Commentaires : Ransomware : pourquoi tout se joue durant la première heure

Alors que les attaques au ransomware restent très régulières, la stratégie de la réponse rapide et efficace à l’incident semble au moins tout aussi importante que la protection et la sensibilisation en amont.

Maintenant les auteurs sont malins, ils lancent leurs attaques de nuit ou le Dimanche quand personne ne sera là pour voir ce qu’il se passe.

les antivirus n’ont pas la capacité d’analyse heuristique pour détecter les comportements suspects des ransomwares?

La plupart du temps non.

De plus les derniers en date ne chiffre que le debut du fichier ( largement suffisant ) et dans des dossiers aleatoires avec une pause aléatoire.

Bien plus difficile a detecter que les anciens process qui s’amusait a modifier tout les fichiers a la suite dans chaque dossier.

Etant technicien informatique dans un service IT, quand je vois ransomware, ça me donne des sueurs froide…

1 « J'aime »

Oui car comme précisé, le ransomware « rentre » souvent dans les systèmes à cause d’une faille liée à l’humain
Avec des backups et des anti-virus récents , on peut bloquer le ransomware (ou au moins limiter la casse) mais le temps passé par le Service IT pour restaurer ce qui aura été touché par l’attaque sera lui aussi très impactant pour la société.
Sans compter certains utilisateurs qui auront lancé la PJ contenant le ransomware qui viendront « gueuler » contre le service IT en lui disant que c’est de sa faute et d’une protection insuffisante si les fichiers ont été chiffré (oui OK Captain Clever ; le point de départ c’est quand même toi qui a exécuté le fichier hein… --")

1 « J'aime »

c’est tout à fait ça :slight_smile:

1 « J'aime »

Ce qui manque dans les entreprises ce sont des campagnes de piegeage des gens qui ont du mal à comprendre que la PJ d un expediteur inconnue est très suspecte.
Un coup de piege et de convocation pour mise au point entre 4 yeux, ya rien de mieux.
Apres si la boite à un service IT composé d un gars dont la competence est d installer Office, là ca n aide pas.
Les ransomwares dans les hopitaux viennent aussi du fait que les users pensent que leur PC de boulot c est comme à la maison, on peut faire n importe quoi… meme le meilleur service IT du monde ne pourra pas faire de miracle…
Sauf à coder une interface « clique là » « ne clique pas là » « pas touche »

1 « J'aime »

& après les sueurs froides, il fait quoi le Technicien ?

LA Faille se trouve toujours entre la chaise et le bureau !!!

1 « J'aime »

Franchement au boulot je ne comprends pas qu’on puisse lancer un executable comme les .com .exe .bat .cmd .ps1 .scr … Tout ce qui est potentiellement executable cela ne devrait pas être « associé » donc pas possible à « ouvrir ».
Tu as tes outils de boulots si tu as besoin d’un outil c’est via les admin que cela s’installe.
Et port USB verrouillé pas de stockage utilisable sur ces ports

Une fois cela dégagé il ne resterait que les failles dans les librairies/soft utilisés via les fichiers non exécutable.
Il n’y a peut être que les fichiers avec macro comme les fichier d’office qui devraient poser problème

les fois ou j’ai rencontré se problème, heureusement c’était sur un pc qui n’était pas en réseau, donc formatage, basta.

Ouai bien, & on perd tout, ok mauvaise limonade.
Idem dans restauration de Windows, je format le disk et remet l’image de l’Ordi je j’ai crée en sauve garde avec le disk de réparation + plus l’mage système avec tout le C: sauvegarder au préalable.