Ransomware Locky se glisse dans des pièces jointes...

Résolu/Fermé
SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017 - 27 mai 2016 à 10:49
SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017 - 4 juil. 2016 à 18:25
Bonjour,

Les virus Ransomwares se propagent comme de l'huile. En particulier Locky.
Le gérant de mon entreprise a reçu un mail douteux sur son mobile, dont l'objet est de type "ATTN: Invoice ...", dont il n'a, bien entendu pas ouvert le document joint.

D'après de multiples forums comme ici par exemple

https://korben.info/locky-quil-y-a-a-savoir-malware-moment.html

on démontre qu'un document pièce jointe de ce type active, une fois téléchargé et lancé active une macro qui cherche le virus sur un serveur, afin de l'installer, de chiffrer les données et de demander une rançon pour les décrypter (ce qui ne sera probablement pas le cas).

Le patron a donc informé à ses employés de ne pas ouvrir les pièces jointes, voire ne pas les enregistrer.

J'ai suggéré une visionneuse pour éviter de lancer les fichiers documents par exemple.

J'aimerai avoir votre avis sur cela et sur les démarches à suivre pour ne pas nuire à la sécurité de l'entreprise. Je le précise je ne suis que stagiaire, et on me demande cela une semaine avant la fin de mon stage. Je ne suis pas expert en sécurité.

Je vous remercie d'avance

Cordialement

SmiTech

2 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 27/05/2016 à 10:55
Salut,

Tout est dit là : https://www.malekal.com/locky-ransomware/
Les campagnes Locky pour sensibiliser les utilisateurs : https://forum.malekal.com/viewtopic.php?t=54467&start=

Locky se propage par :
- des emails en JavaScript - il faut désactiver Windows Script Host (ou marmiton / AppLocker)
- en Office via des macros - sachant que ça c'est loin d'être nouveau puisque depuis Aout 2015, Dridex utilisait ses méthodes, sauf que c'est moins visible qu'un ransomware.
Potentiellement donc, ceux qui se font avoir par Locky ont pu se faire avoir par Dridex par le passé => https://www.malekal.com/trojan-dridex-mail-malicieux-macro-office/


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

ou si domaine AppLocker : https://www.malekal.com/windows-applocker-bloquer-les-executables-et-scripts/


Veuillez appuyer sur une touche pour continuer la désinfection...
0
SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017 140
27 mai 2016 à 11:06
Merci pour cette réponse rapide. Mais pour les factures free mobile, comment on peut reconnaître le détail qui démontre une pièce jointe infectée ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017
Modifié par Malekal_morte- le 27/05/2016 à 11:09
faut afficher les extensions de fichiers.
- Email malicieux Free : fichier zip contenant un javascript
- Vrai email Free : PDF attaché.

Faut former les utilisateurs.
0
Utilisateur anonyme > SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017
27 mai 2016 à 11:16
en plus pour les factures Free il suffit de les regarder sur son compte en ligne, là au moins pas de soucis
0
SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017 140 > Utilisateur anonyme
27 mai 2016 à 11:27
Oui, surtout si on reçoit des factures de Free sans y être abonné.
0
SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017 140 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
27 mai 2016 à 11:27
ok, merci. Mais du coup le gérant a demandé à ne plus télécharger de pièces jointes. Et du coup je voulais savoir si ouvrir les pièces jointes (potentiellement de mail non malicieux) avec une visionneuse était sécurisée ?
0
SmiTech Messages postés 1058 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 21 juillet 2017 140
4 juil. 2016 à 18:25
Je passe cette discussion en résolu, car j'ai proposé NOD32 à mon entreprise de stage. Le prochain stagiaire a pris la suite dans la sécurité de l'entreprise.

Merci pour vos conseils ;)
0