Archive | Alerte infections RSS feed for this section

Cryptowall 4

infection cryptowall 4Cryptowall 4, ou comment perdre toutes ses données à coup sur

Cryptowall 4, la nouvelle version du tristement connu Ransomware refait surface dans une nouvelle version. De plus celui-ci se distribue d’une nouvelle façon, en plus des courriels infectés, il est maintenant distribué dans ce que l’on appelle le Nuclear exploit kit. Ce kit d’infection pour hacker que l’on retrouve sur les sites underground permettant d’attaquer les ordinateurs et disponible à qui veut bien s’amuser avec celui-ci.

Les ransomwares sont les nouvelles tentatives des arnaqueurs pour infecter les ordinateurs. Ce programme crypte tous les dossiers avec une forte cryptions et demande ensuite une rançon variant de 200 $ à 10,000 $ devant être payé en Bitcoin.

Les rapports du mois dernier montrent que la version 3.0 à réussi à amasser 325 $ millions en revenus. Avant la version 4, la façon d’infecter un appareil était par pourriel ou courriel d’hameçonnages. L’apparition de la version 4 date du 20 novembre 2015 et se propage maintenant par des sites infectés, téléchargement et mise à jour de programmes.

 

Que faire si vous êtes infectés :

Le cryptage étant pratiquement invulnérable les options sont alors minimes.

Soit formater votre ordinateur et restaurer vos données à partir d’une sauvegarde non contaminée. Ou payer la rançon … sans assurance que vous retrouverez vos données.

 

Prévention :

Comme la plupart du temps les infections proviennent d’ouverture d’attachement infecté ou de clics sur des liens contenus dans les courriels.

Ne pas cliquer sur ces liens provenant de sources inconnues. Ex : même s’ils proviennent de votre institution financière (vous pensez).

Maintenir des sauvegardes à jour localisé hors de votre ordinateur et pas sur un disque externe relié à celui-ci, il sera encrypté aussi. Adhérez à un vrai service de sauvegarde en ligne et non pas un service de stockage (Dropbox, Azure et autre …) qui se synchronise automatiquement. Car la synchronisation aura pour effet de crypter aussi les données du Cloud.

Maintenir un système de protection efficace sur chacun des ordinateurs du réseau. Si un appareil n’est pas protégé, il cryptera les autres par le réseau.

Les statistiques et une partie des informations proviennent de cet article du Hacker News

Lire la suite... · Commentaire { 0 }

CryptoWall comment il s’installe et meilleures pratiques pour le prévenir

Voici comment le ransomware cryptowall procède pour s’installer.

  1. Quand un lien infecté est cliqué, un Zbot est téléchargé sur l’ordinateur et le logiciel de rançon cryptowall est installé.
  1. Le malware est ajouté au démarrage automatique du système, tout en changeant son nom à chaque démarrage. Sa fonction est de rejoindre, par le biais d’internet, une communication avec un serveur dédié à ce sujet.
  1. Après avoir établi la communication avec succès le serveur envoie une clef d’encryptions publique pour encrypter les fichiers. De plus il importe une adresse Bitcoin correspondante qui permettra d’accepter le paiement.
  1. Utilisant cette clef le malware cherchera à modifier plus ou moins 70 différentes sortes de fichier sur votre système. Il faudra alors obligatoirement la clef d’encryptions pour ouvrir les fichiers. Celle-ci est situé sur le serveur et non sur votre poste. Voilà pourquoi il ne sera pas possible de détecter l’encryptions utilisé.
  1. Lorsque les fichiers sont encryptés par cryptowall, il vous sera présenté un écran (pour voir le visuel, consultez notre autre article à ce sujet)avec les instructions pour arriver à récupérer vos données et le compte à rebours commence. Si vous payé la rançon vous recevrez peut-être la clef d’encryptions permettant de renverser la situation et de récupérer vos données. Au moment d’écrire cet article je ne connais aucun individu qui est parvenu à récupérer ses données même après avoir payé le montant exigé, qui est la plupart du temps autour de 500.00$ et augmente d’heure en heure.

Les meilleures pratiques pour prévenir cette infection sont :

  1. Gardez votre système d’opération à jour.
  2. Sachez comment vos applications se mettent à jour. Certaines applications auront un pop up message à l’écran, d’autres vous aviseront par courriel, ou vous serez notifié pour certains seulement lorsque vous ouvrez le programme. Si vous obtenez un avis inhabituel, contactez la compagnie et informez vous.
  3. Si vous recevez un courriel dans ce but, et que vous n’êtes pas sur. Contactez le fabriquant en passant par son site web. Ne cliquez jamais sur ces liens contenus dans le courriel ou n’appelez surtout pas le numéro proposé dans le même courriel.
  4. Utilisez des programmes recommandés pour votre protection et les maintenir à jour.
  5. Ne cliquez pas sur les annonces pour des produits ou compagnies que vous ne connaissez pas. Si une de ces annonces est très attirante, abstenez vous, visitez directement le site web du supposé concepteur pour vérifier.
  6. Ne téléchargez des navigateurs web ou plug-in ou extensions que du site web du concepteur et non pas de site de téléchargement général. Même s’il y a mention que le téléchargement est gratuit…. justement rien n’est gratuit.
  7. Prenez ce que l’on appelle des snapshot de votre disque dur à tous les mois. Ceci conservera les données, les programmes, le Windows, autrement dit tout ce qui est présent. Enregistrez ces images système à l’extérieur de votre ordinateur sur un disque externe qu’il ne faudra pas laisser connecté à votre appareil, pour ne pas qu’il soit détecté et aussi encrypté.
  8. Effectuer une sauvegarde qui ne sera pas emmagasiné sur votre réseau, comme une sauvegarde en ligne d’Infortmic ou les données ne peuvent êtres accédé par ce ransomware.
  9. Vigilance est la clef de la sécurité. Votre responsabilité, comme usager, est de savoir ce qui arrive à votre ordinateur. Vous n’avez pas besoin d’être un expert en sécurité informatique, mais vous devez pratiquer ce que l’on appelle des clics responsables. En demeurant éduqué et alerte vous réduirez de beaucoup vos chances d’êtres infectés non seulement par cryptowall mais aussi par une multitudes de virus.
Lire la suite... · Commentaire { 0 }

CryptoWall le prévenir, l’éliminer et récupérer ses données

CryptoWall  le prévenir, l’éliminer et comment faire pour récupérer les données cryptées

CryptoWall est un virus de type rançon. Il s’installe et démarre en arrière-plan un processus caché, sans qu’il soit possible de l’arrêter lorsqu’en opération. Ce processus cherche tous les fichiers de type Microsoft (Word, Excel, courriel, photos, etc..) présent sur tous les disques durs connectés à l’unité infectée. Ceci inclut les connexions réseau à des disques externes, les disques externes branchés physiquement à l’ordi et toute clef USB ou mémoire photo présente au moment de l’infection.

Tous les fichiers trouvés seront cryptés avec une clef publique suivant la  méthode de cryptages RSA-2048. En même temps une clef de cryptages privée est générée et envoyée sur un serveur à l’extérieur de votre PC. Tous les fichiers d’origine sont supprimés pour contrecarrer les tentatives de récupération.  Il est possible de décrypter les données avec des outils appropriés, mais cela est extrêmement long : des jours ou des mois pour y parvenir. Mais les arnaqueurs ont ajouté une date d’expiration à la clef publique, ce qui fait en sorte qu’il est pratiquement impossible d’y parvenir dans les délais accordés de 7 jours.

Un fichier d’instruction s’ouvrira automatiquement sur l’ordinateur infecté montrant les opérations à effectuer pour retrouver ses données. Il faudra alors payer une rançon de 500$ dans un délai prescrit par la suite le montant augmente. Je vous suggère d’oublier ce processus vous allez perdre de l’argent et ne pas retrouver vos données. Voir ci dessous l’image du message de CryptoWall

Comment désinfecter Cryptowall

Comment le prévenir : avoir en place un système de protection efficace incluant antivirus, antimalware, et  anti espions. Ce virus sera détecté et éradiqué avant de pouvoir procéder à son travail de destruction. Ne pas cliquer sur des liens dans les courriels que vous n’attendez pas. Ne pas autoriser à procéder si votre protection vous donne une alerte. Avoir en place une stratégie de sauvegarde de données efficace – sauvegarde en ligne – qui ne sera pas touché dans toutes ses versions par l’infection, car non présente physiquement dans l’appareil. Installer avant l’avènement de cette situation un logiciel de récupération de fichiers supprimés comme Récuva (inutile si installé après le cryptage). Activer le versionnage de fichiers dans Windows.

Comment l’éliminer : mettre à jour vos protections si vous possédez des versions payantes. Achetez des versions complètes si vos protections sont gratuites, elles ne sont pas en mesure d’effectuer toutes les vérifications requises. Ou encore, utiliser un outil spécialisé pour l’enlever de Norton ou de Malwerebytes

Récupérer ses données : comme les données sont maintenant illisibles, tout dépend des configurations initiales présentes dans votre ordi. Le fichier d’origine est supprimé dans le processus : avez-vous Récuva, si oui procéder avec ce logiciel les chances sont bonnes. Sinon passez à l’étape suivante.

Le versionnage est-il activé, si oui servez-vous-en, les chances sont bonnes, sinon l’activation après les dommages est totalement inutile. Passez à l’étape suivante.

Rendu à cette étape il vous faut des sauvegardes externes à votre ordi, sinon c’est inutile ils seront encryptés aussi. Restaurez les sauvegardes des fichiers désirés et le tour est joué.

 

Assurez-vous d’avoir complètement éliminé ce virus avant de tenter une de ces étapes sinon c’est peine perdue. La prévention est votre meilleur gage de réussite, sans elle le taux de récupération s’approche de zéro, alors…

 

 

Lire la suite... · Commentaire { 0 }

Ransomware c’est quoi et comment le prévenir.

Les ransomware , logiciel de rançon ou rançongiciel sont de plus en plus présent comme infections informatique en ce moment. Ce type d’infection à pour but de chiffrer les données d’un utilisateur et d’exiger par la suite une rançon pour le déchiffrage. Le plus inquiétant est que ce type d’infection est très facile à concevoir. Des sites internet, nous ne donnerons pas de lien ici pour y accéder vous comprendrez pourquoi,  offrent la possibilité de créer ce type d’infection en seulement trois clics de souris. Tout le programme est déjà créé, il suffit d’inclure le message qui s’affichera à l’utilisateur et le montant de rançon exigé pour décrypter les données.

Comment l’infection peut-elle s’installer ? En ce moment cette attaque se répand surtout par courriel avec un fichier joint à cliquer au format .zip. Bien entendu le contenu est un fichier exécutable qui installe l’infection, crée des clefs dans la base de registre pour qu’il se réinfecte à chaque démarrage de l’unité infecté. Deux clef de chiffrement sont alors généré dont une est envoyé par internet au serveur maître. A noter que le chiffrement peut même s’effectuer sur des disques réseau  et n’est pas limité au disque interne de l’ordinateur visé. Il est aussi possible d’être infecté par une simple visite sur un site internet non protégé.

Les ransomware les plus rencontrés actuellement sont CoinVault , PCLock mais il en existe des centaines en circulation. Il existe plusieurs outils pour les contrer tant en amont qu’en aval. Kaspersky fournit des outils pour récupérer et déchiffrer une certaine quantité d’infections. Il peut être nécessaire d’utiliser plusieurs outils différents pour parvenir à éradiquer le problème. Soit Malware Anti Malware ou ADWCleaner ou encore Photorec.

 

Voici 2 exemples de messages lorsque votre ordinateur est infecté avec des ransomware

ransom2

 

 

rancon1

La solution ultime pour ne pas devoir payer de rançon est tout simplement d’effectuer des sauvegardes journalières de vos données et de placer ces sauvegardes en lieu sur. Ou de faire appel à un service de sauvegarde en ligne. Ainsi elles ne pourront êtres cryptés n’étant pas présente dans l’ordi ou sur le réseau. Il sera alors possible de remplacer les données cryptés par celle des sauvegarde qui elles ne sont pas altérés. Après avoir nettoyé l’ordinateur infecté pour ne pas revenir à la case départ.

Lire la suite... · Commentaire { 0 }

Hameçonnage ou phishing par courriel visant Desjardins

Hameçonnage ou phishing par courriel visant Desjardins – voici un exemple de réception de courriel permettant de détecter la tentative de détournement d’accès à votre compte Desjardins.

Sur la photo suivante on retrouve un exemple de tentative avec à sa suite un vrais courriel provenant de Desjardins pour fin de comparaison

DesjardinsFake

1 – L’entête et le sujet du courriel est bilingue, ce qui constitue un raffinement des techniques d’hameçonnage, la plupart du temps ceux-ci sont unilingue anglais. Donc on ne peut plus dire de se méfier seulement si c’est écrit en anglais.

2 – Le signataire du courriel n’indique pas de coordonnées vérifiable

3 – placer votre curseur de souris (sans cliquer dessus) sur le lien, dans notre cas (cliquer ici ou click here) vous verrez apparaître une boite de contexte indiquant l’adresse du lien de redirection qui mène vers un autre domaine que Desjardins même si cette adresse finit par desjardins.com ! Ceci est très suspect, une entreprise vous envoyant vers un autre domaine que le sien !

Voici la partie d’un vrai courriel nous permettant de comparer :

4 – Doit apparaître le nom de l’expéditeur (ici masqué volontairement)

5 – Doit apparaître les numéros de téléphones (ici masqué volontairement)

6 – On peut apercevoir le vrai logo de Desjardins

7 – On retrouve le souci environnemental de Desjardins

Il faut aussi mentionner que le logiciel utilisé pour recevoir les courriels n’a pas détecté cet envoie comme étant du spam

Votre meilleure protection sera toujours de ne pas cliquer sur des liens contenus dans les courriels si vous n`êtes pas certain de l’expéditeur. Il serait bon de relater ces situation aux instances concernés, dans ce cas précis Desjardins en communicant avec eux ou en accédant à leurs site dédié à ce sujet : Comment signaler une fraude ?

Lire la suite... · Commentaire { 0 }

Apple phishing

Apple phishing – voici un exemple de réception de courriel permettant de détecter la tentative de détournement d’accès à votre compte Apple.

1 – le logiciel utilisé pour recevoir les courriels détecte comme étant du spam et l’indique clairement.

2 – effectuer un copier coller dans votre navigateur web de l’adresse de provenance indiqué et vous verrez dans les résultats de recherche plusieurs avis de mise en garde.

3 – placer votre curseur de souris (sans cliquer dessus) sur le lien, dans notre cas (confirm your account information) vous verrez apparaître une boite de contexte indiquant l’adresse du lien de       redirection qui mène vers un autre domaine que Apple ! Ceci est très suspect, une entreprise vous envoyant vers un autre domaine que le sien !

4 – le contenu du courriel est unilingue anglais.

Apple_Phishing

Cela vous arrive t’il fréquemment ? Avez-vous déjà cliqué sur les liens d’un tel courriel, quelles en furent les conséquences, partagez votre vécu peut aider à diminuer ces situations.

Vous pouvez rapporter ces courriels à deux adresse de courriel de Apple soit, abuse@icloud.com  ou reportphishing@apple.com

Plus d’information de la part de Apple sur leur site officiel : support Apple identification des courriels

Lire la suite... · Commentaire { 0 }

Logiciel indésirables

Logiciels indésirables s’installent seuls, pourquoi ?

 

La réponse à cette question est oui et non.  Les programmes potentiellement  indésirables sont souvent proposés lors de l’installation d’un logiciel désiré. Ils se présentent sous formes de barres d’outils pouvant modifier la page d’accueil du navigateur. Cela a pour effet de ralentir passablement la consultation internet.

Afin d’éviter l’installation de ces indésirables il est important de suivre les suggestions suivantes :

1- Toujours télécharger un programme à partir du site officiel du concepteur de l’application

2- Lors de l’installation, ne cliquez pas suivant sans lire les offres incluses automatiquement

3- Si des programmes tiers sont proposés (barres d’outils, accélérateur internet, etc.) décochez toutes les cases visibles. Car maintenant elles sont presque toujours cochées par défaut.

 

Voici un exemple en 4 étapes lors du téléchargement de Windows 7 iso par un lien semblant de confiance.

Observez au point 1 – le titre n’est plus pour le téléchargement de Windows mais est maintenant changé pour SearchProtect

Au point 2 – mention de lire les termes avant de continuer

Au point 3 – mention qu’en cliquant sur next vous acceptez les conditions de SearchProtect

Indesirable1

Une des fenêtre suivante affiche les programmes installés, cependant la majorité du temps ceci n’est pas affiché.

Au point 1 – on peut voir le Windows recherché

Au point 2 – plusieurs programmes ont été installés en surplus comme vous pouvez constater du côté droit l’onglet peut en montrer plus.

Indesirable2

À l’étape suivante un de ces programmes démarre automatiquement et vous démontre toutes les infections recensé dans votre système. Plusieurs fenêtres s’ouvriront pour vous amener à acheter la protection en question et le nettoyage. Il sera très difficile de ne pas obtenir ces alertes successives.

Indesirable4

Lorsque vous parviendrez à revenir à votre écran d’accueil vous verrez plusieurs nouveaux icônes. Dans notre cas 8 au total. Cependant il est fréquent de ne voir aucune trace sur le bureau.

Indesirable5

 

Alors cette situation démontre comment il est facile d’installer des programmes indésirables à notre insu si on clique suivant à toutes les fenêtres sans lire le contenu. Donc la morale de cette histoire suivez les 3 points dictés au début de cet article cela pourra vous épargner bien des désagréments.

Lire la suite... · Commentaire { 0 }

Hameçonnage exemple de tentative

Voici un exemple de courriel reçu démontrant une tentative d’hameçonnage.
Phishing1

Comment détecter l’arnaque :

1: un fichier joint provenant d’une supposé banque (HSBC) de laquelle vous n’êtes probablement pas client

2: ils vous mentionnent que hsbc ne vous contactera jamais car courriel pour demander de valider des infos personnelles ? Que font ils en ce moment?

3: le lien à cliquer pour leur envoyer un courriel contient deux extension (.com et .hk) , alerte rouge ne jamais cliquer sur des liens contenant 2 extension.

4: noter que l’adresse de l’expéditeur contient aussi 2 extension.

5: pour le copyright appartient à une compagnie de Hongkong tandis que leur adresse démontre qu’ils sont du United Kingdom (UK)

6: mention que cet envoie est effectué à votre demande ?

De plus cet envoie est unilingue anglais.

Vous recevez de ces courriels, partagez votre situation en commentant cet article.  De cette façon nous pouvons aider à éduquer pour freiner ces méthodes.

Pour plus d’information sur l’hameçonnage visitez la page à ce sujet de wikipédia hameçonnage

Lire la suite... · Commentaire { 0 }

Arnaque téléphonique Microsoft Tech scam

Depuis plusieurs années maintenant, sévit un scam que l’on peut nommer Microsoft Tech scam. Un supposé technicien de Microsoft appelle et vous mentionne qu’il doit vérifier votre ordinateur car il semble très endommagé. De plus l’interlocuteur Microsoft est unilingue anglais. Il propose de vous aider en accédant à votre ordinateur. À ne pas faire ! 

Dans leurs tentatives j’ai déjà reçu ce genre d’appel, je réponds toujours ceci « I’m Santa Claus – close your eyes – what do you see – nothing – that’s what you will receive from me » , jusqu’à date ça fait le travail. Mais plus intéressant, visionnez la vidéo que je vous propose, provenant de Jerome Segura , sécurité rechercheur sénior en poste actuellement chez Malwarebytes antimalware. Lui aussi à reçu cet appel et est parvenu en enregistrer tout le processus incluant la conversation tenue par le présumé employé de Microsoft ?

Faux appel d’un technicien Microsoft (en anglais) par : Jerome Segura

Vous leurs avez donné accès alors ils refuseront vos demandes de cesser l’intervention, que faire : le plus rapide est de débrancher le fil réseau internet ou d’enlever le courant sur votre modem internet. N’essayez pas d’éteindre votre ordi car ils en ont le contrôle.

La suite du procédé si accepté est déroutante et varie d’un individu à l’autre. Simplifions la chose, il vous sera demandé d’entrer vos informations de carte de crédit dans le processus, ce ne sera pas pour vous faire parvenir de l’argent. Si vous refusez, en tenant compte qu’ils ont déjà pris possession de votre ordi, l’étape suivante risque d’être la destruction de fichiers en vous laissant voir l’action sur votre écran, en espérant vous intimider. Si vous persistez, l’individu activera probablement le SysKey Windows qui aura pour effet d’encrypter votre base de registre et exigera un mot de passe lorsque vous tenterez de démarrer votre ordi.

SysKey Visuel de la demande du mot de passe

SysKey Visuel de la demande du mot de passe

Il existe certaines méthodes de récupération de l’outil SysKey, cependant sachez que le processus est à haut risque. Et que même si la récupération fonctionne les probabilités d’un système totalement instable sont fort probable. Une sauvegarde précédent cette intervention permettra d’annuler ces opérations malsaines sans subir de pertes, prévenir est la clef.

Je vous suggère aussi de rapporter ces faits au centre antifraude du Canada

Lire la suite... · Commentaires { 86 }

You Have One New Private Message de CA Videotron (ca@vdeotron.net)

You Have One New Private Message de CA Videotron (ca@vdeotron.net) . Attention aux infections de virus ou autres, ce message ne semble pas venir de Vidéotron. Voici un exemple de ce courriel parvenu à ma boite de courriel :

Possible infection par courriel de Vdeotron

Possible infection par courriel de Vdeotron contenant ce message You Have One New Private Message de CA Videotron

 

Remarquez l’entête annonce une priorité NOTICE et le terme CA Videoton semble légitime, cependant un indice de détection montre que le -e- dans le mot vidéotron ne comporte pas d’accent comme la langue l’exige. Lire la première ligne dans la deuxième partie du message sous le mot notice. CA Videotron (ca@vdeotron.net)  , remarquez qu’il n’y à pas de i dans le mot vdeotron comme adresse de provenance. Seulement cela doit vous convaincre de détruire ce courriel immédiatement en signe de prévention. En cliquant sur le lien http inclus dans le corps du message vous pouvez être certain d’obtenir un beau cadeau de Noël en avance. Ce message en est un que l’on classe dans la catégorie Phishing ou en français de l’hameçonnage. C’est à dire une tentative de vous attirer par un lien proposé de façon autoritaire (! NOTICE) vers un lieu ou tout peut vous arriver.

Détruisez ce genre de courriel immédiatement, ne l’ouvrez pas ne soyez pas curieux, par la suite videz votre boite élément supprimés. Envie d’en savoir plus sur l’hameçonnage visitez Wikipédia Hameçonnage qui est une encyclopédie en ligne sur tous les sujets.

Lire la suite... · Commentaire { 0 }