Powered By Blogger

Rechercher sur ce blogue

samedi 20 mai 2017

WannaCry Ransomware Decryption Tool publié; Débloquez les fichiers sans payer Ransom:




Jeudi 18 mai 2017 Swati Khandelwal


La video !Si votre PC a été infecté par WannaCry - le système de ransomware qui a causé des ravages dans le monde vendredi dernier - vous pourriez avoir de la chance de récupérer vos fichiers verrouillés sans payer la rançon de 300 $ aux cybercriminels.
Adrien Guinet, chercheur français en sécurité de Quarkslab, a découvert un moyen de récupérer gratuitement les clés de cryptage secrètes utilisées par WannaCry ransomware, qui fonctionnent sur les systèmes d'exploitation Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008.WannaCry Ransomware Clés de décryptage(télécharger le )
Le système de cryptage de WannaCry fonctionne en générant une paire de clés sur l'ordinateur de la victime qui s'appuient sur des nombres premiers, une clé «publique» et une clé «privée» pour chiffrer et déchiffrer les fichiers du système respectivement.
Pour empêcher la victime d'accéder à la clé privée et de décrypter les fichiers verrouillés lui-même, WannaCry efface la clé du système, ne laissant aucun choix aux victimes pour récupérer la clé de décryptage, sauf en payant la rançon à l'attaquant.
Mais voici le kicker: WannaCry "n'efface pas les nombres premiers de la mémoire avant de libérer la mémoire associée", explique Guinet.
Sur la base de cette découverte, Guinet a publié un outil de décryptage WannaCry ransomware, appelé WannaKey, qui essaie essentiellement de récupérer les deux nombres premiers, utilisés dans la formule pour générer des clés de cryptage à partir de la mémoire, et fonctionne uniquement sur Windows XP.
Remarque: ci-dessous j'ai également mentionné un autre outil, baptisé WanaKiwi, qui fonctionne pour Windows XP vers Windows 7.
"Il le fait en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée". Dit Guinet
Donc, cela signifie que cette méthode ne fonctionnera que si:

    
L'ordinateur affecté n'a pas été redémarré après avoir été infecté.
    
La mémoire associée n'a pas été attribuée et effacée par un autre processus.
"Pour fonctionner, votre ordinateur ne doit pas être redémarré après avoir été infecté. Notez également que vous avez besoin d'un peu de chance pour ce travail (voir ci-dessous), et cela pourrait ne pas fonctionner dans tous les cas!", Déclare Guinet.
"Ce n'est pas vraiment une erreur des auteurs de ransomware, car ils utilisent correctement l'API Windows Crypto."
Alors que WannaKey ne tire que les nombres premiers de la mémoire de l'ordinateur concerné, l'outil ne peut être utilisé que par ceux qui peuvent utiliser ces nombres premiers pour générer la clé de décryptage manuellement pour décrypter les fichiers de leur PC infectés par WannaCry.
WanaKiwi: WannaCry Ransomware outil de décryptage
Les bonnes nouvelles sont qu'un autre chercheur en sécurité, Benjamin Delpy, a développé un outil facile à utiliser appelé "WanaKiwi", basé sur la découverte de Guinet, qui simplifie tout le processus de décryptage de fichiers infectés par WannaCry.
Toutes les victimes doivent le faire pour télécharger l'outil WanaKiwi de Github et l'exécuter sur leur ordinateur Windows affecté à l'aide de la ligne de commande (cmd).
WanaKiwi travaille sur Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008, a confirmé Matt Suiche de la société de sécurité Comae Technologies, qui a également fourni des démonstrations montrant comment utiliser WanaKiwi pour décrypter vos fichiers.
Bien que l'outil ne fonctionnera pas pour chaque utilisateur en raison de ses dépendances, il est toujours un bon espoir pour les victimes de WannaCry de récupérer leurs fichiers verrouillés gratuitement, même de Windows XP, la version vieillissante, largement non prise en charge du système d'exploitation de Microsoft.



REF.:

vendredi 19 mai 2017

Ransomwares: "Adylkuzz": nouvelle cyberattaque en cours

Après Wannacry, découvert vendredi 12 mai, et qui aurait touché plusieurs centaines de milliers d'ordinateurs, une nouvelle cyberattaque de grande ampleur est en cours à l'échelle mondiale. Les spécialistes en sécurité informatique l'ont appelée "Adylkuzz".

Plusieurs millions d'ordinateurs infectés par Adylkuzz ?


Vous avez aimé Wannacry ? Vous allez adorer Adylkuzz. Contrairement à l'attaque informatique détectée vendredi dernier, qui se trouve être un ransomware, réclamant aux propriétaires des utilisateurs infectés une rançon pour pouvoir récupérer leurs données, l'attaque Adylkuzz est en théorie sans conséquence pour l'utilisateur.

antivirus mauvais ordinateur


Les ordinateurs infectés par la même faille utilisée par Wannacry ne se transforment pas en brique inutilisable, mais deviennent en revanche terriblement lents. Forcément : l'essentiel des ressources de la machine touchées par le virus est utilisé pour "miner", à savoir, résoudre des équations mathématiques complexes, qui permettent aux hackers de les transformer en une nouvelle monnaie virtuelle concurrente du Bitcoin, le Monero.


Adylkuzz aurait déjà rapporté 1 million de dollars à ses concepteurs


D'après certains experts en informatique, Adylkuzz pourrait être actif depuis le 24 avril dernier, soit bien avant que WannaCry n'apparaisse. Pour l’utilisateur, « les symptômes de l’attaque sont (notamment) un ralentissement des performances de l’ordinateur », précise Proofpoint dans une note de blog, selon laquelle l’attaque pourrait remonter au 2 mai, voire au 24 avril et est toujours en cours.
Mais comme les utilisateurs infectés ne décèlent pas de prime abord qu'ils sont touchés par le virus, et que celui-ci se répand à vitesse grand V, il pourrait bien y avoir des millions d'ordinateurs touchés de par le monde.

Il se pourrait que Adylkuzz ait déjà permis de créer pour l'équivalent de plus d'un million de dollars, en Monero. Cet argent peut être facilement récupéré ensuite par les pirates, puisque les transactions en monnaies virtuelles sont anonymes et quasiment impossibles à tracer.

REF.:

mercredi 17 mai 2017

Malwares: Un scan avec votre antivirus, ou avec Malwarebytes Anti-Malware (MBAM) peut suffire



Sur les forums, je vois de plus en plus, de mauvaises habitudes concernant les outils AdwCleaner, RogueKiller et ZPHCleaner/ZPHDiag.
A savoir, les internautes ont tendance à utiliser ces programmes pour vérifier si l’ordinateur est infecté, voire même à effectuer systématiquement des suppressions et nettoyage… Or ces outils de désinfection ne sont pas faits pour cela.
On retrouve, exactement les mêmes mauvais habitude qu’avec des nettoyeurs de type CCleaner, où les internautes abusent des nettoyages.
Cette page tente de vous expliquer pourquoi, cela ne sert à rien de passer ces outils qui s’avèrent au final contre-production.
Je mettrai aussi à jour la page Guide complet d’entretien Windows qui cherche à vous donner de bonnes habitudes d’utilisation de Windows.



Présentation et limite de ces outils

Afin de bien comprendre pourquoi, les analyses régulières sont inutiles.
Il faut bien comprendre le fonctionnement de ces outils et leurs limites.
Déjà la catégorie :
  • AdwCleaner et ZPHCleaner : sont là pour désinfecter les Adwares et PUP (Programmes potentiellements indésirables). Pour faire simple, les logiciels publicitaires qui s’installent sur votre ordinateur et vont charger des pubs, le ralentir et rendre le surf invivable.
  • ZHPDiag utilitaire d’analyse de l’ordinateur qui peut énumérer les éléments malicieux. Là aussi, les limites sont simples, des dossiers vides et autres peuvent être indiqués comme malicieux. L’utilisateur peut penser que son ordinateur est infecté (infection active) alors que ce n’est pas le cas.
  • RogueKiller : initialement, RogueKiller visait les scarewares et rogues, du temps où ces derniers pullulaient. Par la suite ces derniers sont passés de mode pour être remplacés par les Ransomware de type Winlocker qui enfin été remplacé par les Crypto-Ransomware. Après la baisse des scarewares/rogues, RogueKiller a été étendué pour viser les rootkits (du temps où ZeroAccess et TDSS frappaient forts) puis toutes sortes de Trojans/chevaux de troie. L’auteur suit donc l’actualité des virus informatiques.
Tous ces outils, enfin surtout AdwCleaner et ZHPCleaner/ZHPDiag… RogueKiller étant un peu plus élaboré.
Vous lancez une analyse de l’ordinateur avecAdwCleaner et ZHPCleaner/ZHPDiag vont chercher dans Windows, des éléments connus pour être liés à des infections informatiques.
Ces éléments sont souvent basés sur des noms qui sont recherchés les dossiers, clés de registre Windows, tâches planifiés etc.
De ce fait, cette méthode ne permet pas déterminer si l’élément est un reste ou encore actif.
Dans cette vidéo, je montre, comment en partant d’un PC sain… et en créant simplement deux dossiers vides, AdwCleaner détecte des menaces.
La limite de ces programmes se situe donc sur le fait que les détections sont souvent sur des noms… pas le contenu et encore moins la vérification d’une menace active.
Si les dossiers sont vides et donc aucun menace réellement active n’est présente, elles seront comptabilisées en menaces.
Pour les clés du registre Windows, c’est la même chose.
Cela est fortement perturbant pour l’utilisateur, qui va lui regarder le nombre de menaces détectées… le rapport étant assez incompréhensible.
L’utilisation détournée des outils comme AdwCleaner, ZHPCleaner et RogueKiller, à savoir l’utilisateur garde ces programmes et effectuent des analyses régulières… Surement certains par peur et excès de paranoïa les passent tous les jours.
A coup, sûr, une mise des définitions va faire qu’à un moment donné, une menace sera détectée.
Du jour au lendemain, des détections d’éléments vides ou non actifs sont faits et la personne pense avoir son ordinateur infecté.
Parfois c’est pire…
Exemple de sujet sur commentcamarche.net avec des problèmes sur des analyses régulières avec AdwCleaner :


Faux positif et mauvaises interprétations

Rappel – un faux positif est une détection erronée, lorsqu’un antivirus ou autre logiciel de désinfection, détecte un fichier sain comme malicieux.
Cela peut vite être problématique si le fichier est lié au système et mis en quarantaine… puisque des dysfonctionnements vont alors être générés.
Et puis parfois, cela peut être plus problématique.
Ici un sujet où RogueKiller aurait émis une détection sur un fichier Rdpvideminiport.sys qui est un fichier tout à fait légitimé (lié au réseau).
Le supprimer aurait causé des dysfonctionnements.
Nous n’avons pas de d’informations sur la détection… il simplement s’agit d’une alerte (voir Tutoriel RogueKiller).
En plus des détections vides et compatibilitées en menace, il reste la mauvaise interprétation des détections ou rapports.
Souvent pour l’internaute, une ligne détectée = menace et va chercher à supprimer celle-ci.

Passé un moment, RogueKiller détectaient aussi des IAT qui ne sont pas forcément malicieux.
ou encore ZPHCleaner qui détecte des DNS malicieux alors qu’il s’agit de DNS (serveurs de noms) d’une université : http://www.commentcamarche.net/forum/affich-33946335-aide-pour-supprimer-cle-de-registre

Les forums et mauvais conseils

Un autre problème et là on rejoint, ce qui se passe avec CCleaner… sur les forums d’entraide informatique, on fait passer ces programmes à toutes les sauces… et au moindre problème informatique.
En général, les intervenants n’ont pas un super niveau de connaissances et font passer ces outils à l’aveugle en espérant que…
Même lorsque le problème est plutôt lié à Windows en lui même ou matériel.
De ce fait, cela contribue à faire utiliser AdwCleaner, RogueKiller et ZPHCleaner à tort et à travers.

Les bonnes habitudes

Ce qu’ils font comprendre, c’est que ces programmes sont des outils de désinfections… ils sont curatifs.
AdwCleaner, RogueKiller et ZPHCleaner sont là pour supprimer les virus informatiques quand elles sont présentes.
Ces fix ne sont pas très efficaces pour vérifier si l’ordinateur est infecté de manière régulière.
En clair donc, il faut les utiliser quand vous êtes sûr que l’ordinateur est infecté pour supprimer les adwares, PUPs et trojans dans le cas de RogueKiller.
Comme les adwares ont tendance à charger des publicités à outrance, ce n’est pas difficile de savoir que Windows est infecté.
Un scan avec votre antivirus, ou avec Malwarebytes Anti-Malware (MBAM) version gratuite peut suffire.
Pour une liste complète des outils de suppression de virus et descriptifs, lire la page : Les outils de désinfection et de suppression de virus

En cas de doute

En cas de doute sur l’état de Windows, si des éléments sont détectés.
Ne nettoyez pas.. Générez simplement le rapport de scan et soumettez le dans la partie Virus du forum malekal.com.
Un intervenant vous indiquera s’il s’agit d’une infection active ou non.

De manière générale

Si vous voulez suivre de bonnes habitudes pour l’utilisation de votre ordinateur et Windows.
Suivez les conseils de la page : Guide complet d’entretien Windows

En amont

Sécuriser Windows et avoir une bonne attitude sur la toile, suffit à ne pas infecter Windows.

REF.:

Comment trouver la clé de produit Windows 10 et comment l'activer ?





Par Kavita Iyer le 15 mai 2016 


 Voici comment trouver votre clé de produit Windows 10 et l'activer
Que vous utilisiez l'offre de mise à niveau gratuite de Microsoft 10 de Microsoft ou que vous obteniez une nouvelle licence au large de la vente au détail, MSDN et les adeptes, vous devez savoir comment trouver votre clé de produit Windows 10 et comment fonctionne l'activation sur les versions gratuites mises à niveau par opposition aux nouvelles versions de Windows 10 Voici tout ce que vous devez savoir sur les clés de produit et le processus d'activation de Windows 10.Mise à niveau vers Windows 10:
Si vous avez utilisé une copie authentique de Windows 7 ou Windows 8 / 8.1 pour mettre à niveau votre PC vers Windows 10, votre licence sera liée au matériel que vous mettez à niveau, et non à votre compte Microsoft. Dans ce cas, vous n'obtiendrez pas non plus une nouvelle clé de produit. Cela peut être vérifié en utilisant n'importe quel logiciel tiers de clé de produit comme ProduKey ou The Ultimate PID Checker. Ils vous montreront des clés génériques de produit comme TX9XD-98N7V-6WMQ6-BX7FG-H8Q99 pour Windows 10 Home et VK7JG-NPHTM-C97JM-9MPGT-3V66T pour Windows 10 Pro.Installation propre de Windows 10:
Si vous souhaitez effectuer une installation propre de Windows 10 sur la même machine, vous pouvez télécharger un fichier ISO, le transformer en un lecteur USB ou un support DVD, puis exécutez l'installation pour une installation propre. Pendant l'installation, l'installation de Windows vous demandera de fournir une clé de produit, sautez simplement cette étape et laissez l'installation terminée. Une fois l'installation propre de Windows 10 est terminée, votre copie de Windows s'active automatiquement dès que vous vous connectez à Internet. Cela se produit alors que Microsoft sait que vous êtes installé sur le même matériel. Pour vérifier votre état d'activation de Windows 10, vous pouvez soit accéder à
Paramètres (WinKey + I)> Mise à jour et sécurité> Activation:
Comment trouver la clé de produit Windows 10 et comment l'activer


Ou allez dans Panneau de colnfiguration> Système et sécurité> Système:
Comment trouver la clé de produit Windows 10 et comment l'activer


Toutefois, si vous décidez de modifier le matériel à l'avenir, vous devrez contacter le support Microsoft et les informer de la modification pour obtenir votre copie activée. 

Nouveau PC avec Windows 10:
Si vous avez acheté un nouveau PC exécutant Windows 10, la clé de produit sera préinstallée sur votre PC et votre PC sera automatiquement activé, inclus avec l'emballage auquel le PC est entré ou inclus sur le Certificat d'Authenticité (COA) joint Au PC.Clé de produit de vente au détail Windows 10 et activation:
Vous disposez d'une clé de produit unique que vous pouvez utiliser pour entrer dans la configuration de Windows pendant les installations propres, dans les cas où vous avez acheté une licence de vente au détail de Windows 10 ou obtenu une clé de produit soit de MSDN, DreamSpark, TechNet, Dans le cas où vous perdez ce numéro, vous pouvez utiliser des logiciels tiers comme ProduKey pour le trouver sur une installation existante.


Source.:

Comment empêcher un incident de ransomware

 Après un week-end noir, la crise WannaCrypt semble s'atténuer ce lundi même si une seconde vague reste possible. Au dernier pointage, la cyber-attaque aurait fait 200.000 entreprises/organisations victimes dans 150 pays au moins. Surtout, des entreprises vitales ont été touchées ayant pour conséquences des arrêtes temporaires de la production. (ici le correctif windows vistra du 14-03-17 !)

La faille a été identifiée par la NSA il y a longtemps et les outils(eternalBlue) pour l'exploiter, qui ont certainement mobilisé les meilleurs experts en sécurité du moment, ont malencontreusement été dérobés à la NSA par un collectif de hackers en mars dernier (ShadowBrokers)provenant de la fuite des documents de la NSA (Vault7)voila 2 mois seulement le 14 Avril 2017. Un peu comme si l'Institut Pasteur laissez filer plusieurs souches du virus de la variole, aujourd'hui disparu, et qu'il conserve à des fins scientifiques.
On peut accuser tous les hackeurs du monde, la responsabilité de la NSA ne doit pas être oubliée et elle est double: avoir fabriqué les matériaux du virus ET les avoirs perdus dans la nature. Il n'y a malheureusement pas de comité d'éthique pour ce qui concerne l'informatique. Avec l'arrivée de l'intelligence artificielle, peut-on tout laisser faire parce que c'est du logiciel et non de la manipulation d'embryons humains? Et finalement, cela ne montre-t-il pas que les gouvernements peuvent aussi être plus dangereux que les hackers ?


Comment empêcher un incident de ransomware et ce qu'il faut faire si votre organisation est infectée:

 Ransomware est une menace mondiale croissante pour la cybersécurité, et qui pourrait affecter toute organisation qui n'a pas de défense appropriée. Le premier semestre de 2016 a vu une augmentation presque triple dans les variantes de ransomware par rapport à l'ensemble de 2015 [1]. Bien que le ransomware contre les systèmes d'exploitation Windows ait été courant pendant quelques années, les attaques contre les systèmes Mac et Linux sont également observées.Les méthodes pour infecter les systèmes avec ransomware sont semblables à d'autres types de logiciels malveillants, tout comme les organisations peuvent prendre pour se protéger. Selon votre niveau de préparation, l'infection par le ransomware peut causer une irritation mineure ou une perturbation à grande échelle.Ce guide donne un aperçu de Ransomware, suggère quelques étapes simples pour empêcher un incident de ransomware, et conseille sur ce qu'il faut faire si votre organisation est infectée par ransomware.Qu'est ce que Ransomware?Il existe deux types de ransomware; Le premier type crypte les fichiers sur un ordinateur ou un réseau. Le second type verrouille l'écran d'un utilisateur. Les deux types exigent que les utilisateurs effectuent un paiement (la «rançon») pour pouvoir utiliser normalement l'ordinateur. Le rançon est souvent demandé dans une cryptocurrence telle que Bitcoin.Dans de nombreux cas, le montant de la rançon est assez modeste. Ceci est conçu pour rendre le rançon le moyen le plus rapide et le moins cher pour revenir à l'utilisation normale. Cependant, rien ne garantit que la clé ou le mot de passe (pour "déverrouiller" l'ordinateur) seront fournis sur paiement de la rançon.L'échelle et la nature automatisée d'une attaque de ransomware rendent rentable grâce à des économies d'échelle, plutôt que d'extorquer de grandes quantités de victimes ciblées. Dans certains cas, Ransomware est connu pour frapper la même victime plus d'une fois de suite. Les attaques Ransomware ne sont généralement pas ciblées sur des individus ou des systèmes spécifiques, de sorte que des infections peuvent survenir dans n'importe quel secteur ou organisation.Comment le ransomware infecte votre système?Les ordinateurs sont infectés par ransomware via un certain nombre de routes. Parfois, les utilisateurs sont trompés dans la gestion de programmes légitimes, qui contiennent le ransomware. Ceux-ci peuvent arriver via des pièces jointes de courrier électronique authentique ou des liens vers des sites Web apparemment authentiques (également appelés phishing). Plus récemment, nous avons vu des infections de ransomware qui reposent sur des vulnérabilités non corrigées dans les ordinateurs, et le simple visite d'un site Web malveillant peut suffire à provoquer un problème.Bien que moins commun, les transferts de données entre les ordinateurs (par exemple via des clés de mémoire USB) peuvent également provoquer la propagation du ransomware.Prévenir le ransomware en utilisant la sécurité de la bonne entrepriseRansomware est l'un des nombreux types de logiciels malveillants, et les méthodes de livraison sont communes à la plupart des autres types. Vous pouvez minimiser le risque d'être infecté par ransomware en prenant les mêmes précautions nécessaires pour éviter tout malware en général.Les atténuements suivants sont des exemples de bonnes pratiques de sécurité et un lien vers d'autres conseils de NCSC là où ils sont disponibles:

    
Gestion de la vulnérabilité et correctifs - certains systèmes de ransomware obtiennent un contrôle en exploitant les vulnérabilités des logiciels dans les systèmes d'exploitation, les navigateurs Web, les plug-ins de navigateur ou les applications. Souvent, ces vulnérabilités ont été publiquement connues depuis un certain temps et les fournisseurs de logiciels auront mis en place des correctifs pour les atténuer.

 Le déploiement de ces correctifs, ou l'atténuation des vulnérabilités, constitue le moyen le plus efficace d'empêcher les systèmes de se compromettre.  
Cependant, tout en réparant les périphériques utilisés pour la navigation Web et le courrier électronique, il est important de relier les systèmes auxquels ils sont connectés, car certains systèmes de ransomware se déplacent autour des systèmes, en cryptant les fichiers au fur et à mesure.
   

 Contrôle de l'exécution du code - envisagez de protéger le code non autorisé livré aux périphériques utilisateurs finals. Une façon courante dont les attaquants obtiennent l'exécution de code sur les périphériques cibles est d'inciter les utilisateurs à exécuter des macros.  
Vous pouvez éviter que ces attaques ne réussissent dans votre organisation en empêchant toutes les macros d'être exécutées, sauf si vous les avez explicitement confiées. Il est également recommandé de s'assurer que les utilisateurs n'ont pas les privilèges d'installer des logiciels sur leurs appareils sans l'autorisation d'un administrateur. Rappelez-vous que les utilisateurs peuvent parfois légitimement avoir besoin d'exécuter le code que vous n'avez pas préautorisé; Considérez comment vous leur permettez de le faire, afin qu'ils ne soient pas tentés de le faire secrètement, de manière que vous ne pouvez pas voir ou gérer les risques. Consultez notre guide de sécurité du périphérique utilisateur final pour connaître la configuration recommandée des plates-formes que vous utilisez.
   

 Filtrer le trafic de navigation Web - nous vous recommandons d'utiliser un appareil ou un service de sécurité pour transférer votre trafic de navigation Web sortant. Filtrer les tentatives de connexions en fonction de la catégorisation ou de la réputation des sites que vos utilisateurs tentent de visiter.
    
 

Contrôlez l'accès aux médias amovibles - consultez nos conseils sur la gestion des supports amovibles pour éviter que Ransomware ne soit introduit dans une organisation via cette chaîne e
n prenant en compte la technologie d'entreprise avec la cyber-sécurité. 

Quel impact le ransomware a-t-il? Ransomware empêchera l'accès aux systèmes ou aux données jusqu'à ce qu'une solution soit trouvée. Si les systèmes fournissent des services essentiels, cela peut avoir de graves répercussions sur la réputation, la sécurité et la sécurité sur les organisations concernées et leurs clients. Même si la victime a une sauvegarde récente de son système, il peut encore falloir beaucoup de temps pour restaurer les opérations normales. Pendant ce temps, les organisations devront peut-être invoquer leurs processus de continuité d'activité. Il convient de noter que, si une organisation criminelle a mené une attaque réussie de ransomware, des questions devraient être posées sur la possibilité d'impacts plus indirects et durables.  

Par exemple, combien d'instances du ransomware sont encore présentes dans le système en attente d'activation? 
 Comment devraient-ils être supprimés et comment les utilisateurs devraient-ils être prévenus?
 D'autres types de logiciels malveillants ont-ils également été déployés en même temps?  
Quels sont-ils et qu'est-ce qu'ils feront?
 Et quand? 
Limiter l'impact d'une attaque de ransomware Les mesures suivantes peuvent tous aider à limiter l'impact d'une attaque de ransomware.  
Un bon contrôle d'accès est important. La compartimentation des privilèges d'utilisateur peut limiter l'étendue du cryptage uniquement aux données appartenant à l'utilisateur concerné. Réévaluez régulièrement les autorisations sur les lecteurs réseau partagés afin d'empêcher la propagation de ransomware aux lecteurs mappés et non mappés.

 Les administrateurs système avec des niveaux d'accès élevés devraient éviter d'utiliser leurs comptes d'administration pour le courrier électronique et la navigation sur le Web. Ransomware ne doit pas être viral dans votre organisation; Limiter l'accès à vos données et systèmes de fichiers à ceux qui ont un besoin d'affaires pour les utiliser. C'est une bonne pratique de toute façon et, comme bon nombre des recommandations que nous faisons ici, évite toute une série de cyber-attaques. Faites une sauvegarde de vos données. Les organisations devraient s'assurer qu'elles ont pleinement testé les solutions de sauvegarde en place. Les fichiers de sauvegarde ne doivent pas être accessibles par des machines qui risquent d'ingérer des ransomware. Il est important de se rappeler que les sauvegardes ne devraient pas être la seule protection que vous avez contre ransomware - l'adoption de bonnes pratiques de sécurité impliquera de ne pas obtenir de ransomware en premier lieu. 

 Pour de plus amples informations sur les sauvegardes, consultez notre section intitulée Sécurisation des données en vrac, qui traite de l'importance de connaître les données les plus importantes pour vous et de la sauvegarder de manière fiable. Que faire si votre organisation a été infectée par ransomware. Si vous avez besoin de En savoir plus sur le ransomware et ses effets, ou vous avez un problème de ransomware, il existe un certain nombre de sources de conseils et de conseils supplémentaires: l'Agence nationale pour la criminalité encourage tous ceux qui pensent avoir subi une fraude en ligne pour contacter Action Fraud à 
www. Actionfraud.police.uk.  
Il appartient à la victime de payer la rançon, mais la NCA encourage l'industrie et le public à ne pas payer.  

Le National Cyber ​​Security Center (NCSC) gère un projet commercial appelé Cyber ​​Incident Response, où les entreprises certifiées fournissent un soutien de crise aux organisations concernées. Le Cyber ​​Security Information Sharing Partnership (CiSP) offre aux organisations au Royaume-Uni un portail sécurisé pour discuter et partager des services d'information qui peuvent aider la communauté et élever la résilience du Royaume-Uni. 
 Nous encourageons nos membres à partager des informations techniques et des indicateurs de compromis pour que les effets des nouveaux logiciels malveillants, et en particulier du ransomware, puissent être largement réduits. Ici au NCSC, nous accueillons ceux qui souhaitent partager leurs expériences de ransomware en toute confiance.(évitant que la cie soit en vase clos)Les opérations de la NCSC fournissent des renseignements sur les menaces au gouvernement, à l'industrie et au public. Des études de cas - même anonymisées - peuvent être très utiles.




REF.: