relativement tranquille.
Marsh Posté le 22-09-2017 à 19:37:17
naglefourbe a écrit : hello ici, |
Ah bon ?
J'ai beau relire le premier post tu n'as jamais fait état de cela
Marsh Posté le 22-09-2017 à 21:41:40
en effet, my bad, j'ai exposé le problème ailleurs également et je me suis un peu mélangé (et pas relu avant de répondre).
à la maison c'est cette machine en "serveur" avec une autre machine nettement plus musclée qui sert de config' principale. Plus du laptop. je n'avais pas répondu sur le chiffrage via le réseau d'ailleurs : seule cette machine a été impactée par le ransomware.
Je note le port à changer pour ne pas être "par défaut" dans ma configuration. merci.
une solution genre VNC configurée pour ne pas être accessible depuis l'extérieur c'est possible ?
Marsh Posté le 22-09-2017 à 21:58:31
Tu peux utiliser des programmes comme teamviewer, logmein, anydesk pour y accèder à distance.
Ces programmes feront une connexion sortante et il ne sera pas utile d'ouvrir un port.
Cependant ces solutions sont payantes.
Vnc utilisera lui aussi un port à ouvrir en entrée, donc ce sera pareil que le bureau à distance.
Marsh Posté le 22-09-2017 à 23:04:41
naglefourbe a écrit : |
naglefourbe a écrit : |
Non mais le RDP c'est pas ouvert non plus vers l'exterieur par défaut hein. C'est ouvert uniquement si tu as fait de la redirection de port, exactement comme pour VNC.
Si tu t'es fait infecter via RDP c'est que tu avais ouvert le port vers l’extérieur. Si tu n'en as besoin qu'en local tu vires la redirection de port que tu as fait sur ton routeur et c'est tout.
Et si tu n'avais pas fait de redirection de port, ben c'est pas arrivé en RDP alors.
Marsh Posté le 23-09-2017 à 00:15:47
flash_gordon a écrit : |
On en revient au "L'infection et les dégâts ont eu lieu pendant la nuit, les seules choses en cours étaient Utorrent"
Vu qu'il y a un tas de régies de pubs vérolées qui peuvent s'afficher dans uTorrent... Alors en une nuit il a suffit d'une seule, puisque le truc dans les régies de pubs vérolées, c'est de se créer une sté véritable (on en a vu qui étaient clean pendant 6 mois, cela prouve qu'ils sont patients), de créer du contenu pour que des régies l'acceptent, et à un moment T en glisser une qui sera malfaisante. Les pubs tournent, et la xème personnne qui passera au mauvais moment se retrouvera infectée
C'est pour cela que ce n'est pas évident à détecter ; un visiteur sur X visiteurs, et c'est comme cela que des sites comme Yahoo, Rue du commerce etc se sont fait infecter alors qu'une analyse du site et des scripts, etc indiquait que tout était clean
Marsh Posté le 23-09-2017 à 09:21:39
le port était ouvert vers l'extérieur, je prenais le contrôle depuis d'autres endroits de temps en temps.
je viens de corriger les ports, seule l'ip de la machine "maître" est concernée. je laissais "toutes provenances" par défaut en fait
seules choses en cours, utorrent et l'upload sur le cloud amazon. le moment est quand même super bien choisit avec les disques de sauvegardes branchés en plus des disques habituels.
je sais aussi que mon IP en sortie de VPN est bien connue (blacklistée sur certains sites). le dernier truc c'est au moins un acquittement que je n'ai pas fait dans l'antivirus (kaspersky alors) pour un exe genre x64. les autres je les ai vu en "failed" (7_x86.exe et ciodo.exe). ce qui me laisse penser que quelqu'un l'a fait à ma place -_-
après je veux un peu beaucoup comprendre le comment du pourquoi et je m'emballe peut-être, s'tout à fait possible parce que je suis loin d'avoir le niveau pour bien tout comprendre
Marsh Posté le 17-08-2017 à 16:37:30
hello
c'est pas une super semaine, mais ça aurait pu être pire. je viens partager ma mauvaise expérience, et demander quelques précisions.
Je me suis aperçu mardi matin que les 3 épisodes de mon anime préféré que je voulais mettre sur mon smartphone n'étaient plus. à la place, des noms de fichiers tout bizarre plus ou moins longs. jai compris assez vite quand j'ai vu le fichier texte sur le bureau
Your files have been encrypted!
Your personal Id:
dG3iLpydDi7dmUFtRXQGRgUAwAKpbalX/hEt4zFblmwWzGQwElh8E3+/HHyTyqKjNR0dGoCPbl0sd8wA/tJvnw++ZnItRlJfODA0MzU5Nl8xMC4xMC40MC4xMzBfYmx1dDFfY2lvZG8
Download video decryption: ww.screencast.com/t/pouetpouet
To decrypt your files, write to email: blackzd@xmail.net or decrypted8@bigmir.net
In the letter, send your personal Id and 2 small encrypted files for trial decryption.
If you dont get answer from blackzd@xmail.net or decrypted8@bigmir.net in 72 hours,
you need to install tor browser, you can download it here: https://www.torproject.org/download/download.html.en
After installation, open the tor browser to website: http://mail2tor2zyjdctd.onion/register.php
Register on the site a new email address and write to us with his letter to our address: blackoutsupport@mail2tor.com
Do not try restore files without our help, this is useless, and can destroy you data permanetly.
However, the files can be recovered even after the removal of our program and even after reinstalling the operating system.
642635318948441
J'ai tout éteint et suis parti bosser. J'ai donc retrouver mes 2 disques durs de 2To tout bien chiffrés. J'ai perdu pas mal de films et séries, et surtout pas mal de photos et vidéos persos (la famille tout ça). J'ai des sauvegardes, un peu datées, mais pour les choses perso je m'en tire bien.
Ma sauvegarde récente que je garde déconnectée (un HDD de 500Go) était branchée : j'étais en train de stocker 'dans le cloud' mes photos de famille. C'est ce qui m'a fait le plus mal : j'ai été prévoyant et j'avais des saves propres et bien rangées
bref.
après avoir fouillé un peu, j'ai vite appris que le ransomware c'est Balckout. j'ai uppé les docs sur https://www.nomoreransom.org/crypto-sheriff.php?lang=fr mais lorsque je valide j'ai une erreur et zéro résultat.
bref.
j'ai investigué un peu pour savoir d'où ça venait et je pense avoir trouvé : une vieille version de µtorrent exécutée en admin. Vieille version parce que *insérez ici le nom d'un tracker privé* et en mode admin parce que *bordel de ports avec le VPN*. La MAJ du stockage en ligne était longue (3 jours et demi), je n'ai pas attendu pour faire autre chose.
Je venais juste d'installer la solution gratuite de Kaspersky sur cette machine (windows 10 à jour), il a bien vu des exécutables suspects et les a supprimé mais trop tard. Le nettoyage est un peu fastidieux : le logiciel en lui-même est vite partit mais je me rends compte de changements collatéraux comme la désactivation du gestionnaire des tâches.
bref,
est-ce qu'il y a d'autres services comme nomoreransom pour identifier et guetter une solution ? sachant que je peux mettre côte-à-côte un fichier chiffré avec sa version non chiffrée et la clé publique, ça n'aide pas ?
j'hésite maintenant à passer sur un NAS plutôt que cette vieille config' qui me sert de serveur@home mais je ne suis pas sûr de trouver exactement ce qu'il me faut.
Merci pour les idées ou liens utiles
Message édité par naglefourbe le 22-09-2017 à 16:22:46
---------------
Tout est relatif !