Forum des minivans Chrysler Voyager et caisses US
Le forum francophone de discussion pour Minivan Chrysler Voyager - Dodge Caravan - Plymouth Voyager - Chrysler Pacifica - Lancia Voyager !
Forum des minivans Chrysler Voyager et caisses US
Le forum francophone de discussion pour Minivan Chrysler Voyager - Dodge Caravan - Plymouth Voyager - Chrysler Pacifica - Lancia Voyager !
Forum des minivans Chrysler Voyager et caisses US
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.


Le forum francophone de discussion pour Minivan Chrysler Voyager - Dodge Caravan - Plymouth Voyager - Chrysler Pacifica - Lancia Voyager
 
Dernières imagesAccueilPortail MinivanS'enregistrerConnexion
Le Deal du moment : -43%
-100€ Pack rééquipement Philips Hue ...
Voir le deal
129.99 €

 

 Procédure de désinfection suite à un RANSONWARE (logiciel de rançon)

Aller en bas 
AuteurMessage
Invité
Invité
avatar



Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Empty
MessageSujet: Procédure de désinfection suite à un RANSONWARE (logiciel de rançon)   Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) EmptyVen 30 Déc - 7:16

http://www.varmatin.com/article/faits-divers/des-varois-pieges-par-les-faux-gendarmes-du-web.733570.html

Depuis le 10 décembre 2011, il apparaît que des particuliers sont victimes d'un code malveillant
bloquant leur ordinateur.
Ce code exécute une page comportant le logo de la Gendarmerie (mais
aussi parfois de la police) et qui empêche toute action sur l'ordinateur infecté,
à moins de régler en ligne une « amende » de 200 euros.
(Cf Capture du message en annexe)
Cette pratique est nommé RANSONWARE (logiciel de rançon).....
Pour désinfecter l’ordinateur, il faut donc remettre le « bon » Explorer.exe
Plusieurs solutions, soit le faire depuis un CD Live par exemple avec OTLPE simplement en
copiant un explorer.exe....


http://www.hadopi.fr/sites/default/files/page/pdf/Conseils_desinfection_Gendarmerie.pdf
Revenir en haut Aller en bas
lebaron21
V.I.P.
V.I.P.
lebaron21


Masculin
Nombre de messages : 15797
Age : 75
Localisation : Côte d'or 21120
Véhicule (modèle cyl année) : Chrysler Le Baron cabriolet 1989 FR 2.5 Turbo BVA3, Le Baron coupé GTC 1989 FR 2,2 Turbo intercooler BM5, Mercedes classe A BVA, Mercedes ML 350 V6 E85 BVA5
Spécialisation auto : Mécanicien moyen s'améliorant grace au forum
Date d'inscription : 22/01/2013

Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Empty
MessageSujet: un nouveau malware locky   Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) EmptyMer 9 Mar - 8:55

Un article sur le nouveau malware qui fait rage en ce moment : Locky. Et bien voilà.

Qu'est-ce que Locky ?

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l'Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Locky110

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Locky210

Quels sont les dégâts qu'il engendre ?

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Voici les fichiers qui sont chiffrés et dont l'extension est changée en .locky (d'où le nom du malware...) :

Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Locky310



Le fond d'écran de Windows est lui aussi remplacé, affichant la même demande.

Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Locky410

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

Enfin, si la victime visite l'un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un "déchiffreur" baptisé Locky Decryptor PRO. Déchiffreur dont l'efficacité n'a pas été prouvée.

Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Locky510
Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Locky611

Là où ça pose de vrais problèmes, notamment dans les entreprises, c'est au niveau des disques réseaux partagés. Locky chiffre aussi tout ce qui l'intéresse sur ces partages réseau. Et quand on sait que la plupart du temps, c'est à cet endroit qu'est partagée toute l'intelligence collective d'une société, il y a de quoi avoir de grosses suées froides.

Comment se protéger contre Locky ?

Comme je le disais dans mon dossier sur Cryptolocker, il n'y a pas 36 000 façons de se protéger de ce genre de choses. Tout d'abord c'est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Ensuite, je vous recommande de vous équiper d'un vrai antivirus : Norton, Kaspersky, ESET, F-Secure...etc. Évitez les AV gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles.

Faites régulièrement les mises à jour de votre OS et de vos outils. N'activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites. Au pire, en cas de doute et de nécessité absolue d'ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu'un Word ou un Excel.

Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d'information auprès des employés pour les avertir et rappeler ces bonnes bases. Ensuite, concernant les partages réseau, passez en revue les droits d'accès (et on arrête de se loguer partout en tant qu'Administrateur de domaine, s'il vous plait ) et placez les données importantes en sécurité.

Enfin, et c'est de loin le meilleur conseil de ma liste : Faites des sauvegardes !!! Ainsi, en cas d'infection, vous pourrez toujours récupérer vos données.

Comment savoir si vous êtes infecté par Locky ?

Vu ce que je viens de vous décrire, vous comprendrez qu'une infection par Locky saute aux yeux. Toutefois, pour en être certain, vous pouvez toujours vérifier que les clés de base de registre...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext

...ou les fichiers suivants sont visibles sur votre poste.
C:\Users\(username)\AppData\Local\Temp\ladybi.exe
C:\Users\(username)\Documents\_Locky_recover_instructions.txt

Si c'est le cas, félicitations, vous êtes dans la merde.

Comment s'en débarrasser ?

Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l'argent et vous ne reverrez pas plus vos données, car rien n'indique que le déchiffreur en question soit efficace. De plus, payer c'est encourager les cybercriminels à continuer ce genre d'opérations de chantage.

Concrètement, si votre ordinateur est infecté par Locky, je vous recommande les étapes suivantes :
Faites le deuil de vos données. Soyez fort !
Mettez de côté les disques durs infectés (ou faites en une copie) pour le jour très hypothétique où quelqu'un arrivera a pondre un outil pour récupérer vos datas.
Achetez de nouveaux disques durs ou formatez les anciens et repartez d'une sauvegarde saine ou réinstallez un Windows tout propre sur votre machine.
Puis reportez-vous au point "Comment se protéger contre Locky ?" de cet article.

Conclusion

Vous l'aurez compris, il n'y a pas de remède miracle contre Locky. C'est pourquoi, il faut que chacun prenne le temps d'informer ses amis, sa famille, ses collègues au sujet de ce malware afin d'enrayer sa propagation. Pour cela, je vous invite à leur partager cet article (ou un autre, peu importe) qui leur sera surement utile et qui les aidera peut être à éviter la catastrophe.

Sources :
http://community.hpe.com/t5/Security-Research/Feeling-even-Locky-er/ba-p/6834311
http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-victims
https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more
http://phishme.com/locky-a-new-encryption-ransomware-borrowing-ideas-from-the-best/
https://www.sensepost.com/blog/2016/understanding-locky/

__________________________________________________www.minivanchrysler.com
Procédure de désinfection suite à un RANSONWARE (logiciel de rançon) Anim_ebe35372-f93b-f6e4-958e-4df5722c1002
Revenir en haut Aller en bas
 
Procédure de désinfection suite à un RANSONWARE (logiciel de rançon)
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» ET 1 de PLUS En Voyager 2L4 16s et pour longtemps je pense !
» PROCEDURE DE PROGRAMMATION DES TELECOMMANDES
» procédure changement de moteur sur s3 2.5 td de 97
» logiciel de compression
» procedure pour changer ses bougies v6

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Forum des minivans Chrysler Voyager et caisses US :: Informatique & Multimédia-
Sauter vers: