Actualité Ransomware: Faille 0-day: Attaque massive



Discussion créée par Ph3niX dans le forum 'Actualité'. Date: 13 Mai 2017.

  1. Ph3niX Maître Asussien

    Ph3niX
    Musical
    • Asussien
    • Donateur
    Inscrit:
    26 Avril 2015
    Messages:
    1 422
    Likes:
    91
    Points:
    78
    Localité:
    Earth, Milky Way...
    Avis:
    +389 / 3 / -0
    Modèle Asus:
    K75VM-TY019V
    Date d'achat:
    06/11/2012
    Processeur:
    Intel Core i5-3210M
    Disque dur:
    SSD 250 Go + HDD 1 To
    Mémoire:
    8 Go DDR3
    Définition écran:
    17" 1600 x 900
    Système d'exploitation:
    Dual Boot Windows 10 Pro - Ubuntu 16.04 Xenial Xerus
    [​IMG]

    Une attaque informatique d'ampleur touche des dizaines de pays depuis vendredi, suscitant l'inquiétude des experts en sécurité. Elle est opérée à l'aide d'un logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.

    Selon les analystes de Forcepoint Security Labs, l'attaque toucherait des organisations en Australie, en Belgique, en Allemagne, en Italie, en Espagne et au Mexique. Il s'agirait «d'une campagne majeure d'emails malveillants» avec quelque 5 millions d'emails envoyés chaque heure répandant le logiciel malveillant.

    Sources:
    www.lemonde.fr: Une cyberattaque massive bloque des ordinateurs dans des dizaines de pays
    www.leparisien.fr: Vague mondiale de cyberattaques, l'entreprise française Renault touchée - Le Parisien

    Conseils:
    http://www.leparisien.fr/high-tech/...r=EREC-109-[NLalaune]---${_id_connect_hash}@1
     
    #1
    Dernière édition: 13 Mai 2017
  2. Les Forums Asus


  3. alexandre01 Modérateur

    alexandre01
    Diabolique
    • Equipe
    • Modérateur
    Inscrit:
    21 Juillet 2014
    Messages:
    2 945
    Likes:
    208
    Points:
    123
    Avis:
    +620 / 3 / -3
    Modèle Asus:
    asus s550cm
    Nom enseigne/magasin d'achat:
    darty
    Date d'achat:
    fin 2013
    Processeur:
    i7 core
    Disque dur:
    1To en théorie disque dur 7200 trs, SSD, 22G0 ssd
    Mémoire:
    16 go DDR3
    Définition écran:
    1366*768,1920*1080
    Système d'exploitation:
    Debian stretch
    Bonjour à tous,

    Ca semble être lié aux aux outils utilisés par la CIA\NSA\GCHQ qui utilisaient les failles de sécurité concernant SMB\netbios\partages de fichiers, et révélés par les shadow brokers, qui auraient récupérés les fichiers, selon leurs dires, dans un serveur que ces derniers auraient piratés, mais dont les outils n'ont pas été effacés.

    Lors de la dernière mise à jour de Windows, Microsoft aurait patché d'autres fichiers sur une autre révélation dont microsoft n'a pas dit de nom.

    Microsoft a corrigé les failles de sécurité le mois dernier, mais il semble que les mises à jour ne sont pas toutes faites chez tous les PC.

    Mais depuis ce temps, des pirates en herbe utilise les failles de sécurité pour infecter des millions d'ordinateurs.

    Un conseil: faire les mises à jours de Windows.
    Un conseil pour Microsoft: résoudre les problèmes de mises à jour lors d'une réinstallation de Windows, je suis en train de réinstaller un windows 8.1, dont windows update tourne dans le vide.
    Pour un non-initié, ce dernier ne mettra pas à jour Windows et sera infecté rapidement.

    Cordialement
     
    #2

  4. alexandre01 Modérateur

    alexandre01
    Diabolique
    • Equipe
    • Modérateur
    Inscrit:
    21 Juillet 2014
    Messages:
    2 945
    Likes:
    208
    Points:
    123
    Avis:
    +620 / 3 / -3
    Modèle Asus:
    asus s550cm
    Nom enseigne/magasin d'achat:
    darty
    Date d'achat:
    fin 2013
    Processeur:
    i7 core
    Disque dur:
    1To en théorie disque dur 7200 trs, SSD, 22G0 ssd
    Mémoire:
    16 go DDR3
    Définition écran:
    1366*768,1920*1080
    Système d'exploitation:
    Debian stretch
    Bonjour à tous,

    C'est une véritable hécatombe!


    La faille utilisée est ETERNALBLUE, un implant de equation group (groupe "mystérieux" faisant des attaques "sophistiquées") révélé pat the shadow brokers, groupe mystérieux qui a fourni certaines failles en 2016, et mis en public l'intégralité en mars\avril 2017.

    Si par malheur, on scanne votre machine, et que SMB est activé, c'est fini. faîtes les mises à jour ou au mieux n'utiliser pas Windows, dont l'ouverture et fermetures de services est complexe et chronophage.

    En effet, Microsoft active des services dangereux par défaut, dont SMB (port 445) et architecture netbios (port 137,138,139, 445) en fait partie.

    On ne se demandera jamais assez pourquoi Windows active des services dangereux par défaut.

    Ne pas oublier qu'il parefeu est illusoire si des services sont ouverts.Il faut fermer les services associés à ces ports ouverts
    En effet, on peut déterminer, même si il existe un parefeu, si un service est en court de fonctionnement ou pas.


    Un antimalware détectera des malwares détectés, et non pas de malwares non détectés\chiffrés, si vous êtes victimes d'une attaque ciblée, l'antimalware ne servira à rien.

    Pour désactiver ces failles de sécurité (avec les désavantages qui peuvent en découler), de décocher les cases suivantes et\ou effectuer les actions suivantes:

    1.png

    Par la même occasion, vous pouvez améliorer la sécurité la sécurité en suivant les modèles suivants:


    2.png

    3.png

    Vous pourrez avoir des désagréments, comme de ne pas pouvoir utiliser le DLNA, ou encore ne pas avoir accès à l'imprimante wifi à partir de votre ordinateur.

    Il y a plusieurs versions de SMB par ailleurs, si vous voulez désactiver Service Message Block, lire cette page:

    winad.epfl.ch: WinAD (Windows Active Directory) - article No 238, "How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows"


    A adapter à vos besoins.

    COrdialement
     
    #3

Chargement...

Partager cette page