Salut tout le monde,
 
 
Un collègue dans une une PME de 180 personnes, vient d'être touché par un virus qui renomme les fichiers avec "DragonBlack" dans le nom.
 
Ce virus crypte les fichiers .... mais aussi les sauvegardes et bases de données !
 
Actuellement ils ont perdus :
 
- ERP
- Cegid
- Exchange
- Tous les backups (Veeam et BackupExec)
- Contrôleur de domaine
- Fichiers
 
Pour l'instant il n'a pas réussi à trouver le vrai nom du virus, et Mcafee n'a rien vu .....
 
Autant vous dire que ça fait flipper, du coup ça m'amène au sujet des backups.
 
Comment sur vos infras (taille moyenne avec budget pas illimité), sécurisez vous vos sauvegardes ?
 
 
Très bonne journée vous,

je pense que la première étape va être de définir "taille moyenne" et "budget pas illimité".
Ensuite si le budget est trop limité, il peut être utile de calculer le coût de ne pas faire de sauvegardes, par exemple en jours hommes perdus pour tout remonter en cas de perte ou de virus (en plus de la valeur intrinsèque des données perdues).

Aucune info trouvée sur la menace que tu indiques.
 
Comment s'attaque t'il aux BDDs et sauvegardes ?
 
Crypter un vbk ou un datafile de xxxGo, c'est autre chose que crypter un .doc

En budget contraints on propose quand même la méthode 321 avec du qnap, un stockage cloud et des disques usb pour le hors connexion hors site. le cloud peux sauter car il faut du gros débit et ça coute pas rien.
 
Vu l’étendue du truc il y a certainement un défaut de gestion de droits
à la base.
 
Pour les gros fichiers il me semble qu'il ne chiffre qu'une partie dans certains cas peux suffir a rendre un fichier irrécupérable.

Oui pour le budget ça ... ça va être à eux d’évaluer le cout.
 
 
Sinon au niveau des fichiers, il fait des extenions .FAIRYTAIL  , mais peut etre qu'il change à chaque site qu'il infecte je sais pas.
 
 
Oui vu la vitesse à laquel il a crypté, il doit modifier que les premiers bloc qui rends illisible les fichiers au final. Mais même l'ERP est mort .... plus aucune données financières, stock, contrat etc....
 
La ils vont acheter des nouveaux DD pour virer ceux des anciens PCs et tout refaire, j'imagine même pas le temps qu'ils vont passer. Ca fait vraiment peur en tout cas.
 
Pour les droits au niveau des serveurs (je parle pas des fichiers), vous faites comment vous ? un compte différent par serveur ?

C'est celui-ci :
 
https://sensorstechforum.com/fr/fai [...] tore-data/

a priori, ça peut être récupéré....
https://support.kaspersky.com/fr/8547

La personne qui a été infecté par le locker avait full droit sur tout?
 
Qu'est ce qui est utilisé pour les backups? Là c'est quand même chaud tout ce qui a été chiffré

Pour l'instant ils savent pas comment il s'est propagé du tout, mais oui j'imagine que ça devait être un compte admin.
 
Pour les backups du Veeam et BackupExec, même la base des AD sont cryptés et même l'ERP (Microsoft AX) crypté aussi en gros il parte de 0 ...

 
Ce cryptolocker ne semble s'attaquer qu'à des extensions bien définies et les backups VEEAM ne semblent pas en faire parties.
IDEM pour les datafiles SQL Server ou Oracle

Ben si votre ami c'est prit un crypto c'est mort pour ces données même si le chiffrement est simple. Il peut tenter les négos avec les hackers car au final il gagnera de l'argent en économisant du temps perdu à essayer de récupérer les données ahaha (ça marche, je l'ai déjà fait pour plusieurs boites). Les cryptos chiffrent les données binaires, donc ils se moquent de l’extension des fichiers. De plus en général ils ne chiffrent pas tout le fichier (Comme ca l'attaque est rapide et le fichier est quand même inutilisable...).Tout peut être chiffré (en plus rien n'oblige les hackers à créer un décodeur qui fonctionne ahah). La meilleur prévention est de faire des sauvegardes régulières de vos systèmes et de prévenir les utilisateurs des danger des "mails bazar avec pièce jointe". Les cryptos arrivent principalement (et en pratique exclusivement) via des pièces jointes dans les mails, donc il faut sécuriser les boites mail avec par exemple du "baracuda mail".
Faire également attention aux équipement "Bluethoot" car depuis le mois de Septembre il existe l'exploit "BlueBorn" qui permet de prendre le control des équipements bluethoot (donc PCs, telephones, etc). Via cet exploit un attaquant peut également chiffrer vos donnés une fois sur votre système...

Y'a un décrypteur pour le message précédent afin de récupérer une qualité sur le fond et la forme ?

Ok, version courte :  
 
Crypto = c'est mort pour les données
 
Comment récupérer les données = Négo avec les hackers
 
Est-ce obligatoire de négocier = Non si vous pouvez vous passer de vos données.
 
Comment un crypto arrive sur votre système = La secrétaire ouvre un mail piégé.
 
Comment se prémunir = Faire des sauvegardes et mettre en place un filtrage des mails (Avec par exemple un serveur "Baracuda mail" )
 
Les crypto cryptent t'ils les gros fichiers et BDD ? = oui car ils ne cryptent pas complètement les fichiers, mais juste de quoi les rendre inutilisable (Exemple: Uniquement les 100 premiers Mo).
 
Les cryptos peuvent-ils tout crypter ? = Oui car ils cryptent les données en mode binaires (C'est le cas de quasi tous les logiciels de cryptographie).
 
Comment se propagent-ils sur le réseau de votre entreprise ? = Principalement via les connecteurs réseaux et dossiers partagé/Synchro.
 
Que faire directement après une attaque ? = identifier rapidement la machine d'ou provient l'infection et la sortir du réseau. Si vous voulez réellement décrypter vos données vous même, n’éteignez pas cette machine car elle à surement encore en mémoire le procecus de chiffrement et donc vous pouvez "dumper" la mémoire (RAM) pour comprendre comment le crypto fonctionne et faire du "reverse engineering" sur le crypto pour mettre au point votre propre déchiffreur (Mais ça va quand même vous prendre beaucoup de temps.)
 
Comment identifier rapidement la machine source qui c'est prit l'attaque ? = Dans la plupart des cas il suffit de regarder qui est l'utilisateur qui à modifié le fichier crypté pour la dernière fois... Le crypto s’exécute avec les droits de l'utilisateur qui à ouvert le mail (Les élévations de privilèges sont très rare.).
 
voila, c'est plus claire ?

Oui enfin là on a un mélange d'informations sans grand intérêt, incomplètes ou à prouver.
 
1. C'est pas mort pour les données.
Des victimes ont pu utiliser des outils pour retrouver les fichiers originaux.
 
2. Il est une règle assez communément admise et de bon sens : on ne paye pas. A la fois pour ne pas encourager le délit et les filières mafieuses mais aussi car on n'est pas assuré d'obtenir satisfaction.
 
3. ce type de virus ne se transmet pas que par email. Cette information est dépassée et/ou incomplète.
Désormais ils utilisent des failles de l'OS ou applicatives ou des fonctions de l'OS (WMI par exemple).
 
4. les sauvegardes ne permettent pas de se prémunir du cryptolocker mais de la perte de données en règle générale. Quant à l'anti-spam/virus sur la messagerie oui mais cela n'est pas suffisant.
 
5. Je ne trouve aucune information de cryptolocker qui s’attaqueraient à des bases SQL Server, Oracle ou des fichiers de sauvegarde type VEEAM.
Je suis preneur de la source.
 
6. Ils se propagent sur un réseau via "les connecteurs réseaux". C'est une lapalissade. Il est évident qu'ils ne se propagent pas sur le réseau via les claviers.
Et non ils ne se propagent pas seulement via des partages de dossiers. Déjà abordé.

Je vais essayé de voir avec lui ce qu'il a comme info.
 
Merci pour cette explication très clair Xfree, en tout cas je vais aussi revoir de mon côté l'archi surtout sur les sauvegardes. Pour voir comment cloisonner au max mes sauvegardes.
 
Car le soucis pour sauvegarder, il faut etre forcément sur le réseau, c'est tout le soucis.

 
Mais pas nécessairement le même réseau logique !
Et les sauvegardes peuvent être hors ligne.
Et si virtualisation, s'intéresser aussi à la réplication des VMs critiques.

Oui actuellement chez nous, j'ai une sauvegarde sur un site et une copie sur un autre site. J'ai aussi de la réplication via Acronis sous mes VMs.
 
Par contre même s'il y a une copie vers un autre site, il y a tout de même une connexion VPN pour venir récupérer les sauvegardes. C'est cette partie que j'aimerai limiter au final. Car sur ce serveur en question, si tu es admin du domaine tu auras forcément tous les accès au final.

Peu importe le budget, limité ou non.
Une externalisation des sauvegardes, ça ne coûte au minimum qu'un ou plusieurs disques durs externe.
Au mieux une externalisation dans un cloud.
Après je suis curieux de savoir comment il s'attaque aux sauvegardes, étant donné que c'est des dossiers pas accessible aux utilisateurs, sur des serveurs différents, parfois hors domaine.

 
+1
 
C'est pas possible de perdre exchange, Dynamics et AD avec un cryptolocker.  
 
Là il y a du sabotage interne de quelqu'un qui a les droits admin sur le domaine. Faut démonter les bases etc.

 
En dehors de la propagation aux serveurs qui contiennent des fichiers de sauvegarde, quel cryptolocker aujourd'hui attaque n'importe quel fichiers et non pas seulement ceux avec une extension définie ?
 
Concernant les moyens de propagation, perso je ne connais que l'action utilisateur de lancer le virus ou une propagation via failles OS (Eternalblue, ect.) ou WMI (via psexec avec les droits suffisants).
Le process lancé, il peut s'attaquer à des partages réseaux pour peu qu'il ait des droits dessus.

Peut-être pas AD mais le SYSVOL cela peut être vraisemblable.

Concernant les BDD, mis à part le cryptage des fichiers Access, je ne connais que l'attaque des bases MongDB sans MDP.

 
Faudrait que le mec ait lancé le cryptolocker avec un compte admin du domaine.  
 

 
Voila, une base SQL, les bases exchanges etc, tu ne peux rien faire tant qu'elles sont en activité. C'est pas possible qu'un crypto puisse faire quoi que ce soit dessus, sorti du sabotage volontaire.

 
Oui mais dans le cas présenté où tout serait touché, cela pourrait être vraisemblable. Moche mais possible

ça n'explique toujours pas les BDD. Moi je reste sur l'explication du sabotage  

 
Pour moi non plus c'est pas possible.
 
je ne connais pas de cryptolocker qui attaque ce type de fichiers et comme tu l'indiques ce serait peine perdue puisqu'ils sont lockés par le moteur BDD.

Le RDP ne serait pas ouvert sur l'extérieur ?
C'est probablement une personne de l’extérieur qui a trouvé les accès et s'est fait plaisir.
 

 
Je pense pareil, c'est une personne qui est derrière, ce n'est pas un mailing qui a fait ça.

"+1  
 
C'est pas possible de perdre exchange, Dynamics et AD avec un cryptolocker.  
 
Là il y a du sabotage interne de quelqu'un qui a les droits admin sur le domaine. Faut démonter les bases etc."
 
 
Bas ... je te confirme que si malheureusement c'est bien possible.  
 
Après savoir s'il y a pas eu un premier virus qui a donné des accès à l'extérieur, et que quelqu'un se soit amusé ... c'est aussi tout à fait probable.
 
Le soucis, c'est vu qu'ils n'ont plus rien ...bas difficile d'avoir des logs ou autre. Il y a juste un VPN via un Forefront TMG sur cette boite.

Va falloir confirmer en expliquant comment techniquement.
 
Là tu affirmes sans avoir toi-même accès à l'infra ni sans expliquer comment on peut même dans l'absolu crypter des fichiers qui sont lockés.
 
L'informatique c'est pas magique.

La personne en question est mon ancien responsable, et j'y suis passé hier (la boite est à 10min de chez moi).
 
Par exemple il vient de m'envoyer un jolie screen sur un des serveurs :  
 
 

 
 
 
Donc si j'indique quelles fichiers sont cryptés et quels applicatifs sont touchés, c'est que j'ai l'info, sinon j'ai clairement autre chose à faire. Après si tu ne veux pas me croire, libre à toi de pas répondre.

 
On conteste pas le résultat, on conteste le moyen : c'est pas un cryptolocker qui a pu péter des bases SQL.

"Là tu affirmes sans avoir toi-même accès à l'infra ni sans expliquer comment on peut même dans l'absolu crypter des fichiers qui sont lockés. "
 
 
Flash je répond à la remarque de Shongail, et je peux affirmer que les BDD ne sont plus du tout utilisables. Que ça soit SQL serveur pour l'ERP, qu'Exchange.
 
La actuellement ils vont partir sur du Office365 pour la boite mail pour aller au plus vite, car actuellement plus du tout de messagerie. Après savoir s'il UNIQUEMENT un cryptlocker derrière tout ça je sais pas, mais en tout cas les bases sont bien crypter (changement de nom et d'extension).
 
Après par quels moyens .... franchement aucune idée.

 
Il va falloir se poser la question très vite.
 
Quand je parle de sabotage, je sors pas ça pour déconner et meubler le topic. Même via des failles de l'OS c'est pas possible d'obtenir ces résultats. Là on parle de mecs qui ont eu accès à des login Admin du domaine (et pas simplement admins locaux des machines via une faille).
 
Faut savoir pourquoi/comment, si c'est du sabotage interne, ou du gros du manque de sécurité (logins admin en postit à coté de téléphone de l’accueil..), sinon votre 365 est dans par terre dans une semaine pour les mêmes raisons.

 
Bah désolé mais j'essaye de "penser", pas de "croire".
 
Que son serveur soit touché par un cryptolocker, cela ne signifie pas que les bases (AD ou autres BDD) soient cryptées.
Le virus que tu mentionnes ne s'attaque qu'à certaines extensions.
 
IDEM pour son serveur de backup. Le serveur peut avoir été infecté mais les fichiers de backup restent sains.

Si les datafiles sont cryptées, ce n'est pas le virus que tu as indiqué.
Il ne s'attaque pas aux extensions correspondantes. C'est indiqué dans le lien que tu as toi-même posté.

Et est-ce les serveurs qui ne sont pas utilisables (ou en tous cas affichent la mire de rançon) ou bien les fichiers de données qui sont cryptés ?
Ce n'est pas pareil.

voila, tout pareil.
Pour moi çà sert à rien de mettre en place quoi que ce soit  (o365 etc), tant que vous n'êtes pas 100% surs de ce qu'il s'est passé.

Moi a votre place je testerai une négo avec les hackers (Ou une première prise de contact). Sa n'engage en rien. Puis je leur envoie quelques fichiers pour qu'ils me prouve qu'ils peuvent bien les déchiffrer. Puis après je paie et je récupère toutes mes données. Ensuite je remet toute l'infra à neuf et je fais un audit de sécu. Après c'est juste mon avis.

Et moi à ta place j'irai me procurer un Bescherelle ...

Y a un post sur les crypto, avec quelques infos pas inutiles ( https://forum.hardware.fr/hfr/syste [...] 7158_1.htm )
 
Sinon, pour les sauvegardes, nous les externalisons sur bande (LTO) AVEC les fichiers de conf de veeam. Si vraiment on se fait poutrer par un crypto, suffit de remonter un serveur veeam, recracher la conf, et redescendre la dernière sauvegarde de l'intégralité de l'environnement. Un travail un peu long et fastidieux (les ad.....tout ça....) mais réalisable qui ne paralyserait pas trop. (déjà tester de temps à autre, pour valider la reprise et le timing)
 
xfreekingx. Négocier....tant qu'il y en aura qui "négocierons", il y aura des cryptolocker. Je peux concevoir qu'on s'en prenne un (j'en ai déjà eu.....cf mon lien) et qu'on y soit pas du tout préparer. Oui, ça peut faire très mal. Après, faut voir ou se situe la négligence. Si il y a un service info, c'est vite vu : soit ils ne font pas leur taf ou pense que "ça n'arrive qu'aux autres" (ça fait 2 ans qu'on crie partout qu'il faut externaliser hors ligne des sauvegardes contre ça, mettre à jour ses serveurs, etc), soit la direction leur a toujours refuser les plans qu'ils proposaient, et là, ben....ils pourront tout renvoyer au DG, "on vous avait prévenu....." (OK, je simplifie beaucoup trop volontairement)
Mais négocier...................c'est encourager la propagation de ces merdes.

 
Pour info, tu peux lire les vbk sans avoir besoin de remonter un serveur VEEAM //helpcenter.veeam.com/docs/backup/hyperv/extract_utility_gui.html?ver=95

Ce que je ferais à sa place :
- Vérification des règles de firewalling
- Vérification des comptes utilisateurs qui se sont connectés sur le serveur et qui ont crée un compte dans c:\users\xxxx
Si jamais on voit par exemple que quelqu'un s'est connecté avec un compte "scanner" sur tous les serveurs, c'est peu probable que ce soit un admin.
- Vérifier la présence de comptes avec mots de passe faibles.
- Vérification du dossiers "téléchargement" et de la corbeille car le gars à du télécharger le crypto depuis un site internet et a probablement oublié de supprimer les traces.
Le programme se nomme peut-être winrar.exe histoire de passer inaperçu.
Le but est avant tout de trouver la cause car si c'est pour restaurer et se voir tout chiffrer ensuite, ça n'a pas beaucoup d’intérêt.
 
Après il pourrait y avoir un poste qui est contaminé par un malware, ce dernier à ensuite utiliser un exploit sur les failles du SMB sur un des serveurs.
C'est possible, mais ce serait étonnant, car ce serait une personne qui en voudrait particulièrement à la société.
La plus part du temps, les gars travaillent plus pour gagner de l'argent le plus rapidement possible et ne s'embêtent pas à faire des attaques évoluées.