SMPFR

toi aussi
La je me bat avec les restaurations et les PATH qui ont plus de 255 caractères...

Pong

Malheureusement oui je termine bien la semaine! :d

Ping

we depuis hier soir pour moi

ping

Moi je la commence demain 9h15 et la finis à 20h15

pong bon ben on continue
hangout du pote de taff à l'instant :
"putain XXXXXXX (un client, banque) qui s'est pris un crypto"

plusieurs serveurs HS .... magnifique

Sortez couvert les admin

Ping :/

Chiffrement confirmé

Locky est remonté jusqu'à certains dossiers situés sur le serveur, dont l'application métier!!! Même la cartouche RDX y a eu droit!

Je devrais pouvoir restaurer via d'autres cartouches!

Locky tourne en tâche de fond ?

Ping

Nous aussi !!
2 clients infectés

On a remarqué que chez l'un des deux clients, l'attaque vient d'une pièce jointe en zip envoyé via un mail en @free-mobile.fr
Pour l'autre client, on a récupéré le poste infecté. on va l'analiser pour voir d'où ça vient...

Pong

ping

vient de mettre en place un serveur dédié déporté qui sert à backuper (je suis parano, j'imagine un truc comme ça mais qui saurait proliférer via ssh et donc infecterait le serveur de backup actuel)

J'ai l'impression qu'il passe par le partage de fichier... a confirmer par contre
Pong

J'ai l'impression qu'il passe par le partage de fichier... a confirmer par contre
Pong

En effet d'après les différents articles que j'ai pu lire, ça infecte la machine et tous les montages possibles depuis la machine (donc partages windows) en visant des extensions précises, mais ça semble en pleine expansion et on est pas à l'abri d'un truc multiplateforme qui se propage par tous les moyens possibles et imaginable

ping

Pong
Alors il commence par les fichiers locaux.
Puis par les lecteurs mappés...
Une vrai merde

@belkav Ici aussi, email freemobile.



Je confirme que les montages réseaux sont aussi affectés, par contre, certains sous dossiers ont été épargnés.

Pong

@belkav Ici aussi, email freemobile.

http://i.imgur.com/m56zkjW.jpg

Je confirme que les montages réseaux sont aussi affectés, par contre, certains sous dossiers ont été épargnés.

Pong

il ne les a pas encore fait

Un peu de lecture.

http://www.malekal.com/locky-ransomware/

Ping

Edit :

Munff
Posté le 25 février 2016 à 6:02
En l’espace de 15 min locky nous à crypter plus 50 000 fichiers…

Source : le lien ci-dessus

il ne les a pas encore fait

Ou alors il n'avait pas les acces en ecriture.
C'est ce qui a limité la casse chez nous !

Pong

Ping

Pourquoi l'antivirus de la machine n'a pas alerté l'utilisateur ? Le poste est équipé de nod32. Et d'après le lien + haut, il aurait dû détecter quelque chose.

ESET-NOD32 Win32/Filecoder.NFX 20160217

On est en pleine campagne de ransomware Locky. Les mails comportent "invoice" dans le titre, avec une suite de chiffres. Enormément de victimes... je m'attends au pire chaque jour, même si je travaille à des protections contre les ransomwares depuis 2013... pong

Pong Avant & après

Node32 n'a rien vu... ni Trend d'ailleurs...
Ping

J'ai l'impression qu'il passe par le partage de fichier... a confirmer par contre
Pong

On l'a eu sur quelques postes Windows et Mac. Au début ça tapait que les disques locaux en visant les fichiers courants hors fichiers systèmes puis ça s'est étendu sur les lecteurs réseaux. Bien évidemment, c'est tombé sur les quelques jours où notre licence Kaspersky était expirée et grâce aux lenteurs de notre administration il y a eu une fenêtre de 5 jours sans AV :/
M'enfin moi je touche pas trop aux postes utilisateurs mais j'ai dû redescendre une sauvegarde de nos serveurs réseaux sur une petite partie de l'arborescence. Le truc, c'est qu'il était facile de trouver les fichiers cryptés grâce aux fichiers .txt ou .hlp présents dans tous les répertoires où des fichiers avaient été cryptés.
Avec Kaspersky et System Watcher activé, plus de soucis.

Pong!

Ça attaque les fichiers locaux sur les Mac aussi !?
Quelle versions de osX ?

On s'est pris un crypto aussi dans ma boite lundi. Heureusement incident localisé donc pas trop de dégats.

Les employés font n'importe quoi à ouvrir des pièces jointes d'inconnus...Pfffff

Pong

Ça attaque les fichiers locaux sur les Mac aussi !?
Quelle versions de osX ?

Oui, ça m'a surpris aussi mais je n'ai pas mis le nez dedans et je me doute bien que les utilisateurs n'y sont pas pour rien non plus...
De mémoire, OSX 10.6 Snow Leopard car ce sont des PowerPC. Du coup, pas à jour du tout, décision de la direction...

Ping!

De mémoire, OSX 10.6 Snow Leopard

Ah, oui l'emmental !!

Pong journée à tous

Au menu, réinstallation complet d'un client!

2 serveurs (dont 1 VM) & 5 clients!