Plusieurs entreprises locales attaquées par un nouveau virus informatique

lundi 26 janvier 2015

 Après le « phishing » et le piratage de sites locaux ces dernières semaines, place au « CTB-Locker », également appelé « Critroni ». Ce nouveau virus vient de faire son apparition au fenua bien qu’il ait été détecté à l’échelle mondiale au mois de juillet dernier.
Ce programme de type « cheval de Troie » a d’ores et déjà impacté le parc informatique de plusieurs grandes entreprises de Polynésie et certainement les ordinateurs de multiples particuliers. Un informaticien que la Dépêche a contacté dit être intervenu, ces derniers jours, pour le compte de cinq groupes victimes de ce virus.
En substance, celui-ci se transmettrait par mails et s’installerait sur les ordinateurs après qu’un utilisateur peut vigilant ait ouvert la pièce-jointe que le courriel contenait. Le programme malveillant crypte alors les données contenues sur le disque-dur. Des informations qui ne sont plus accessibles tant que l’entreprise, ou le particulier, ne s’acquittent pas d’une rançon.

Lire l’intégralité de cet article dans La Dépêche de Tahiti de lundi 26 janvier ou au feuilletage numérique

 

Anonymous 2015-02-06 17:45:00
Shadowexplorer! C'est a chier Easeus back-up, déjas essayer!!!
lebororo 2015-02-05 04:24:00
Pour une bonne copie de votre disque...
Easeus back-up
Kenty 2015-02-04 23:22:00
Je confirme, Shadowexplorer peut aider à retrouver vos fichiers graces au backup de windows, mais ce n'est pas toujours le cas ... à voir selon les cas.
Papoy 2015-02-04 23:18:00
Il existe une solution pour retrouver ces fichiers (ca s'appel shadowexplorer), cela m'a bien aidé dans mon cas, je vous invite à suivre cet article pour savoir comment l'utiliser : https://www.comment-supprimer.com/ctb-locker/
en tout cas ne payez pas la rancon demandée !
lol 2015-02-04 19:58:00
Vetea le farani, tu sais à quoi on reconnait un farani ? A sa grande gueule qui veut toujours avoir le dernier mot ! Et tu dois rire jaune car contrairement à ta prétention et à ton arrogance, je minimise pour ne pas que tu sois trop jaloux et que tu ne te rendes pas compte que vouloir réussir en Polynésie - 250 000 habitants - c'est juste une blague !!!

Comme les blaireaux qui roulent en Porsche S à Tahiti...

What's the point ? In Germany you can have fun and drive at 300km/h but here I don't see the point !!!

Et se la péter quand on fait de l'informatique en Polynésie faut vraiment être au bout du rouleau !!! n'est-ce pas Vetea !!
Vetea 2015-01-31 12:09:00
Merci de me distraire quelques minutes chaque jour. C'est plutôt agréable :)
J'attends la prochaine ou ça s'arrête là ?
lol 2015-01-30 17:20:00
Et pour tout dire il y a même une société qui se fait du blé sur mon compte ! un peu trop à mon goût si tu veux tout savoir ! Cela paie bien l'informatique quand tu es Expert Certifié...

Biz poulet faut pas être aigri !!! chacun ses choix c'est sympa la suisse pour skier et je suis fan de ski !!!

Et Tahiti c pas si mal !!!

lol
lol 2015-01-30 17:02:00
La somme exacte est en fait -1 153 651,08 XPF - désolé le franc suisse a monté !!! lol bouffon !!!

Mais je ne travaille plus depuis octobre 2014 je prends des vacances, je suis free lance

Biz
Vetea 2015-01-30 14:53:00
Mais oui mais oui :)
lol 2015-01-30 13:39:00
Ecoute dans informatique je suis comme Saint Thomas, je ne crois que je ce que je vois et les grandes bouches comme toi ils me font rire avec leur c'est facile !!!

Et bien si c'est si facile décrypte-le ! Et pourquoi les faranis au fenua se croit toujours obligé de prendre des pseudo maohi ???

L'humilité, tu connais ! Et entre ta grande bouche et Kalspersky, désolé mais tais-toi quand on est au fond du trou, il faut arrêter de creuser, tu t'enfonces !!!

Et si tu es si fort que cela qu'est-ce que tu fous au fenua, je peux gagner 1 million en Europe par mois et toi ?

Allez nana
Vetea 2015-01-30 09:20:00
Ou comment se contenter de lire des choses sur Internet et le prendre pour argent comptant permet d'arriver à la bêtise...
Prochaine étape : le cas du mec qui te dit de sauter du pont mais qui est expert en armature donc il a raison :)

A+
lol 2015-01-27 19:13:00
VETEA Tu me fait rire même si je suis sûr que t'es sérieux!!! Personne n'y est arrivé encore et cela 6 mois que ce cheval de troie a été détecté Après tu peux télécharger le source et go go go hi hi hi

J'aurais vraiment tout entendu !!!! Allez j'attends ta vidéo montrant que VETEA a cassé l'algo de chiffrement alors que personne n'y ait arrivé jusqu'à présent !!!!

je cite les experts de chez Kalspersky désolé VETEA tu ne fais pas partie de mes références mais si tu casses cet algo je fais une page fb à ta gloire:

*Please note that, as of now, there is no method of decrypting the files encrypted by Cryptoni.
lol 2015-01-27 19:03:00
VETEA

Pour l'histoire de la crypto, le système n'est pas si inviolable que décrit.

MORT DE RIRE

T'as cassé le BITCOIN aussi toi hein ???? lol lol lol
lebororo 2015-01-27 17:06:00
La pub commence...
il y a quelques années, j'avais utilisé "Malwarebytes" mais depuis longtemps je ne le l'utilise plus.
Je suis actif de WinPatrol depuis plus de 15 ans. ♥
ARAPARI Tamatea 2015-01-27 15:16:00
Depuis longtemps que j'ai mon pc avec une bonne protection de Malware, mon pc est toujours rapide, j'ai pas d'antivirus, juste Malwarbytes. http://fr.malwarebytes.org/ .LES ENTREPRISE, JE VOUS COSEILLLE D' ACHETER MALWARBYTES POUR UNE LONGUE VIE DE PROTECTION.
Vetea 2015-01-27 15:00:00
Je ne dis pas que ces sociétés n'ont pas de problème de sécurité (de toute façon toutes les sociétés que je connais, sans exception, est affecté par des failles plus ou moins importantes...).

Pour l'histoire de la détection antivirale... oui dans la majorité des cas ce type de malwares est détecté. Il suffit d'être tombé sur le mauvais gars qui a packé correctement le malware et tu contournes 95% des antivirus du marché. Bon je n'y crois pas dans ce cas là, je pense plutôt à l'incompétence des gens :)

Pour ECDH si tu veux, mais AES + RSA c'est tout aussi performant, le reste c'est de la connerie dite pour buzzer. Et je citais AES au hasard, il en existe plein et ça ne fait que recouper ce que je disais précédemment : A part quelques agences gouvernementales y'a pas grand monde qui peut faire grand chose contre ça.

Pour l'histoire de la crypto, le système n'est pas si inviolable que décrit. Ce fameux expert n'a pas l'air si expert que ça car sinon il saurait qu'obtenir les clés primaires (qui elles semblent vraisemblablement dans le binaire) permettraient de calculer les clés secondaires.

Pour l'anecdote, la description faite est celle de réseaux industriels
=> A tahiti tu n'as quasiment aucune entreprise qui soit équipé de tel réseau mis à part EDT ou équivalent
=> Télécharger/Surfer sur le net depuis un poste ou serveur de réseau industriel est totalement suicidaire et si cela est fait bah y'a plus qu'à pendre le mec qui le fait et à se poser des questions sur les responsabilités de la direction sur l'organisation de la sécurité
=> Ce malware n'est particulièrement fait pour cibler les réseaux industriels mais plutôt les postes de travail des utilisateurs et éventuellement des serveurs classiques Windows (serveurs de fichiers, Active Directory, etc.)

En bref, cette anecdote n'a vraiment rien à voir avec la très grande majorité des sociétés polynésiennes.

Par contre je note bien que la source citée essaye bien de refourger des antivirus à des gens :)
lol 2015-01-27 12:49:00
L'adage politicier ne dit-il pas " cherchez à qui profite le crime "...

Sinon Vetea, si des entreprises ont perdus des données sensibles c'est que leur système d'information est très mal fait ! AVG, Avast en version freeware les détectent comme une grande partie des Antivirus du marché et les firewalls le bloquent également (Liste exhaustive sur le lien suivant: http://malwaretips.com/threads/critroni.30817/)

De plus le système d'encryptage est un des plus puissants du moment :
Critoni/Onion is also different from malware of the same category in regard to the cryptographic scheme used, since it does not rely on the combination of AES and RSA algorithms, but uses one of the most powerful algorithms, the Elliptic curve Diffie–Hellman (ECDH).

Et puisque tu as l'air branché crypto:

After generating the master public/private encryption keys, each file is locked with a new pair of keys (session public/private) and then the shared secret (session secret) is calculated from the master public and session private. None of the private keys are saved locally, nor is the shared secret.

To better understand the principle, Fedor Sinitsyn of Kaspersky provides the following equality:

ECDH(master-public, session-private) = session-shared = ECDH(master-private, session-public)

Et je te cite également ceci pour que tu comprennes ma surprise que des entreprises puissent avoir été infectées et qu'ellles puissent avoir des pertes !!!! :

Within the industry malware like cryptolocker cannot run, cannot execute and cannot even infect a single file.
Because the security has a list of files and executables that are allowed to run and block all others, not to mentioned session and shadow copy protection. So cryptolocker is really not that hard to avoid.
Another thing is as cryptology software in any shape or form will not run by default on a industrial network (at least not on mine and that of our clients) for the exact reason as stated above.
Imaging a company like Philips or Siemens being hit by such malware and it would crypt the process line server.
Boy o boy you have no idea what the amount of damage would be.
One of our Clients is a food processing and manufacturer company its one of the largest on the planet (second or third) if they would get hit with such malware it would cost them a few hundred million a day just to have the system being shut down then i am not even talking about the data itself. So companies like that have a large budged to avoid these infections in the first place.
So yeah while crypto type malware are creating Havoc in home land they sort of are a joke industrial wise.

Bon si tu lis l'anglais tu comprendras que j'ai plus que des doutes concernant ces entreprises infectés , un simple firewall ou un anti-virus à jour et il n'y a pas de soucis!!!

As to protection, Comodo Firewall did a nice job in prevention. As for a cure, it's either restoring an image or paying the ransom. No way those files can be decrypted without the code. Regarding other Cryptors, I wouldn't worry as no one will use them anymore. The Critoni variety is just too efficient in what it does (encryption speed and providing a shield for Command) for any BlackHats to pass up (or use anything else).

Finally, a fun fact- a listing of the file extensions that Crit looks for in recent builds came across my desk the other day. The sixty or so file types that are targeted does not include .tib, v2i, nor .mrimg. So images from Acronis, Symantec (I really love SSR!), and Macrium that may exist on a local secondary drive or an attached external are safe from getting trashed (so far).
Vetea 2015-01-27 01:43:00
Ouais m'enfin l'histoire de sauvegarde ça n'est pas trop envisageable dans ce cas de figure pour les entreprises.
Elles ne peuvent pas se permettre de simplement jeter leurs données par la fenêtre :)

Au passage, je ne suis pas expert malware mais à la description de celui-ci, il opère vraisemblablement un chiffrement du MBR ou quelque chose du genre. Si c'est bien fait, effacer le disque ne vous sauvera pas puisque le MBR restera chiffré et donc toujours inutilisable. Pour un chiffrement d'une trentaine de secondes cela ne peut qu'être un chiffrement de ce type. Donc on en revient à dire à nouveau que ça n'est pas envisageable d'utiliser un système de sauvegarde dans ce cas de figure.

Pour le chiffrement opéré, c'est simple : Il utilise probablement des algorithmes reconnus comme fort aujourd'hui (type AES ou autres) donc à part mettre la NSA ou la DGSE sur le coup (et encore eux ne sont capable que de déchiffrer des données en exploitant des défauts d'implémentation et non casser l'algorithme lui-même) ou bien de faire du reverse sur le malware pour voir que c'est probablement tout pourri et simple à résoudre le problème ou payer la rançon il n'y a pas grand chose à faire.

Pour le cas des entreprises, j'ose espérer que même à Tahiti les environnements d'entreprise sont virtualisés, auquel cas ce malware ne s'applique pas sauf sur les postes de travail des salariés de l'entreprise où là généralement la perte de données n'est théoriquement pas très importante.

Bref, Tahiti toujours quelques wagons de retard sur les autres...
lebororo 2015-01-26 13:29:00
sur un disque externe ou un USB...
bien sûr! ☺
lebororo 2015-01-26 13:09:00
Trop tard pour certains...
Mais l'idéal est de faire tous les jours une sauvegarde complète de votre disque C:
Si vous ne gardez que 30Gb pour lui en 6mn la protection est assurée...
Vous ne gardez que 2/3 sauvegardes au cas où!
une chaque jour!
lol 2015-01-26 13:06:00
Par contre c'est suspect car ce malware est appparu en juillet dernier !!! Et il est d'abord apparu en Russie - le code source étant également en russe ! - puis s'est répandu en Europe -avec code source en anglais !!! Et personne à ce jour n'a jamais réussi à décrypter les fichiers cryptés par ce malware! Ce qui fait que Critoni est une belle saloperie est sa rapidité à crypter les disques ( moins de 30 secondes) et enfin le fait qu'il utilise Tor une fois les fichiers cryptés pour la communication !!! Mais encore une fois, une restauration d'une image récente et hop c'est fini !!! Pour avoir il y a longtemps fréquenté certains forums de warez - on a souvent vu des représentants de société informatique venir demander de hacker telles ou telles entreprises afin qu'il soit plus sensible à leur argumentaire de vente et qu'ils puissent les compter parmi leur client !!! est-ce qu'il y a de nouvelles entreprises de sécurité informatique dans la place ??? Ceci expliquerait cela !!!

Pour en savoir plus: http://malwaretips.com/threads/critroni.30817/
      Edition abonnés
      Le vote

      Le Kitesurf :

      Loading ... Loading ...
      www.my-meteo.fr
      Météo Tahiti Papeete