Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1174 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  MAJ RDP victime du ransomware Blackout

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

MAJ RDP victime du ransomware Blackout

n°3280962
naglefourb​e
schtroumpf fourbe
Posté le 17-08-2017 à 16:37:30  profilanswer
 

hello  :hello:  
c'est pas une super semaine, mais ça aurait pu être pire. je viens partager ma mauvaise expérience, et demander quelques précisions.
Je me suis aperçu mardi matin que les 3 épisodes de mon anime préféré que je voulais mettre sur mon smartphone n'étaient plus. à la place, des noms de fichiers tout bizarre plus ou moins longs. jai compris assez vite quand j'ai vu le fichier texte sur le bureau  

Spoiler :

Your files have been encrypted!
 
Your personal Id:
dG3iLpydDi7dmUFtRXQGRgUAwAKpbalX/hEt4zFblmwWzGQwElh8E3+/HHyTyqKjNR0dGoCPbl0sd8wA/tJvnw++ZnItRlJfODA0MzU5Nl8xMC4xMC40MC4xMzBfYmx1dDFfY2lvZG8
 
Download video decryption: ww.screencast.com/t/pouetpouet
 
To decrypt your files, write to email: blackzd@xmail.net or decrypted8@bigmir.net
In the letter, send your personal Id and 2 small encrypted files for trial decryption.
 
If you dont get answer from blackzd@xmail.net or decrypted8@bigmir.net in 72 hours,
you need to install tor browser, you can download it here: https://www.torproject.org/download/download.html.en
After installation, open the tor browser to website: http://mail2tor2zyjdctd.onion/register.php
Register on the site a new email address and write to us with his letter to our address: blackoutsupport@mail2tor.com
 
Do not try restore files without our help, this is useless, and can destroy you data permanetly.
However, the files can be recovered even after the removal of our program and even after reinstalling the operating system.
 
642635318948441


 
J'ai tout éteint et suis parti bosser. J'ai donc retrouver mes 2 disques durs de 2To tout bien chiffrés. J'ai perdu pas mal de films et séries, et surtout pas mal de photos et vidéos persos (la famille tout ça). J'ai des sauvegardes, un peu datées, mais pour les choses perso je m'en tire bien.
Ma sauvegarde récente que je garde déconnectée (un HDD de 500Go) était branchée : j'étais en train de stocker 'dans le cloud' mes photos de famille. C'est ce qui m'a fait le plus mal : j'ai été prévoyant et j'avais des saves propres et bien rangées  :sweat:  
bref.
après avoir fouillé un peu, j'ai vite appris que le ransomware c'est Balckout. j'ai uppé les docs sur https://www.nomoreransom.org/crypto-sheriff.php?lang=fr mais lorsque je valide j'ai une erreur et zéro résultat.
bref.
j'ai investigué un peu pour savoir d'où ça venait et je pense avoir trouvé : une vieille version de µtorrent exécutée en admin. Vieille version parce que *insérez ici le nom d'un tracker privé* et en mode admin parce que *bordel de ports avec le VPN*. La MAJ du stockage en ligne était longue (3 jours et demi), je n'ai pas attendu pour faire autre chose.
Je venais juste d'installer la solution gratuite de Kaspersky sur cette machine (windows 10 à jour), il a bien vu des exécutables suspects et les a supprimé mais trop tard. Le nettoyage est un peu fastidieux : le logiciel en lui-même est vite partit mais je me rends compte de changements collatéraux comme la désactivation du gestionnaire des tâches.
bref,
 
est-ce qu'il y a d'autres services comme nomoreransom pour identifier et guetter une solution ? sachant que je peux mettre côte-à-côte un fichier chiffré avec sa version non chiffrée et la clé publique, ça n'aide pas ?
 
j'hésite maintenant à passer sur un NAS plutôt que cette vieille config' qui me sert de serveur@home mais je ne suis pas sûr de trouver exactement ce qu'il me faut.
Merci pour les idées ou liens utiles :)

Message cité 1 fois
Message édité par naglefourbe le 22-09-2017 à 16:22:46

---------------
Tout est relatif !  
mood
Publicité
Posté le 17-08-2017 à 16:37:30  profilanswer
 

n°3281008
Regla88
Posté le 18-08-2017 à 08:55:33  profilanswer
 

Pour un NAS, les plus connu sont Synology et QNAP, ils ont chacun toutes sortes de modèles, en fonction du nombres de disques que tu veux.
 
Mais attention, un NAS n'est pas protégé contre les Ransomware, expérience vécue au taf...

n°3281014
Profil sup​primé
Posté le 18-08-2017 à 09:40:09  answer
 

naglefourbe a écrit :

 

j'ai investigué un peu pour savoir d'où ça venait et je pense avoir trouvé : une vieille version de µtorrent exécutée en admin. Vieille version parce que *insérez ici le nom d'un tracker privé* et en mode admin parce que *bordel de ports avec le VPN*. La MAJ du stockage en ligne était longue (3 jours et demi), je n'ai pas attendu pour faire autre chose.
Je venais juste d'installer la solution gratuite de Kaspersky sur cette machine (windows 10 à jour), il a bien vu des exécutables suspects et les a supprimé mais trop tard. Le nettoyage est un peu fastidieux : le logiciel en lui-même est vite partit mais je me rends compte de changements collatéraux comme la désactivation du gestionnaire des tâches.
bref,

 

est-ce qu'il y a d'autres services comme nomoreransom pour identifier et guetter une solution ? sachant que je peux mettre côte-à-côte un fichier chiffré avec sa version non chiffrée et la clé publique, ça n'aide pas ?

 

J'ai quelques doutes sur la source de l'infection... même si il ne faut pas garder sur son disque dur des logiciels en version obsolète, car on n'est jamais à l'abri d'un Web Exploit qui tire partie justement des logiciels non à jour et ayant des vulnérabilités (Pour Blackout je ne sais quelle méthode il utilise)

 

Vu que le ransomware "Blackout" est assez récent il faudrait déterminer à quelle classe il appartient avant de se lancer à l'aide d'outils pour se dépanner tout seul
En plus si le ransomware n'est pas connu ou peu, les "chercheurs" se voient privés de ce qui a causé l'infection (Dropper, executable etc)

 

Pour trouver la classe (si cela fonctionne)

 

https://id-ransomware.malwarehunterteam.com/

 


Cela ne donnera pas obligatoirement une solution mais permet d'orienter la recherche avec la possibilité "un jour" de trouver l'outil adéquat

 


Les principales sources d'infection d'un ransomware, le sont pas le biais d'emails comportant des PJ en javascript ou VBS (utiliser un logiciel tiers comme thunderbird et non la messagerie de Microsoft va aider)
En juillet il y a eu une grosse avalanche d'emails vérolés

 

Un élément important : Sécuriser les navigateurs WEB et :

 

A lire :

 

https://www.malekal.com/virus-powershell/

 

https://telecharger.malekal.com/download/marmiton/

 

Pour le navigateur, il n'est pas inutile d'installer (Firefox) : No Script, Ublock Origin, (c'est le minimum pour éviter de se retrouver sur une page infectée avec un Js malveillant qui va s'activer à la première visite)

 

Sinon tu peux demander à Malekal si il en sait plus sur ce ransomware :

 

https://forum.malekal.com/viewforum.php?f=3


Message édité par Profil supprimé le 18-08-2017 à 09:43:53
n°3281019
naglefourb​e
schtroumpf fourbe
Posté le 18-08-2017 à 10:36:10  profilanswer
 

hello,
merci pour les réponses :)
j'élimine tout de suite les pièces jointes vérolées, je ne consulte même pas de messagerie sur la machine incriminée. L'infection et les dégâts ont eu lieu pendant la nuit, les seules choses en cours étaient Utorrent et une page Amazon Photos où j'uploadais les photos (Microsoft Edge, deux onglets ouverts : l'upload Amazon photos et gestion de l'espace Prime). Les dossiers photos étaient sûrs puisque hors tout depuis 4 à 5 mois... Je parle de Utorrent pour l'avoir lu au sujet de Blackout justement. Le blocage aurait pu se faire via l'UAC mais j'exécutais Utorrent en admin. Je m'en bouffe les doigts, même si en croisant les vieilles saves de HDD qui traînent je n'ai pas trop perdu (en trucs perso, le reste c'est mort).


---------------
Tout est relatif !  
n°3281026
Profil sup​primé
Posté le 18-08-2017 à 12:06:49  answer
 

naglefourbe a écrit :

hello,
merci pour les réponses :)
j'élimine tout de suite les pièces jointes vérolées, je ne consulte même pas de messagerie sur la machine incriminée. L'infection et les dégâts ont eu lieu pendant la nuit, les seules choses en cours étaient Utorrent et une page Amazon Photos où j'uploadais les photos (Microsoft Edge, deux onglets ouverts : l'upload Amazon photos et gestion de l'espace Prime). Les dossiers photos étaient sûrs puisque hors tout depuis 4 à 5 mois... Je parle de Utorrent pour l'avoir lu au sujet de Blackout justement. Le blocage aurait pu se faire via l'UAC mais j'exécutais Utorrent en admin. Je m'en bouffe les doigts, même si en croisant les vieilles saves de HDD qui traînent je n'ai pas trop perdu (en trucs perso, le reste c'est mort).


 
Le problème d'uTorrent, ce sont les sources de téléchargement du logiciel  (souvent livré avec un malware, ou ces derniers mois avec un logiciel invisible de minage de bitcoins). A partir de là uTorrent ne sert que de tremplin mais n'est pas la cause première de l'infection (hormis ce qu'on télécharge évidemment :-)
Quant à la faille d'utorrent, la dernière connue date de quelques années (et pas de soucis depuis la 1.7.7)  
 
Sinon tu as un lien pour l'association uTorrent et Blackout ? (j'ai rien vu dans mes flux rss à ce sujet)

n°3281030
naglefourb​e
schtroumpf fourbe
Posté le 18-08-2017 à 13:47:06  profilanswer
 


ha ? pourtant depuis mai 2017 il y a eut pas mal de choses, juste google les deux termes et y a du résultat (ransomware+utorrent). bon je les ai découverte APRES forcément... perso c'était une version 1.6 je crois, je peux même pas checker je l'ai déjà désinstaller. mais si quelqu'un se souvient des versions "conseillées" sur l'ex-T411 ben voilà :o

 

le souci vient des pubs présentes sur utorrent en fait, qui exploitent une faille. je ne suis pas allé chercher plus loin, je vais choisir autre chose comme client torrent, forcément.


Message édité par naglefourbe le 18-08-2017 à 13:54:58

---------------
Tout est relatif !  
n°3281037
flash_gord​on
Posté le 18-08-2017 à 15:19:02  profilanswer
 

naglefourbe a écrit :


j'élimine tout de suite les pièces jointes vérolées, je ne consulte même pas de messagerie sur la machine incriminée.


 
Sauf que les ransomware ne marchent pas comme ça.
 
Ce sont des fichiers qui sont sur des partages réseaux qui ont été chiffrés ? donc c'est n'importe quelle machine qui a accès à ces partages qui peut avoir fait ça, bien que les fichiers chiffrés soient sur ton serveur, c'est pas nécessairement le serveur qui a été vérolé.
 
Et là où c'est vicieux, c'est que pour éviter d'être facilement repérés par les AV comportementaux, la majorité de ces ransomwares ne se cale pas au boot ni rien. Au prochain reboot de la machine infectée, tu ne trouve plus rien.
 

naglefourbe a écrit :


j'hésite maintenant à passer sur un NAS plutôt que cette vieille config' qui me sert de serveur@home mais je ne suis pas sûr de trouver exactement ce qu'il me faut.


 
Ce sera pareil avec un NAS. N'importe quelle machine qui aura accès aux partages pourra potentiellement les chiffrer.

Message cité 1 fois
Message édité par flash_gordon le 18-08-2017 à 15:19:47
n°3281049
nex84
Dura lex, sed lex
Posté le 18-08-2017 à 15:38:20  profilanswer
 


Sans compter ce qui est téléchargé potentiellement infecté ... (rarement des distribs Linux :o )
Il y a des habitudes à changer.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°3281060
naglefourb​e
schtroumpf fourbe
Posté le 18-08-2017 à 17:03:43  profilanswer
 

flash_gordon a écrit :


 
Sauf que les ransomware ne marchent pas comme ça.
 
Ce sont des fichiers qui sont sur des partages réseaux qui ont été chiffrés ? donc c'est n'importe quelle machine qui a accès à ces partages qui peut avoir fait ça, bien que les fichiers chiffrés soient sur ton serveur, c'est pas nécessairement le serveur qui a été vérolé.
 
Et là où c'est vicieux, c'est que pour éviter d'être facilement repérés par les AV comportementaux, la majorité de ces ransomwares ne se cale pas au boot ni rien. Au prochain reboot de la machine infectée, tu ne trouve plus rien.
 


il n'y avait que cette machine en route depuis 16/18H d'affilée sur le réseau (même pas la télé en wifi). et il n'y a pas que les dossiers partagés qui ont été chiffrés.
 

flash_gordon a écrit :


 
Ce sera pareil avec un NAS. N'importe quelle machine qui aura accès aux partages pourra potentiellement les chiffrer.


haaaa ok zut. et utiliser un système de fichier plus exotique est potentiellement protecteur ? (je pense au NAS toujours)


---------------
Tout est relatif !  
n°3281061
naglefourb​e
schtroumpf fourbe
Posté le 18-08-2017 à 17:06:40  profilanswer
 

nex84 a écrit :


Sans compter ce qui est téléchargé potentiellement infecté ... (rarement des distribs Linux :o )
Il y a des habitudes à changer.


là je peux rien dire, je vais même pas tenter de justifications foireuses. (et même les OS libres je les télécharge directement :o)


---------------
Tout est relatif !  
mood
Publicité
Posté le 18-08-2017 à 17:06:40  profilanswer
 

n°3281066
flash_gord​on
Posté le 18-08-2017 à 17:32:20  profilanswer
 

naglefourbe a écrit :


haaaa ok zut. et utiliser un système de fichier plus exotique est potentiellement protecteur ? (je pense au NAS toujours)


 
Ben non.
 
Les ransomware ne font rien que les utilisateurs ne peuvent pas faire manuellement, il n'y a même pas besoin d'élévation des privileges ni d'avoir des droits admin.
 
A partir du moment où un utilisateur a accès en écriture à un fichier, il peut le renommer, le supprimer, ou le chiffrer. Quelque soit le système de fichier.
 
Et ben c'est exactement ce que font les ransomwares. Rien de plus que ce que peut faire un utilisateur avec ses droits actuels. Il liste les fichiers accessibles par l'utilisateur qui a lancé le truc, et les chiffre un par un, exactement comme pourrait le faire n'importe quel utilisateur mal intentionné.


Message édité par flash_gordon le 18-08-2017 à 17:37:17
n°3281076
naglefourb​e
schtroumpf fourbe
Posté le 18-08-2017 à 18:48:08  profilanswer
 

ok pigé.
c'est pour ça que mes fichiers sont chiffrés par date d'accès et non par dossier ? je me demandais pourquoi les timestamp ne se suivaient pas.


---------------
Tout est relatif !  
n°3281086
flash_gord​on
Posté le 18-08-2017 à 19:31:18  profilanswer
 

Oui, il commence par les derniers modifiés, en théorie ce sont ceux pour lesquels tu es censé tenir le plus.

n°3281091
Profil sup​primé
Posté le 18-08-2017 à 20:36:37  answer
 

naglefourbe a écrit :


là je peux rien dire, je vais même pas tenter de justifications foireuses. (et même les OS libres je les télécharge directement :o)

 


En fait ton infection est venue par les régies de pubs qui apparaissent dans uTorrent, que ta version soit à jour ou pas, et qu'elle soit en admin ou pas

 

Une solution rapide :   http://www.abelhadigital.com/hostsman

 

Il peut entrer en conflit avec certains antivirus comme AVIRA qui protègent le fichier HOSTS. Il suffit dans l' AV de désactiver la fonction lorsqu'on fait la mise à jour avec les listes déjà installées dans le programme

 

Ne pas oublier, si le programme ne le fait pas à l'install, de désactiver le fichier le services  "Client.DNS" sinon gros ralentissements à prévoir

 

Ensuite dans les options tu peux faire les MAJ en automatique ou en manuel (tu complètes ta protection par ce qui a été dit auparavant)


Message édité par Profil supprimé le 18-08-2017 à 20:38:03
n°3281120
naglefourb​e
schtroumpf fourbe
Posté le 19-08-2017 à 09:13:41  profilanswer
 

hello, l'url que tu laisse ne m'envoie nulle part  :??:  c'est un soft qui guette les arrivées non désirées à partir d'une base de données ?
j'ai passé la machine qui me sert de serveur sous bitdefender 2018, le module dit "anti ransomware" est assez agressif.

 

edit :  ok le site est dispo mais je n'y accède pas, j'ai peur ^^ je vais vérifier mes DNS...

 

re-edit : note pour plus tard, avec les DNS Google 8.8.8.8 et 8.8.4.4 le site est en erreur et inaccessible. j'ai pris les premières sur OpenNIC et ça roule :)

Message cité 1 fois
Message édité par naglefourbe le 19-08-2017 à 09:19:05

---------------
Tout est relatif !  
n°3281179
Profil sup​primé
Posté le 19-08-2017 à 11:48:07  answer
 

naglefourbe a écrit :

hello, l'url que tu laisse ne m'envoie nulle part  :??:  c'est un soft qui guette les arrivées non désirées à partir d'une base de données ?
j'ai passé la machine qui me sert de serveur sous bitdefender 2018, le module dit "anti ransomware" est assez agressif.

 

edit :  ok le site est dispo mais je n'y accède pas, j'ai peur ^^ je vais vérifier mes DNS...

 

re-edit : note pour plus tard, avec les DNS Google 8.8.8.8 et 8.8.4.4 le site est en erreur et inaccessible. j'ai pris les premières sur OpenNIC et ça roule :)

 

Alors j'ai testé...
j'ai le DNS principal de NTT,    http://www.alextesi.com/2013/05/14 [...] ces-world/
et en secondaire celui de Comodo  https://www.comodo.com/secure-dns/  (il bloque certains sites considérés comme dangereux, mais aussi certains sites de P2P etc)

 

En jouant avec les DNS j'ai accès à la page principale et au téléchargement

 

http://hostsman2.it-mate.co.uk/Hos [...] taller.zip

 

Par contre le forum est au tas (pour le détail par ex de la mise à jour)

 

Pour les "'anti ransomwares"... ils agissent a posteriori, et il suffit de regarder quelques tests pour voir que les dernières moutures passent à travers, autant agir en amont non ?
Ensuite "normalement" les AV protègent (mais pas toujours des variantes qui n'arrêtent pas de fleurir) contre les CTB Locker, LOcky, TeslaCrypt, Petya (que chassent les anti ransomwares), mais ne remettra pas en l'état, évidemment un PC déjà chiffré

 


Après il y a les classiques (outre le port SMB normalement patché, alors que cela fait des années que l'on sait qu'il y a une faille) :

 

Fermer le port : "445" qui correspond à NetBT  (tout comme les classiques 137.138.139)
http://www.zebulon.fr/dossiers/30- [...] iques.html

 

Préférer une connexion  "Réseau Public", au lieu de Réseau domestique ou réseau de bureau (Windows notamment via son firewall qui est très bon, sera plus agressif et sécure)

 

Sinon pour en revenir à la liste de Hosts, je peux t'assurer qu'après divers tests (en sélectionnant soit la protection de l'AV sur la navigation, soit les modules de type Ublock Origin, soit que le hosts,)  que la protection Hosts est nettement plus efficace car elle agit sur tous les programmes qui veulent accéder au net (surtout pour les régies de pubs et liens infectés sur les sites "safe" ). Perso j'ai entre 20 000 et 80 000 adresses nouvelles, qui sont bloquées tous les jours

 

La protection contre les régies de pubs, les AV ne s'en occupent pas (tout comme un Adwcleaner ne chassent pas les mêmes saloperies qu'un MalwareBytes)
Par contre l'ensemble est complémentaire, car on n'est pas à l'abri d'une mise à jour moins réactive de l'une des protections (sachant que la plupart se "nourissent" à une base commune dans le cloud), et cela c'est la faiblesse également des AV (leur labo)

 

Le tout est de trouver un équilibre en évitant de surcharger le PC d'un tas de programmes qui vont le ralentir, ou entrer en conflit etc

 

En complément : http://forum.malekal.com/viewtopic.php?t=381

 

On peut aller plus loin (Editeur de stratégie etc)  mais avec tout ce qui a été dit précédemment, je peux t'assurer que tu vas sérieusement limiter la casse
Pour preuve, j'aide parfois le club d'anciens en dessous de chez moi (enfin des anciennes surtout qui cliquent sur tout ce qui bouge notamment dans leur messagerie sans compter qu'elles n'arrêtent pas de s'envoyer des .ppt, pdf, etc entre elles), avec seulement comme AV le windows defender (qui n'est pas top), le firewall de windows, et tout ce qui précède,  et depuis 2 ans, en suivant mes conseils (mise à jour etc) je n'ai eu personne qui a été infecté (je scanne de temps à autre)


Message édité par Profil supprimé le 19-08-2017 à 11:48:47
n°3283913
naglefourb​e
schtroumpf fourbe
Posté le 22-09-2017 à 16:21:59  profilanswer
 

hello ici,
petite MAJ, j'ai eu le temps de fouiller le SSD pour voir dans quel ordre se sont passées les choses. Gros choc pour moi, l'infection a de grande chance d'être arrivée via le RDP.
Je l'avais écrit, c'est un PC classique côté matos qui est allumé 24/7 pour faire serveur maison (Plex, streaming perso, photos etc.). Je le contrôle uniquement via le bureau à distance, pas de périphériques dessus. Et le mot de passe était très faible. genre très très faible :/
 
forcément sur des fichiers chargés depuis un dossier partagé en TSclient je n'ai aucune chance de savoir ce qui est passé sur la machine.
bref.
 
un autre système plus sécurisé que le bureau à distance à proposer siouplé ? je n'en ai besoin qu'en local, à distance hors réseau local je lance une session teamviewer si je sais que ça va me servir.
merci.


---------------
Tout est relatif !  
n°3283921
nnwldx
Posté le 22-09-2017 à 19:30:24  profilanswer
 

change le port par défaut qui est 3389, pour cela, il faut passer par le registre.
évite mots de passe trop fréquents, et tu devrais être relativement tranquille.

n°3283924
Profil sup​primé
Posté le 22-09-2017 à 19:37:17  answer
 

naglefourbe a écrit :

hello ici,
petite MAJ, j'ai eu le temps de fouiller le SSD pour voir dans quel ordre se sont passées les choses. Gros choc pour moi, l'infection a de grande chance d'être arrivée via le RDP.
Je l'avais écrit, c'est un PC classique côté matos qui est allumé 24/7 pour faire serveur maison (Plex, streaming perso, photos etc.). Je le contrôle uniquement via le bureau à distance, pas de périphériques dessus. Et le mot de passe était très faible. genre très très faible :/
.


 
Ah bon ?
 
J'ai beau relire le premier post tu n'as jamais fait état de cela

n°3283932
naglefourb​e
schtroumpf fourbe
Posté le 22-09-2017 à 21:41:40  profilanswer
 

en effet, my bad, j'ai exposé le problème ailleurs également et je me suis un peu mélangé (et pas relu avant de répondre).
 
à la maison c'est cette machine en "serveur" avec une autre machine nettement plus musclée qui sert de config' principale. Plus du laptop. je n'avais pas répondu sur le chiffrage via le réseau d'ailleurs : seule cette machine a été impactée par le ransomware.
 
Je note le port à changer pour ne pas être "par défaut" dans ma configuration. merci.
 
une solution genre VNC configurée pour ne pas être accessible depuis l'extérieur c'est possible ?


---------------
Tout est relatif !  
n°3283934
nnwldx
Posté le 22-09-2017 à 21:58:31  profilanswer
 

Tu peux utiliser des programmes comme teamviewer, logmein, anydesk pour y accèder à distance.
Ces programmes feront une connexion sortante et il ne sera pas utile d'ouvrir un port.
Cependant ces solutions sont payantes.
Vnc utilisera lui aussi un port à ouvrir en entrée, donc ce sera pareil que le bureau à distance.

n°3283936
flash_gord​on
Posté le 22-09-2017 à 23:04:41  profilanswer
 

naglefourbe a écrit :


 
un autre système plus sécurisé que le bureau à distance à proposer siouplé ? je n'en ai besoin qu'en local, à distance hors réseau local je lance une session teamviewer si je sais que ça va me servir.


 

naglefourbe a écrit :


une solution genre VNC configurée pour ne pas être accessible depuis l'extérieur c'est possible ?


 
Non mais le RDP c'est pas ouvert non plus vers l'exterieur par défaut hein. C'est ouvert uniquement si tu as fait de la redirection de port, exactement comme pour VNC.
 
Si tu t'es fait infecter via RDP c'est que tu avais ouvert le port vers l’extérieur. Si tu n'en as besoin qu'en local tu vires la redirection de port que tu as fait sur ton routeur et c'est tout.
 
Et si tu n'avais pas fait de redirection de port, ben c'est pas arrivé en RDP alors.

n°3283937
Profil sup​primé
Posté le 23-09-2017 à 00:15:47  answer
 

flash_gordon a écrit :


 
 
Et si tu n'avais pas fait de redirection de port, ben c'est pas arrivé en RDP alors.


 
On en revient au "L'infection et les dégâts ont eu lieu pendant la nuit, les seules choses en cours étaient Utorrent"
 
Vu qu'il y a un tas de régies de pubs vérolées qui peuvent s'afficher dans uTorrent...  Alors en une nuit il a suffit d'une seule, puisque le truc dans les régies de pubs vérolées, c'est de se créer une sté véritable (on en a vu qui étaient clean pendant 6 mois, cela prouve qu'ils sont patients), de créer du contenu pour que des régies l'acceptent, et à un moment T en glisser une qui sera malfaisante. Les pubs tournent, et la xème personnne qui passera au mauvais moment se retrouvera infectée
C'est pour cela que ce n'est pas évident à détecter ;  un visiteur sur X visiteurs, et c'est comme cela que des sites comme Yahoo, Rue du commerce etc se sont fait infecter alors qu'une analyse du site et des scripts, etc indiquait que tout était clean

n°3283947
naglefourb​e
schtroumpf fourbe
Posté le 23-09-2017 à 09:21:39  profilanswer
 

le port était ouvert vers l'extérieur, je prenais le contrôle depuis d'autres endroits de temps en temps.
je viens de corriger les ports, seule l'ip de la machine "maître" est concernée. je laissais "toutes provenances" par défaut en fait :/
 
seules choses en cours, utorrent et l'upload sur le cloud amazon. le moment est quand même super bien choisit avec les disques de sauvegardes branchés en plus des disques habituels.
je sais aussi que mon IP en sortie de VPN est bien connue (blacklistée sur certains sites). le dernier truc c'est au moins un acquittement que je n'ai pas fait dans l'antivirus (kaspersky alors) pour un exe genre x64. les autres je les ai vu en "failed" (7_x86.exe et ciodo.exe). ce qui me laisse penser que quelqu'un l'a fait à ma place -_-
après je veux un peu beaucoup comprendre le comment du pourquoi et je m'emballe peut-être, s'tout à fait possible parce que je suis loin d'avoir le niveau pour bien tout comprendre :o


---------------
Tout est relatif !  
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  MAJ RDP victime du ransomware Blackout

 

Sujets relatifs
Ransomware, que faire avant de remettre des données saines ?ransomware Locky
Ransomware RSA 4096Victime de "Locky" Virus qui renomme les fichier !
je suis tombé sur une page ransomwareVictime d'un ransomware
Victime de fishingRansomware Codeur Windows "Windows Emergency Security Update Center"
Plus de sujets relatifs à : MAJ RDP victime du ransomware Blackout


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR