Je m'exprime jamais sur mon job mais la c'est chaud....

Attaque Massive mondial la Russie et japon attaqué les hopîtaux anglais attaqué

Lundi la france sera aussi touché

je vous conseil ceci :

Media reports are indicating infections in the NHS, Telefonica, Santander bank, KPMG and a number of others.
http://www.telegraph.co.uk/news/20 [...] ng-ransom/
 

We have reached out to Microsoft & our Anti Virus providers for any patches that we need to urgently install on our machines.
 
1.     Install MS17-010 patch provided by Microsoft (released in April) this mitigates the ransomware attack.  
2.     Make sure you are using the latest signature file provided by your AV partner.
3.     If you are unable to install the MS17-010 patch - Disable SMBv1
·        Open Control Panel, click Programs, and then click Turn Windows features on or off.
·        In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
·        Restart the system.

Je pense que lundi on va avoir une sacrée journée.
Il y va avoir pas mal de boulot.

purée c'est chaud!    
 
https://www.nextinpact.com/news/104 [...] 3-et-8.htm

Le truc le pire c'est quand quelqu'un ouvre un mail le vendredi soir avant de partir, et que le malware chiffre tout pendant le weekend.

4 posts pour la plus importante, d'après europol, attaque informatique mondiale d'ordis d'entreprise ?
une centaine de pays touchés, des milliers d'entreprises, des dizaines de milliers d'ordis dont les fichiers sont détruits.
les hopitaux anglais et les gares allemandes bloqués, des opérateurs mobiles, notamment.

les pirates ont utilisé la faille ETERNALBLUE dans windows, fermée seulement par une mise à jour en mars 2017, d'après un programme de piratage créé par l'espionnage américain, info publiée par wikileaks ces dernières semaines.
mais une partie des entreprises n'ont pas encore fait la mise à jour et ça leur coûte cher.

le virus se répand sans intervention sur les réseaux locaux, il suffit qu'un ordi soit contaminé par l'ouverture d'un mail pour que l'ensemble des ordis et serveurs soient touché.

http://www.tinynews.be/13/wannacry [...] -belgique/

https://www.google.be/webhp?hl=fr&t [...] ws&start=0

microsoft publie un patch pour XP et serveur 2003 normalement plus mises à jour, et W8
https://www.nextinpact.com/news/104 [...] 3-et-8.htm

j'ai pas bien compris s'il chiffre les données des partages réseaux comme un crypto classique ou s'il utilise la faille SMB pour essayer de chiffrer à distance des postes qui n'ont pas de partages.
Si c'est le cas, il va falloir passer sur tous les postes de l'entreprise un par un.

j'ai pas encore réussi à bien comprendre son fonctionnement.
Si on a un poste dans le lan qui est contaminé, il va se mettre à scanner tous les postes en cherchant un port SMB 139/445 ouvert.
Ensuite en utilisant la faille, il devrait accèder aux fichiers du poste distant même s'ils ne sont pas partagés.
 
Ensuite je verrais 3 possibilités :
- il chiffre les fichiers à distance depuis le poste contaminé, mais cela va être lent si tout le lan est chiffré depuis un poste.
- il pourrait utiliser une sorte de psexec pour éxécuter du code à distance sur la machine pour lui dire de chiffrer le PC.
- Sinon il pourrait copier l’exécutable sur le poste distant pour qu'il se lance au boot et le faire redémarrer.
 
Si ce programme chiffre le serveur de backup, ca va être la misère.
En plus il a l'air d'installer une sorte de rootkit sur les postes, si il faut en plus réinstaller tous les windows du réseau, ca va être très compliqué.
Payer la rançon de 300 euro sera beaucoup plus économique.
Il y en a qui doivent voir leur compte en banque exploser ce weekend et ce n'est pas fini.

Je suis assez newbs en la matière mais dans les entreprises, en général, les données sont sauvegardés régulièrement sur des supports non reliés physiquement au réseau en dehors de la sauvegarde ?
 
Dans le cas contraire un truc comme ça peut niquer toutes les sauvegardes de l'entreprise et la renvoyer à l'age de pierre ?

En entreprise on a plusieurs possibilités :
- La sauvegarde en ligne.
- La sauvegarde sur disque, nas
- La sauvegarde sur bande.
 
La sauvegarde en ligne, il n'y en pas trop car tout le monde n'a pas encore beaucoup de débit.
La sauvegarde sur disque est pratique car il n'y a pas de manipulation.
La sauvegarde sur bande embête les utilisateurs car il faut enlever la cassette, la mettre de coté, en mettre une autre, nettoyer le lecteur.
 
Donc il faut mieux 2 types de sauvegardes, si jamais le serveur qui contient la sauvegardé est chiffré, il reste les bandes.
Mais certains n'aiment pas ça, car ca fait pas moderne et ce n'est pas pratique, et ca fait démodé d'utilisé encore des cassettes de sauvegarde.
Mais cela peut effectivement faire couler une société, et dans certaines boites, ils se foutent complétement de la sauvegarde.

 
Je me permet d'ajouter ce lien de Tomguide qui reprends les manip et semble être mis a jour fréquemment. Huge Ransomware Attack Stopped by Accident: What to Do
Je pense que ca serais biens de les rajouter au premier post    
 
Sinon GROS coup de gueule sur les médias généraliste français tout juste bon a relayer l'info de l'AFP de façon très approximative et incompétente et sans être capable de dire quelles plateformes sont touchées . Juste aberrant.
 

Dans mon Administration, tous les jours est fait une sauvegarde, effectivement sur un poste déconnecté, en cassette numérique.
Si un problème de ce type doit arriver, au pire on perds une journée de taf, car la cassette est faite tous les matins.

Être victime de cette attaque c'est que soit on utilise un système qui n'est plus supporté par MS soit que l'on a deux mois de retard dans les correctifs de sécurité. Dans les deux cas c'est chaud...

Soit que au quelqu'un ouvre un mail qu'il ne fallait pas ouvrir

Non car si le système est à jour il est n'est pas vulnérable.

 
ça c'est loin d'être évident...
 
tous les os ont des failles non résolues, et un antivirus aussi bon soit-il est loin d'être efficace au point de tout bloquer.

Le pire c'est pour les petites TPE qui n'ont pas pu migrer, soit parce que trop petites pour qu'on s'intéresse a elles, soit avec du matos tellement antique et merdique qu'on leur prend un bras pour faire la migration ou soit comme souvent par bêtise parce que le boss voulait pas perdre du temps de production pour migrer. Résultat pour ces derniers non seulement leur travail est à l'arrêt mais en plus leur données sont peut-être endommagées.  
 
 

Alors que j'accompagnais ma compagne qui passait une visite, J'ai parlé ce matin à notre médecin de cette attaque ( vu que de nombreux hôpitaux ont morflé parait-il )
Quand je lui ai précisé qu'il valait mieux dans tous les cas faire les mises à jour de Windows, j'ai déjà vu qu'il a fait des gros yeux -> caractéristique du type qui ne doit pas le faire tout le temps...    
Ensuite il a été débranché son câble réseau sur son ordinateur ( véridique ! )
Bref, y'a du boulot pour éduquer tout ce beau monde  

Juste au cas ou, si quelqu'un d'infecté veux tester ce password pour tenter de décrypter: WNcry@2ol7
 
Je suis preneur d'un retour, pour valider, ou pas.
 
Merci.

Vieux systems ou systems pas à jour, dans les 2 cas bien fait pour eux.

De toute façon si les entreprises touchées sont sérieuses, il doit y avoir des sauvegardes des données quelque part  

 
Perso j'en doute qu'il y en ait dans une boite ayant encore ce system ultra obsolète qu'est XP  

 
Comment ça bien fait pour eux ?

 
L'entreprise peut très bien se retrouvée avec les sauvegardes chiffrées et c'est le drame.

Bah ça leur apprendra de ne pas garder un system à jour. Bon c'est vrai que j'ai été un peu dur car il y a quand même des vies en jeu dans certains cas.

J'ai plein de clients qui ne sont pas à jours.
Faire des mises à jours, ca prend du temps, ca coupe la prod pendant le reboot, ca coute de l'argent.
Toutes les entreprises ont pas forcément l'envie les moyens de garder une infra à jour.
 
Rien que de garder la version d'un antivirus à jour est compliqué, il peut sortir une nouvelle version de l'antivirus, puis 2 semaines plus tard une version avec un correctif, et encore 1 mois plus tard encore une nouvelle version.
C'est toujours très compliqué de savoir quelle est la version qui va durer le plus longtemps.

je conseille de faire comme un notaire que je connais, il y a encore 5 ans, avant qu'il parte en retraite, il avait encore un pc sous windows 3.1, avec un traitement de texte sous DOS  
 
   
 
il m'a appelé pour configurer une imprimante vintage qu'il avait acheté sur leboncoin pour remplacer la sienne, une usine à gaz à configurer, rien compris! surtout sans notice ni rien
 
là, pas de risque de ransomware!  

 
Oui enfin c'est un peu comme amener sa voiture au garage pour faire une vidange : elle ne roule plus et ça coûte de l'argent aussi.
Mais si on le fait jamais, le moteur finit par casser...

Mais quand tu parles à des gens de voitures ils comprennent, quand tu leur parles de sécurité, c'est tout de suite plus compliqué.
 
Ils vont te dire mais je vous ai déjà payé un antivirus pourquoi voulez vous encore en rajouter ?

 
Et donc est-ce que cet économie substantielle est plus rentable que de tout perdre ou passer X heures à tout remettre d'aplomb ?

 
c'est surtout qu'une mise à jour peut faire planter un système bien comme il faut. Comme par exemple le passage de windows 8 à 8.1, ou les mises à jour de build windows 10, entre autres pour les pires exemples.
Donc il arrive que les mises à jour soient purement et simplement bloquées.
 
et quand on voit que Windows 10 entreprise intègre des fonctions Xbox et qu'un message sur l'écran windows update proposait de passer en version insider pour faire la mise à jour creator avant tout le monde, on se dit que microsoft nage en plein délire et on comprend que certains admins puissent bloquer les mises à jour...

+ 10000
 
Dans le groupe mondial où je suis, il y a pas une entité sur les xxxxxx sociétés qui à le même niveau de maj. C'est pas aussi simple qu'on peut le croire. Surtout avec des logiciels "industrielles" qui ne marchent plus du jour au lendemain après une maj Windows.

L'attaque semble être maitrisée. Un britannique de 22 ans a acheté le nom de domaine attaché au malware et cela à l'air d'avoir arrêté la propagation.
 
Les gars qui ont fait le malware doivent être furieux, c'est plusieurs dizaine de millions d'euros qu'ils auraient pu avoir la semaine prochaine avec toutes les rançons.
Bon ils ont déjà du gagner un beau pactole, ils ne doivent pas être à plaindre.
Surtout qu'ils n'ont fait que reprendre du code déjà fait.

 
Vu l'ampleur médiatique qu'à pris le truc je pense qu'ils vont être chopper

Je pense qu'ils vont prendre cher aussi.
Utiliser une fuite de la NSA pour faire du business, c'est pas forcément la chose la plus intelligente à faire.

Une vidange c'est une fois par an voir une fois tous les 2 ans. Les mises à jours c'est une fois par mois voir plus.
Tu possèdes en général 1 ou 2 voitures. Dans une entreprise tu peux en avoir des centaines.
C'est tout sauf comparable.

Ce type de commentaire inconscient, peut-on éviter sur un sujet aussi sérieux?

Les mecs qui balancent ils n'ont cas avoir leur systeme a jour et tant pis pour eux... sont en dehors de la réalité des productions des grands groupes et petites..
Il existe encore énormément de postes XP ou de win2k3 pour des raisons de compatibilité de logiciels spécifiques par exemple..
 

 
C'est bien pour cela que les mises à jours de sécurité sont indépendantes des mises a jours fonctionnelles.  
 
Et puis cela ce test avec des environnements pilotes et recettes.

Il y a des lignes de production qui coûtent plusieurs milions d€ qui ne peuvent pas être mis à jour
 
Nous on les a mis dans un réseau à part sans accès à internet

   
comme si la sécurité était la priorité des * entreprises  
   
les mecs qui auraient du pognon pour débloquer du temps/homme sur des labs de tests
   
 
 
* = de la majorité, y'en a pour qui la sécu est capitale on est d'accord.

 
Je te le fais pas dire    
Genre, tu te dis tu vas apprendre un minimum sur le mode de propagation :  
http://www.sudouest.fr/2017/05/13/ [...] 3-4725.php
 
Comment l’attaque s’est-elle répandue ?
 
Selon des experts en informatique, le virus fonctionne avec des dizaines de langages, ce qui montre la volonté des pirates de s’en prendre à des réseaux dans le monde entier. La société Kaspersky rappelle que le logiciel malveillant a été publié en avril par le groupe de pirates "Shadow Brokers", qui affirment avoir découvert la faille informatique dans des documents volés à la NSA.
 
Mikko Hypponen, chef de la société de sécurité informatique F-Secure, note que la Russie et l’Inde ont été particulièrement touchées parce que beaucoup de réseaux et ordinateurs dans ces deux pays tournent encore avec le logiciel Windows XP.
 
Du coup, tu apprends juste "qu'il fonctionne avec des dizaines de langage" (enfin, c'est certainement juste la demande de rançon qui nécessite d'être en plusieurs langues) et qu'il exploite une faille dans windows. Ben tiens.
 
Au final, à la fin de l'article, tu n'en sais pas beaucoup plus...
 

Si c'est comme l'attaque et la diffusion du "macron leaks" où les "pirates" oublient les métadonnées compromettantes dans les fichiers excel et les calques photoshop dans les images retouchées des documents "fake", oui, ça devrait pas prendre une plombe...