Reprise du message précédent :
Ce que je ferais à sa place :
- Vérification des règles de firewalling
- Vérification des comptes utilisateurs qui se sont connectés sur le serveur et qui ont crée un compte dans c:\users\xxxx
Si jamais on voit par exemple que quelqu'un s'est connecté avec un compte "scanner" sur tous les serveurs, c'est peu probable que ce soit un admin.
- Vérifier la présence de comptes avec mots de passe faibles.
- Vérification du dossiers "téléchargement" et de la corbeille car le gars à du télécharger le crypto depuis un site internet et a probablement oublié de supprimer les traces.
Le programme se nomme peut-être winrar.exe histoire de passer inaperçu.
Le but est avant tout de trouver la cause car si c'est pour restaurer et se voir tout chiffrer ensuite, ça n'a pas beaucoup d’intérêt.
 
Après il pourrait y avoir un poste qui est contaminé par un malware, ce dernier à ensuite utiliser un exploit sur les failles du SMB sur un des serveurs.
C'est possible, mais ce serait étonnant, car ce serait une personne qui en voudrait particulièrement à la société.
La plus part du temps, les gars travaillent plus pour gagner de l'argent le plus rapidement possible et ne s'embêtent pas à faire des attaques évoluées.

"Et moi à ta place j'irai me procurer un Bescherelle ..."
 
C'est vraiment un modo qui intervient sur ce post juste pour écrire ça ? ........ sûrement un piratage de compte (enfin je l'espère).
 
BREF
 
Sinon je pense aussi à un cryptage + sabotage. Car je trouve que ça touche bien trop de chose. Maintenant pour retrouver des traces quand tu accèdes à plus rien ça n'aide pas.

Ouais enfin tu ferais mieux de te focaliser sur ce qu'on raconte plutôt que de prendre la défense de xfreekingx.
Il est assez grand et puis il lui faut déjà répondre à mes questions sur ses affirmations assez bizarres.

J'ai déjà repondu avec les infos qu'ils ont. C'est à dire ce qu'il y a de crypter, l'extension et le renommage utilisé.
 
Rien de plus, vu qu'aucune logs n'est disponible. C'est quoi que tu comprends pas ?
 
Et perso c'est pas mon infra, moi ce qui m'intéresse ce sont les infos pour proteger la mienne de ce genre de chose. Donc si ça te fait chier de répondre, ou si tu me crois pas, bas tu reponds pas.

Des infos j'en ai donné une palanquée déjà. Mais visiblement la technique c'est pas pour toi.
Tu préfères le type qui te sort qu'il faut payer, alors effectivement j'ai pas grand chose à foutre dans ton topic à la con.

J'ai pas dit que je n'ai pas lu les parties techniques, mais ça fait 3x que tu redemandes la meme chose, et que je te réponds qu'ils n'ont accès à plus rien ! (Log Windows inclus). Donc difficile d'expliquer dans les details le mécanisme du virus.
 
Donc oui ne reponds pas c'est pas grave si c'est pour dire ça.
 
Moi je préfère savoir comment cloisonnée au mieux mon infra, proteger les backups, se connecter sur un serveur AD par exemple avec le moins de droits possible etc....

Donc le sujet est clos.  
 
La question a été tournée dans tous les sens et aucun nouveaux éléments à attendre.

Malheureusement sur comment le virus a pu se propager et faire autant d'impacte, j'ai bien peur que ça ce termine sans plus d'infos oui.
 
La ils ont contacté Kaspersky et Symantec, pour envoyer des experts de chez eux, pour étudier justement plus en détail la situation, et voir s'il y a des choses sauvables. J'espère avoir des retours sur le comment du pourquoi.
 
Donc le sujet est à moitié clos si je puis dire, quand j'ai des retours de leur part je l'indiquerai ici.
 
Après reste, comment cloisonner au mieux son infra pour éviter ça par exemple. Vous utilisez un compte admin différent par serveur ? pas de compte admin du domaine etc.. ? L'objectif du poste c'était surtout ça, comment éviter que ça arrive ailleurs (ou limiter les impactes).

Le sujet a déjà été abordé et un topic unique serait peut-être à obliger par la modération.
 
https://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
 
Les cryptolockers, cela fait plusieurs années qu'on en entend causer et au moins 2 ans qu'un admin ne peut pas avoir échappé à la chose.
Même le grand public n'a pas échappé à la chose avec les Wannacry et NotPetya.

Micko77666, va faire un tour sur le topic que je t'ai mis en lien. ça fait 2 ans qu'on parle des crypto dessus, il y a des pistes, des idées, des méthodes, etc à suivre. y compris les basiques. (les droits des users, des admins, etc.....le PC portable de l'informaticien dont le compte est admin du domaine, par exemple...)  
Sinon, faut investir dans un antivirus récent (option sandboxing, etc) qui pré-éxecute les pièces jointes (par exemple) dans un environnement virtuel, analyse les risques, et fonctionne bien mieux qu'une simple bdd de définition.  
Si tu veux réellement tout cloisonner, faut tuer tes users. la seconde option, c'est de les informer, et de trouver les outils pour les protéger d'eux mêmes.

Oui malheureusement beaucoup de PME (par exemple celle en question) sont très old school, ou non pas d'admin système et encore moins de responsable sécu.
 
Du coup tu te retrouves avec des droits admin sur les postes en local, des dropbox dans tous les sens etc....
 
La personne sur site, est seul maintenant (suite à mon départ il y a maintenant 2 ans). A la base c'est un DEv qui est responsable info, donc pas forcément ultra au courant des bests practices (moi non plus, il y a toujours meilleurs que nous ou des gens spécialisés).
 
 
Par contre, c'est une des premières fois que je vois un impacte clairement aussi grand sur un réseau (en tout cas que j'ai connu).

Merci de ne pas causer de l'impact vu qu'on ne connait au final rien de l'affaire, ou alors le nom du virus mais il ne donne pas du tout ce type de conséquence.

Non, on connait pas comment il y a eu cette impacte, mais l'impacte est lui connu. Cryptage de fichiers, serveurs et BDD dans le cas présent.
 
Donc je vois pas en quoi ça empêche de parler de comment empêcher/limiter ce type d'impacte (sauvegarde, export dans le Cloud, limitations des droits etc....).
 
 
J'ai vraiment du mal à comprendre l'objectif de tes 3 ou 4 dernières interventions à chercher la petite bête pour rien mais bon.

 
Parceque , encore une fois, de ce qu'on voit d'ici, les seul conseils qu'on peut donner c'est :
 
- ne pas insulter le mec qui a les droits admins sur le domaine
- changer les mdp admin domaine quand on vire quelqu'un qui les connait.
- ne pas noter les mdp admin du domaine sur un post-it à coté du téléphone de l'accueil.
 
Parceque ton truc, c'est tout ce à quoi ça ressemble. C'est pas un cryptolocker.

Parce que quand on vient balancer "je tiens un virus qui crypte les BDD, les backups et se déplacent à sa guise", il faut le prouver !
C'est pas anodin cher ami.

Sinon, tu peux aussi t'en tenir à ce qui existe réellement car prouvé et avoir des informations en rapport avec cela.
Le topic de 10 pages est un bon commencement. Google aussi. Si tu veux plus d'infos ensuite, n'hésite pas à revenir.
Il est temps de se réveiller mais bon il n'est finalement pas trop tard te concernant. Pour ton ex-collègue par contre ...

 
Sans aller jusqu'à prouver, au minimum apporter autre chose que la photo de la page login d'un serveur si on a vraiment besoin d'aide. On peut rien faire avec ça.

supposition:
les crypto sont efficace si ils tournent en admin, ce qui est possible au vu des dernière failles (heureusement bouchées, mais encore faut-il avoir fait les MAJ)
en admin, on peut très bien arrêter les services exchange transport et SQLserver, ce qui vire le lock sur les bases.
et qui peuvent du coup etre cryptées.

je me dis qu'a la vitesse ou mute les virus et autre crypto, pourquoi pas.... (histoire de bien faire ch*er les admins/users) et sans que ce soit indiqué nulle part dans les "docs" des crypto.

c'est juste une réflexion a 2 balles, je cherche pas a défendre ou enfoncer qui que ce soit

"Sans aller jusqu'à prouver, au minimum apporter autre chose que la photo de la page login d'un serveur si on a vraiment besoin d'aide. On peut rien faire avec ça."
 
J'apporte ce qui est disponible d'apporter, je suis pas sur que quand les mecs découvrent un nouveau virus, ils aient forcément l'ensemble des éléments dans l'immédiat. Ca permets d'alerter en tout cas dans un premier temps, et peut être de confirmer ou non par la suite les choses.
 
C'est aussi le but d'un fofo, s'il faut venir avec un certificat de l'huissier avant de poster un message, ça va vite devenir compliqué de communiquer.
 
 
Merci Dims, je sais pas si tu as raisons ou torts (je le sais pas non plus). Mais il n y aurait vraiment rien d'étonnant effectivement que les mecs commencent à aller plus loin que juste des fichiers word ou excel.
 
Car après tout si tu veux faire payer une société ... détruire ses sauvegardes me parait pas débile comme idée.

Vu le screen, ce pourrait être Lockcrypt :
https://bestsecuritysearch.com/comp [...] tructions/
 
Il pourrait s'attaquer au .mdf mais pas aux .ndf, ni aux .edb, ni aux .vbk de Veeam.
 
Mais si on en croit ces pages :
https://www.bleepingcomputer.com/ne [...] wn-strain/
https://www.alienvault.com/blogs/la [...] ce-attacks
 
Il y aurait une prise de contrôle à distance et des actions pour tuer les process des applis métiers.

D'ailleurs sur le lien que j'avais donné il donne une liste d’extensions que Fairytail crypte  :  
 
 
""PNG .PSD .PspImage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .xlr .XLS .XLSX .accdb .DB .DBF .MDB .PDB .SQL .apk .APP .BAT .CGI .COM .EXE .gadget .JAR .PIF .wsf .DEM .gam .NES .ROM .SAV CAD fichiers DWG DXF SIG fichiers .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .xhtml. DOC DOCX .LOG .MSG .ODT .pages .RTF .tex .TXT .WPD .WPS .CSV .DAT .GED .KEY .keychain .PPS .PPT .PPTX ..INI .PRF Encoded Fichiers .HQX .mim .UUE .7z .cbr .DEB .GZ .PKG .RAR .RPM .sitx .TAR.GZ .ZIP .zipx .BIN .CUE .DMG .ISO .MDF .toast .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio fichiers .AIF .IFF .M3U .M4A .MID .MP3 .mpa .WAV .WMA Vidéo 3G2 .3GP .ASF .AVI .FLV .m4v .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .plugin .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DRV .icns .ICO DMP .LNK .SYS .CFG "
 

 
Et il précise bien qu'il y en a encore d'autre

 
Sauf que tu peux admettre que tu nous apportes absolument rien, si ce n'est tes conclusions qui nous paraissent bien hâtives.
 
Du coup, nous on n'a aucune réponse à t'apporter. On va pas inventer des trucs pour te faire plaisir.
 
 
On peut t'aider à investiguer pour de vrai si tu veux, mais tu ne donnes même pas l'impression de vouloir aller dans cette direction. Que veux-tu qu'on te dise ?

Effectivement LockyCript ressemble bien au screen, est-ce qu'il y en a eu plusieurs ? car il y a bien eu ceux avec l'extension de FAIRYCRAIL + les screens sur les serveurs

d'ailleurs il est indiqué :  
 
" Ce qu'il y a d'unique dans le virus LockCrypt, c'est qu'il vise à tuer autant de processus critiques."
 
Ca ressemble vraiment beaucoup à ce qui se passe ...

de base, même les premiers crypto étaient capable de flinguer les sauvegardes windows (et donc empêcher la restau "à un état précédent" ) sur un poste client, voir des .bak et autres si exécuté sur un serveur.
Ils évoluent tout le temps. à un moment, seul le poste infecté était crypté (tant pis pour le user, quoi ^^), ensuite, ça a commencé à crypter les données sur les disques réseaux....puis sur les partages avec des autorisations non surveillées du voisinage réseau.....puis après, à se répliquer de façon autonome (après première exécution "manuelle" ) et s'exécuter sur les serveurs non à jour.
Et ça fait déjà bien longtemps qu'ils ne se cantonnent plus au xls ou doc  
Mais pour le moment, arriver à ce niveau d'emmerde, je t'avoue que je n'ai jamais vu. Crypter des données normalement non dispo en modif par des biais tiers (BDD, AD par exemple) ça voudrait dire qu'il y a de la faille à tout va (arrêt de service, usurpation de process, malveillance d'une personne physique ayant accès aux serveurs, etc, etc) Techniquement ou humainement, rien n'est impossible, au final. Et c'est bien ça qui nous fait peur. Ce que tu nous écrit ou décrit est assez flippant, tout de même, d'ou la volonté de tout le monde de vouloir en savoir plus.  Comme dit ShonGail : "c'est pas anodin"

La liste connu des extensions LockCrypt, ce qui signifie qu'il peut y en avoir encore d'autre .... et dans le lien de Shongail sur LockCrypt, c'est indiqué que c'est un virus en mode Raas qui s'achète donc.
Visiblement ça installe aussi un Keyloger et exploite le RDP ...
 
Est-ce quand ils ont vu le virus la première fois avec Fairytail, ils sont pas aller avec les identifiants admin en RDP (ça c'est sur à 100% qui l'ont fait), ce qui a suffit pour aller beaucoup plus loin.
 

Si on en reste sur les articles que j'ai mentionnés, en fait au départ, c'est une prise de contrôle RDP après un accès permis par une attaque en brute force.
A partir de là, il y a une action humaine et tout est possible.
 
La première question est : existait-il des accès RDP depuis Internet sans restrictions (port par défaut, check ip source, MDP faible, etc.) ?

"La première question est : existait-il des accès RDP depuis Internet sans restrictions (port par défaut, check ip source, MDP faible, etc.) ?"
 
Non la seule façon c'était via un VPN avec Forefront TMG.
 
Mais comme il l'indique, tu peux aussi acheter avec une fonction sympa ... :  
 
" La stratégie d'attaque en plusieurs étapes utilisée par le virus LockCrypt et les précédentes souches SamSam ransomware permet aux pirates de charger des composants supplémentaires sur le moteur d'infection principal. Selon leurs stratégies, ils peuvent choisir d'inclure un module de Troie qui leur donne la possibilité d'espionner les utilisateurs en temps réel, ainsi que d'enregistrer leurs mouvements de souris et leurs frappes au clavier. Il a également été constaté que LockCrypt est capable de désactiver les composants de sécurité, ainsi que tous les environnements virtualbox, sandboxing ou de débogage."

Perso j'irai checker la conf du routeur.
Le VPN OK mais l'admin de base il a vite faite de paramétrer une redirection pour lui-même ou un tiers extérieur à l'entreprise (fournisseur, presta, client, etc.)

Le seul informaticien qui est sur le site, c'est le responsable informatique. Qui est dev avant tout (en réseau ou système il est connais pas grand chose). Et surtout que lui  a un accès en VPN de chez lui sans soucis pour faire du RDP.
 
Par contre, que lui se serait fait infecter , et que via un trojan il se soit fait piquer les logins et mdp en utilisant le RDP quand il a vu les premiers fichiers cryptés par FairyCrail ne m'étonnerait pas une seule seconde ....

Ca veut pas dire grand chose la capture d'écran avec les formats qui peuvent être chiffré : mdb, sql...
Si ton fichier est ouvert par une application et qu'il est vérouillé, le malware ne pourra pas y accéder.
 
Mais la société n'utilise pas de sauvegarde sur bandes ?

Oui mais dans la mesure où le virus peut héberger un trojan et avoir récup les accès admin du domaine, il est plus facile de kill des process qui pourrait empêcher le cryptage.
 
 
Sinon, non pas de backup sur bande, uniquement sur disque.

Donc aucun plan de reprise, en résumé. Perte du serveur (panne, grosse coupure EDF, etc), incendie de la salle, acte malveillant (virus, etc) = perte de toute l'infra et des données sans aucune possibilité de redémarrage.
Je reviens un peu sur ton premier post....Pour avoir l'esprit à demi tranquille (là je parle pour ton infra....l'autre, c'est trop tard ) c'est déjà de savoir ce que tu es capable de remettre en route après un désastre majeur aujourd'hui, et en combien de temps. Dans ma tête, le crypto peut s'apparenter à un désastre majeur, la perte du hardware en moins
Là, tout de suite, un cessna t'éventre la salle info (ou un 33 tonnes qui rate un virage, ou un de tes collègue licencié qui fout le feu, on s'en fout ^^) , qu'est ce que tu perds, et qu'est ce que tu peux remettre en route en combien de temps ? Partant de là, tu vois avec ta direction pour le budget. Ils ne voient généralement que les problèmes considérés comme majeur (incendie, surtension, etc), rares et improbables donc "pourquoi dépenser autant pour un risque aussi minime" mais certaines merdes informatiques valent tout autant, et peuvent tomber n'importe quand....

"Donc aucun plan de reprise, en résumé. Perte du serveur (panne, grosse coupure EDF, etc), incendie de la salle, acte malveillant (virus, etc) = perte de toute l'infra et des données sans aucune possibilité de redémarrage."
 
 
En faite ils sont sur deux alimentations électriques différentes, et deux bâtiments différents 100m d'écart entre la prod et le PRA.
 
Donc c'est pas la grosse grosse infra, mais il y avait un minimum potable quoi. Donc hors le cas virus ou malveillance, c'était pas possible de perdre les deux en même temps (bon un avion qui s'écrase ok).
 
 
Concernant mon infra actuelle, elle n'a pas les mêmes problématiques que mon ancienne boite (mono site avec 150 personnes).
 
Nous sommes 400 sur 21 sites en France, de mon côté j'ai fait pour l'instant :
 
 
- 1 site avec :  
 
- 2 ESX avec Vcenter + baie de stockage iSCSI (switchs dédiés)
- 1 Serveur physique de backup avec ACronis + baie en DAS
 
- 1 site avec :
 
- 1 ESX avec stockage de disque local
- 1 Serveur physique de backup avec Acronis + baie en DAS.
 
En gros je sauvegarde sur un et copie la sauvegarde sur le second site. Je récupère les données des différents sites. Je vais voir pour rajouter un stockage dans le Cloud pour de l'archivage.
 
Après ma problématique, c'est comment etre sur que RIEN ne touche à mes sauvegardes. Car pour que le serveur puisse sauvegarder, il lui faut forcément des accès sur notre réseau, donc potentiellement il est attaquable .

 
D'ou le principe de dé dup sur disque puis d'externalisation (sur bandes/cloud/autres). C'est la base et le minimum vital de toute infra.

Des LTO. Un coffre ignifugé, ou une politique de roulement des bandes sur un autre site.
Là, tu es certain Seule une sauvegarde offline peut t'assurer une bonne résistance aux virus ou attaque de tout poil. Un NAS ou disque externe connecté, c'est attaquable. Pars du principe que quelque soit la sécurité que tu y mettras, tant que c'est en ligne, c'est "attaquable".....si c'est pas aujourd'hui, on trouvera une faille demain, le 100% n'existe pas.
 
ici, j'ai un coffre ignifugé, et seule 2 personnes en ont la clef. Il résiste à un incendie (et là, je parle de la résistance des bandes, donc pas d'augmentation intolérable à l'intérieur) sur une durée de 4h.  + le site de PRA ou l'ensemble de l'infra est répliquée (SRM), faudrait un sacré concours de circonstance pour tout perdre....mais c'est possible ^^

Exactement, c'est vrai qu'il y a quelques années honnetement mise à part la malveillance, tu avais pas forcément besoin d'autant. Maintenant avec ce type d'attaque .... c'est devenu indispensable.
 
La je regarde chez Online et OVH en terme de coup et propositions ce qu'ils font.

 
Non pas forcément. Les cryptolockers récents sont capables de dumper les mots de passe des utilisateurs qui se sont connectés sur les machines infectés. Il suffit qu'un compte à haut privilège se soit connecté sur une de ces machines pour s'emparer de son compte.

Perso j'avais testé Mimikatz et seuls les passwords des users encore loggués étaient récupérables.
Pas ceux des users dont les sessions étaient fermées.

 
Perso les solutions en ligne pour des sauvegardes je les fuis comme la peste (je pourrais developper si tu le souhaites)
 
A titre d exemple, nous c'est de dup sur disque -> puis sur bande pour les completes ->  puis coffre au sein de l'entreprise pdt 2 mois -> puis coffre en banque par set mensuel stocké pendant 3 ans. (bien evidemment modulo l'importance / le type etc... des données sauvegardés.)
Tout ceci en plus d'un PRA sur 2 autres DC qui va se transformer en pca prochainement.

C'est largement suffisant pour gratter des privilèges sur les postes de travail et sur les machines utilisant des accès RDP.

Disons que l'archivage sur le Cloud permets aussi de s'affranchir pour moi de la volumétrie. Car la boite grossit très vite (+30% de CA tous les ans depuis 6 ans, et entre 70 et 100 embauches par ans depuis 3 ans).
 
Sans compter la croissanxe externe avec déjà 3 rachats de boite depuis que j'ai pris le poste en decembre. Donc c'est très compliqué de dimensionné même à moyen terme l'infra. Donc gérer des bandes, sachant que dans 4 ou 5 ans mes bandes, elles sont lisibles ? Toujours les memes support ? Toujours le même soft de sauvegarde ?
 
Bref pas trop envie de m'embêter avec cette gestion. Pour moi 2 backup sur 2 sites différents + 1 externe, ça me paraît pas trop mal.
 
 
Après comment restreindre au max les accès ? Serveur en bastion ?