Bonjour,
depuis qqs ma compagnie se fait attaquer par du crypto Odin
Un collègue nous a parlé de SentinelOne
Avez vous connaissance de cette société?
Bonsoir lyonel,
Cette société n’apparait pas sur le compte rendu de Malekal’site concernant les Ransomwares:
http://www.malekal.com/locky-ransomware/
Cette société semble très pointu pour apporter la restauration des fichiers cryptés suite à une attaque de ce type
Pour rappel:
Qu’est-ce que Locky?
Locky est un rançongiciel distribué via des fichiers .doc malicieux joints aux emails indésirables. Ce document Word contient un texte brouillé qui semble être des macros. Une fois que l’utilisateur active le paramètre des macros dans le programme Word, un exécutable (le rançongiciel) est téléchargé. Ce qui suit est le cryptage de divers fichiers. Noter que Locky change tous les noms de fichiers en 16 lettre et chiffres uniques avec une extension de fichier .locky (.zepto), donc, il devient presque impossible d’identifier les fichiers. Tous sont encryptés en utilisant les algorithmes RSA-2048 et AES-1024, donc, une clef privée (qui est stockée dans des serveurs à distance contrôlés par des cybers criminels) est requise pour le décryptage. Afin de décrypter les fichiers, la victime doit payer une rançon.
Après que les fichiers soient encryptés, Locky créé un fichier .txt dans chaque dossier qui contient les fichiers encryptés. De plus, ce rançongiciel change le papier-peint du bureau. Autant les fichiers texte que le papier-peint contiennent le même message qui informe les utilisateurs à propos du cryptage. Il est énoncé que les fichiers peuvent seulement être décryptés en utilisant un décrypteur développé par les cybers criminels, qui coûte .5 Bitcoin (au moment de la recherche .5 BTC était équivalent à 207.63$). Pour faire cela la victime doit installer le navigateur Tor et suivre le lien fourni dans les fichiers texte/le papier-peint. Le site web contient des instructions de paiement étape par étape. Il vaut la peine de mentionner que Locky supprime tous les fichiers des clichées instantanés des volumes. Au moment de la recherche il n’y avait aucun outil capable de décrypter les fichiers affectés par Locky, donc, la seule solution pour ce problème est de restaurer les fichiers à partir d’une sauvegarde.
En fait une véritable plaie pour le particulier, pire pour les entreprises :-
La mutation ainsi que l’évolution de ce type de virus ne peut être contré que par l’archétype d’une protection qui comporte en relation les éléments (actifs) suivants:
- Antivirus
- HIPS
- Viruscope
- Firewall
- Sandbox
- Cloud AV
Bien sur la réalisation de sauvegarde “intégrale” du système à heure fixe et vivement recommandé.
Le choix d’une protection quelle soit d’une société ou d’une autre ne définie pas le paramétrage idéal, notamment pour les sociétés ou les réseaux ainsi que les clés USB et autres apportent un danger important.
NB: Comodo CIS protège contre ce type de virus
Bonjour,
Je ne sais pas si Malekal est censé etre exhaustif.
Peut etre pas pour les solutions non vendues aux particuliers.
En tout cas sur Avtest il est référencé.
Bon de toute façon rien ne vaut un POC.
Symantec endpoint n’est pas cher du tout mais ne vaut rien.