Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-03-2016 22:27:45

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

attaque virus locky

Bonsoir,

J'ai reçu ça dans ma boîte mail institutionnelle :

Bonjour,
pour la deuxième fois en une semaine, l'Etablissement de La Barotte a été victime du virus LOCKY. La première fois, il s'agissait d'un message issu d'une messagerie personnelle.
Ce matin, c'était un mail  SCANNER@EDUCAGRI.FR avec un sujet : ATTACHED DOC.  Il ne faut surtout pas les ouvrir il s'agit d'un virus qui va crypter tous vos fichiers perso et impossible de les récupérer aprés.

Soyez vigiants !!

Et j'ai un peu de mal à comprendre.
Quand on ouvre une telle pièce jointe, il suffit bien de ne pas activer les macros ?
Ou bien est-ce un exécutable que doz s'empresse ... d'exécuter ?


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#2 11-03-2016 22:38:08

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : attaque virus locky

Pour les .doc, en général, c'est une macro qui va exécuter un (power)shell qui va télécharger un fichier de script et l'interpréter… Ce fichier contenant en général un binaire winwin (ou téléchargeant le-dit binaire en fonction de la version de l'OS) et l'exécutant.
Donc, en théorie, macro désactivées, on ne craint rien.
Après, il y a peut-être des failles dans office qui autorisent l'exécution de certaines macro sans demander notre avis ? Mais j'en doute, je pense que c'est l'user qui doit commettre l'erreur pour que ça marche.
De manière générale, les PDF, les codecs vidéo foireux, les applets flash/java véreux fonctionnent tous un peu de la même manière, mais doivent eux profiter d'une faille de sécu de leur visionneur respectif afin de pouvoir exécuter un shell. Les macro et l'utilisateur naïf servent ça sur un plateau.

À noter que sous Linux, le résultat pourrait potentiellement être le même. Donc, activer des macro sur un fichier qu'on n'a pas créé soit-même, c'est mal.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 11-03-2016 22:41:10

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : attaque virus locky

Salut

Derrière son nom sympathique, Locky, se cache un logiciel malveillant qui bloque et crypte les données, ne les débloquant ensuite que contre paiement d'une rançon.

Locky utilise en particulier deux vecteurs d'attaque, a analysé Kaspersky Lab. Il arrive notamment sur l'ordinateur par le biais de fausses factures jointes dans un e-mail. Dès que le document est ouvert, le logiciel malveillant est téléchargé



Donc logiciel exécutable.

Les citations sont tirées de Virus informatique. Le "rançongiciel" Locky sévit en France


"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#4 12-03-2016 10:38:38

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : attaque virus locky

Merci à vous pour cet éclairage.

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#5 12-03-2016 10:53:28

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : attaque virus locky

Je doute que ce fameux "Locky" s’embête à enterrer quoi que ce soit dans des cryptes…
Peut-être par contre qu’il *chiffre* des données wink

Jouer sous Debian ? Facile !

Hors ligne

#6 12-03-2016 13:16:15

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : attaque virus locky


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#7 12-03-2016 13:41:08

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : attaque virus locky

On dit bien chiffrer et non crypter, selon ton lien Paskal:

chiffre : utilisation de la substitution au niveau des lettres pour coder ;



Saludos


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#8 12-03-2016 13:55:07

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : attaque virus locky

Oui, tout à fait, c'est bien pour ça ....  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#9 12-03-2016 14:06:21

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : attaque virus locky

Ah tu faisais juste confirmer avec ton lien, j'avais pas capté, ça veut dire que c'est l'heure du kawa alors lol

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#10 12-03-2016 14:08:14

MicP
Membre
Distrib. : debian stable
Noyau : Linux 3.16.0-4-amd64
(G)UI : Xfce
Inscription : 29-02-2016

Re : attaque virus locky

vv222 a écrit :

…Peut-être par contre qu’il *chiffre* des données…

C'est tout-à fait ça, et après, il te revends la clef de déchiffrement.

Une doc au sujet de ce rançongiciel  : CERTFR-2015-ALE-015.pdf (112Ko)

C'est toujours intéressant d'aller faire un tour de temps en temps à cette adresse : http://www.cert.ssi.gouv.fr/

Dernière modification par MicP (12-03-2016 14:11:01)

Hors ligne

Pied de page des forums