PoC de Ransomware. À tester avec précaution bien sûr...
via https://tferdinand.net/eprouvez-votre-antivirus-avec-un-cryptolocker-maitrise/
Garmin vient de lâcher 10 millions pour obtenir la clé d'un ransomware !
Synology a été touché par un autre ransomware il n'y a pas longtemps. Faites des backups !
1) nmap pour Windows: https://nmap.org/download.html#windows
2) coller le script https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse dans C:\Program Files (x86)\Nmap\scripts\
3) Exemple de commande dans un CMD: nmap -sC -p 445 -max-hostgroup 3 -open --script smb-vuln-ms17-010.nse 172.24.1.0/24 -oN resultat.txt
Testé et approuvé !
Get-WannaCryPatchState - Scans an AD domain to find all Windows Computers, try to connect to them, get the installed hotfixes and sees if one of 'KB4012212', 'KB4012213', 'KB4012214', 'KB4012215', 'KB4012216', 'KB4012217', 'KB4012598', 'KB4013429', 'KB4015217', 'KB4015438', 'KB4015549', 'KB4015550', 'KB4015551', 'KB4015552', 'KB4015553', 'KB4016635', 'KB4019215', 'KB4019216', 'KB4019264', 'KB4019472' are installed. The status of each machine is output to a log in the user's My Documents and a full summary is given at the end.
Note pour les angoissés: désactiver le service "LanmanServer" soit "Serveur" dans Windows.
Une vulnérabilité dans SMB, présente depuis Windows XP semble être à l'origine de la vague de chiffrement subie depuis vendredi. À vos restaurations Messieurs !
Korben, toujours en retard sur le Shaarli de Strak, qu'il suit d'ailleurs jalousement mais ne l'avouera jamais. => http://liens.strak.ch/?BHSjFg
Pour se protéger des Ransomware et autres Cryptolocker.
Fonctionne sur un principe de honeypot, plus d'infos ici: http://www.silicon.fr/ransomfree-application-leurre-ransomwares-165532.html
Sympa le test ! Comme prévu, Windows Defender est une passoire à fuir.
J'en profite pour indexer le tool RansomFree (shaarlink suivant), qui est gratuit et permet de se protéger des cryptolockers.
Kaspersky, la police néerlandaise, Europol et Intel Security ont sorti un site qui compile les déchiffreurs de ransomware.
"Upload a ransom note and/or sample encrypted file to identify the ransomware that has encrypted your data."
TL;DR.
"...l’objectif sera alors de bloquer certaines extensions (et fichiers) propres au comportement d’un ransomware, et d’en avertir l’administrateur par e-mail et/ou par une entrée dans l’observateur d’événements."
Sinon, les malwares/troyens/ransomwares n'existent pas sur Mac, non non non Madame.