Vous pensiez que Locky était méchant ?

Et bien c'est parce que vous ne connaissez pas encore Petya. Ce ransomware tout frais démoulé ne se contente pas de chiffrer vos petits fichiers pour les prendre en otage...

Non, non... Il chiffre la MFT (Master File Table - Table de fichiers principale) et remplace la MBR (Master Boot Record - Zone d'amorce) par son propre programme qui réclame alors de l'argent pour obtenir la clé de déchiffrement.

Pour se répandre, Petya utilise ce qu'on appelle des campagnes de spear-phishing, avec une série d'emails en allemand semblant provenir d'un chercheur d'emploi qui envoie son CV à télécharger via un lien Dropbox.

Si le destinataire est endormi, il va alors cliquer sur le lien, télécharger l'exécutable et le lancer. À ce moment-là, Petya écrasera la MBR, ce qui provoquera un écran bleu (ou autre couleur) de la mort et l'ordinateur redémarrera. Ensuite, c'est un faux checkdisk qui se lancera, faisant croire à une réparation du disque. En vérité, en arrière-plan, c'est la MFT (et tous les fichiers présents sur votre disque dur ? Ça reste à confirmer...) qui est alors chiffré.

Dès que le processus de chiffrement est terminé, un écran rouge avec une tête-de-mort apparaitra alors, réclamant 0,99 Bitcoin soit environ 366 € pour obtenir la clé de déchiffrement. Impossible de retourner sous Windows ou de le réparer.

En gros, une fois que Petya a fait son chemin sur votre ordinateur, la seule solution qui s'offre à vous est de réparer la MBR et réinstaller Windows. Ou de payer la rançon, mais ce n'est pas quelque chose que je vous conseille, car l'issue reste incertaine, la somme est élevée et ça encourage les criminels à continuer. Bon normalement, Dropbox est informé et fait ce qu'il faut pour supprimer les copies de Petya, mais il y a fort à parier que l'exécutable sera rapidement hébergé ailleurs.

Edit : Si ce tweet n'est pas un gros poisson d'avril, il semblerait que Petya encode la MFT simplement avec un XOR dont la valeur serait 7. Tout espoir n'est donc pas perdu.

Pour se prémunir de Petya, je vous invite à relire mon article sur Locky, mais en gros, pour faire court, c'est :

• 1/ Soyez vigilant sur ce que vous exécutez sur votre machine
• 2/ Faites des sauvegardes quotidiennes

Bonne chance et faites tourner. La prévention par l'information est la meilleure des protections (et ça rime, nom d'un ganglion !).

Ah et en bonus, voici une vidéo qui montre Petya à l'oeuvre...

Source

Cet article merveilleux et sans aucun égal intitulé : Petya – Un nouveau ransomware qui verrouille totalement votre ordinateur ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Hello tout le monde,

J'espère que vous allez bien. Je vous avoue que, en ce qui me concerne, ce mois de mars était bien pourri. La poisse atomique a frappé toute la famille et bien au-delà, alors pour me consoler, j'ai pris sur Steam la nouvelle version de Day of Tentacle remastérisé.

Je l'avais fini à l'époque et ma mémoire me joue des tours donc je galère comme au bon vieux temps. Enfin, je joue au compte-goutte parce qu'entre le boulot et les enfants, difficile de trouver ne serait-ce qu'une demi-heure de tranquillité. Mais c'est assez cool de renouer avec ce jeu qui m'avait quand même bien marqué à l'époque.

Je pense que si je veux le (re)finir un jour, il faut que je simule ma disparition pendant quelques jours. Si vous avez de bons tutos, je suis preneur.

Je tiens à beaucoup, beaucoup, beaucoup remercier tous les lecteurs qui m'envoient des petits mails pour partager avec moi leurs découvertes, j'avoue que ça me permet de gagner pas mal de temps dans ma veille quotidienne, qui disons-le clairement, m'a un poil submergé ces derniers temps. Merci les amis !

En attendant qu'avril arrive, je continue à croiser les doigts. J'espère que pour vous, ça a été plus cool que pour moi.

À très bientôt et bonne semaine !

K.

Cet article merveilleux et sans aucun égal intitulé : Edito du 29/03/2016 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous êtes un agent secret ou tout simplement un citoyen concerné par sa vie privée, voici une application Android un poil dangereuse, mais intéressante.

Elle s'appelle Locker (dispo sur F-Droid), et elle permet de spécifier un nombre d'essais max pour déverrouiller son téléphone. Une fois ce nombre d'essais dépassé, le téléphone sera entièrement nettoyé de son contenu.

C'est un peu violent, c'est certain, mais si vous faites confiance à votre mémoire (et que vos enfants ne touchent pas à votre téléphone), aucune crainte à avoir. Le but étant d'éviter que quelqu'un n'accède à vos données après avoir dérobé votre téléphone.

Android ne dispose pas de cette option, mais permet quand même de le faire via une API d'administration et Locker exploite cela.

À tester si vous n'avez pas froid aux yeux Les sources de Locker sont disponibles ici.

Cet article merveilleux et sans aucun égal intitulé : Locker – Effacer votre téléphone si quelqu’un tente de forcer votre code de verrouillage ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Pour mes SMS, j'utilise depuis un bon moment l'application Android Signal dont je vous ai déjà parlé. Et le truc marrant avec Signal, c'est dans les cas où quelqu'un vous envoie un SMS / MMS destiné à plusieurs personnes.

Avec un logiciel de SMS classique, vous avez l'impression d'être le seul destinataire. Avec Signal, vous avez carrément la liste des numéros à qui le message a été adressé.

Je me suis fait avoir plusieurs fois en répondant à des SMS groupés. Tout le monde en copie recevant mon message, j'ai eu le droit à des "C'est qui ?"...etc.

Je ne savais pas que cela était possible, mais j'imagine que les numéros sont dans l'entête du SMS... Si quelqu'un a une explication, ça m'intéresse.

En tout cas, maintenant vous savez comment voir si un SMS est adressé à plusieurs personnes, et surtout, vous serez prudent lorsque vous enverrez des "Je t'aime, t'es l'amour de ma vie" à plusieurs de vos conquêtes en même temps ;-)))

Cet article merveilleux et sans aucun égal intitulé : Comment savoir qui est en copie d’un SMS / MMS reçu ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous avez pris l'habitude d'utilisez TrueCaller pour savoir qui vous appelle et surtout obtenir le numéro de téléphone de quelqu'un que vous ne connaissez que par son nom, il va falloir rapidement mettre à jour l'application.

En effet, des chercheurs du Cheetah Mobile Security Research Lab ont découvert une faille dans TrueCaller qui permet grâce à un simple numéro d'IMEI (l'identifiant du téléphone, utilisé comme clé unique par TrueCaller), de récupérer les données personnelles qui y sont associées : Numéro de téléphone, adresse postale, email, genre, nom, photo de profil...etc.

 

Au total, c'est plus de 100 millions d'utilisateurs Android qui sont concernés. Hormis le vol de données personnelles, un attaquant pourrait aussi modifier les paramètres de l'application de l'utilisateur, désactiver le bloqueur de spam ou encore ajouter ou supprimer des numéros sur la black list.

Et pour trouver les numéros IMEI rien de plus simple, une application vérolée ou avec un peu trop de droits sur le PlayStore peut sortir cette donnée, mais il est aussi parfaitement possible de générer des numéros IMEI aléatoire et espérer faire une bonne pioche.

TrueCaller a évidemment corrigé la faille, c'est pourquoi il est important de télécharger la mise à jour du 22 mars dernier afin de vous protéger. Faites passer le mot.

Pour la petite histoire, ce n'est pas la première fois que les données utilisateurs confiées à TrueCaller sont en danger. Bref, faites gaffe quand vous confiez certaines infos à une application. Ils n'ont pas forcément besoin d'avoir toujours de véritables infos. Vous pouvez par exemple mettre une fausse adresse postale, un faux nom ou une photo de profil qui ne vous représente pas.

Source

Cet article merveilleux et sans aucun égal intitulé : TrueCaller – Attention à la faille, mettez à jour vers la dernière version ! ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.