Virus RYUK et Variantes

[lecrabe]

Hello

 

Ce foutu virus RYUK et ses variantes attaquent fort depuis 2020 ...

 

Voir par exemple les attaques sur les hopitaux de Dax, Villefranche sur Saone, etc ...

 

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-011.pdf

 

https://www.zdnet.fr/actualites/ryuk-un-ransomware-qui-coute-tres-cher-aux-entreprises-39872615.htm

 

LA SANTE, Bye, lecrabe "fatigue"

[Curlygoth]

on est d'accord que tant qu'on ne clic pas sur le lien d'un mail on ne risque rien ?

 

mais qu'on peux néanmoins l'ouvrir et le lire ?

[Aleck_Ultimate]

Apparemment il faudrait que l'utilisateurice télécharge manuellement le fichier, qui ne déclenche aucune demande de confirmation car toutes les procédures de sécurités sont en régle.

Et les mails d'amessonages peuvent ressembler à des mail habituels.

[lecrabe]

Hello

 

1) Telecharger et ouvrir un .DOC / .XLS / .PPT et autres extensions peut etre "mortel" !?

Bien entendu je ne parle meme pas des .EXE , .COM , .MSI , .SCR , .VB? , .BAT , etc

 

2) Cliquer sur un lien Web peut aussi etre "mortel"

si il exploite une FAILLE "inconnue" de Windows, des navigateurs et anti-virus ...

 

3) En encore plus, si on est logge avec un compte ADMIN !?

 

4) Mais meme avec un compte User Windows NORMAL

si on est sur une FAILLE "inconnue" de Windows, des navigateurs et anti-virus ...

C "mortel"

 

5) Ne jamais brancher sur un port USB, une clé ou DD trouve qq part ?!

 

6) Car on peut aussi trouver / acheter des cles USB DESTRUCTIVES

qui emmagasinent dans un condensateur toute l energie possible

et la "recrache" (Survoltage) qq instants apres avoir ete inserees dans un port USB

Et BOUM Ports USB voire meme souvent cartes meres BOUSILLES !!

 

LA SANTE, Bye, lecrabe "fatigue"

[Fraid]

Bonjour,

 

je pencherais pour une infection qui vient de l'intérieur.

les hôpitaux sont des vrais passoires.

moins difficile de rentrer, trouver un PC inoccupé et brancher sa clé,

que de franchir la sécurité du serveur.

[Aleck_Ultimate]

Le spécialiste que j'ai entendu à la radio disait que c'était probablement une faille due à une passerelle depuis un PC-Perso,

donc en dehors du réseau sécurisé du bâtiment, à cause du télétravail (à l'hopital aussi ils sont en télétravail pour les postes qui le permettent).

 

Personnellement, et sans rien y connaitre, c'est peut être facile de rentrer, mais pourquoi prendre le risque de venir physiquement

quand plein d'employés travaillent en dehors du réseau sécurisé de l'hopital ? Se déplacer physiquement c'est un énorme risque.

[MNT]

Bonjour,

 

un peu de lecture sur les Cryptowares : https://assiste.com/Cryptoware.html

 

Android est aussi ciblé, et moi qui pensais être tranquille sous Linux même chose, beaucoup moins évidement.

 

Bonne journée.

[nosset]

Bonjour,

Je n'arrive pas à comprendre comment des établissements tel que ceux-là puissent être bloqués comme ca.

En 2019 ma société à été cryptée par 3 fois avec demande de rançon. deux fois à 100% du serveur un week-end

et une fois sous nos yeux en semaine pendant que l'on travaillait (ca fait bizarre de voir ses fichiers se crypter !)

A chaque fois ca a été la merde 1 journée, pas plus, le temps de contrôler, remettre le système, serveur et machine, sur pied et récupérer les sauvegardes des fichiers.

Je bosse dans un cabinet d'archi sans moyen démesuré pour la sécurité mais avec un système de sauvegarde basique mais efficace.

Je me dis que dans ce genre d'établissement, il doit y avoir des informaticiens et des moyens autres. Ils n'ont pas de sauvegardes !

 

La clé dans tous les cas c'est les SAUVEGARDES !

[Olivier Eckmann]

Ce n'est quand même pas compliqué d'éviter les virus

 

 

 

Olivier

[Curlygoth]

La clé dans tous les cas c'est les SAUVEGARDES !

Je suis d'accord !

Moi Vous me rassurez car je les lis toujours !

parfois meme : si c'est drole je réponds ^^ je suis un "ouf" XD

[lecrabe]

Hello

 

1) Avoir des sauvegardes regulieres des Serveurs, c bien !

 

2) Si il y a des donnees importantes en Local sur chaque PC, ca commence a devenir "penible" !?

 

3) Au niveau des sauvegardes, il faut regulierement tester la restauration, et CA C PAS SIMPLE !

Tout d'abord pour verifier que les sauvegardes sont OK !

Puis pour par exemple, se rendre compte du temps necessaire a reconstruire tel ou tel serveur !

On ne restaure pas des dizaines de To, en qq minutes !

 

4) Imaginez pour une petite/moyenne societe :

10-xxx Serveurs et xxx/xxxx PCs : le temps necessaire est CONSEQUENT !!

 

LA SANTE, Bye, lecrabe "fatigue"

[Curlygoth]

Faut sauvegarder les PCs aussi ^^'

[Aleck_Ultimate]

Et puis quelque part dans les pages en lien j'ai lu que le virus s'attaquait aussi aux sauvegardes quant il en avait l'occasion, même si ce n'était pas immédiat.

[vincentp010]

Si les sauvegardes sont sur un partage réseaux accessible depuis un poste de travail infecté, elles ne sont pas à l’abri.

Il faut toujours des sauvegardes hors lignes en plus, par exemple un disque externe qui n'est pas branché en permanence.

 

La règle pour les sauvegarde c'est la règle 3-2-1:

- Trois copies de vos données (il faut au moins avoir deux sauvegardes en plus des données principales de la production)

- Deux supports différents

- Une copie en hors site

 

Vous pouvez avoir un incendie sur votre site et perdre le serveur de production ainsi que la copie stockée sur le NAS (ou autre), il va vous rester la copie en hors site : elle est indispensable et peut sauver l'entreprise !

[lecrabe]

Hello

 

+1 avec vincentp010 !

 

Je sais que les inondations ou les incendies dans la salle informatique, ont été dramatiques pour des entreprises n ayant pas de sauvegardes à l extérieur...

 

Et sans oublier : les mauvaises manipulations involontaires ou volontaires ...

 

De plus si les sauvegardes sont des unites reseaux, sur lesquelles on peut ecrire avec le Login Admin "normal"

Et que le CryptoLocker tourne depuis un PC Admin, c MORT !!

 

Et une sauvegarde exterieur , c bien MAIS est elle FIABLE et TESTEE !!

 

La Santé, Bye, lecrabe "fatigué"

[Olivier Eckmann]

Bonjour,

 

Le problème des sauvegardes hors-ligne c'est toujours compliqué. Ca demande une rigueur "humaine" qu'il est compliqué de conserver dans le temps.

 

Chez nous quand on a été crypté, c'est effectivement la sauvegarde hors-site, synchronisée avec 24h de retard, qui nous a sauvé la mise.

On a perdu 1 journée de boulot, mais SEULEMENT 1 journée, donc on a pu reprendre quasiment sans perte.

 

Olivier

[lecrabe]

Hello Olivier

 

Et pour les donnees en Local sur chaque PC !?

-- Vous les avez reconstituees ou bien "tant pis" ?

 

Ce document est ancien (2016), mais les Conseils / Infos sont toujours valables :

https://1311b6f5-117e-ef98-bb6a-1385233a542d.filesusr.com/ugd/5c3f72_bcf9d5dab30747a994535ba91d5a8490.pdf

 

Encore plus ancien (2010), mais toujours des Infos interessantes :

https://1311b6f5-117e-ef98-bb6a-1385233a542d.filesusr.com/ugd/5c3f72_d6f9619cb30db20d016d4e86100a6fb4.pdf

 

https://www.ssi.gouv.fr/

---- De nombreux documents ici :

https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

 

La Sante, Bye, lecrabe "fatigue"

[Olivier Eckmann]

L'attaque a eu lieu à 23h un jeudi soir, le 1er serveur a été crypté en 2h environ, puis il est passé à un second serveur. Comme les sauvegardes se font la nuit, une partie des données sauvegardées étaient déjà cryptées.

Le matin à 8h, j'ai tout arrêté, aucun poste de travail n'a été infecté.

1er serveur complètement reformaté, et le second uniquement le disque de donnée => redescente des données de la sauvegarde hors-site.

J'ai bien transpiré, mais finalement personne n'a vu grand chose.

1 jour de perdu sur la base CRM.

 

S'il avait pu travailler tout le WE, ça aurait été beaucoup plus catastrophique.

 

Olivier

[lili2006]

Bonsoir à toutes et tous,

La règle pour les sauvegarde c'est la règle 3-2-1:

- Trois copies de vos données (il faut au moins avoir deux sauvegardes en plus des données principales de la production)

- Deux supports différents

- Une copie en hors site

Je n'avais pas de nom pour cette règle que je m'impose et impose aux étudiants (qui rigolent bien jusqu'au jour ou il me font le fameux coup du "j'ai perdu ma clé,",..)