jeudi 23 février 2017

Se prémunir des RansomWare, oui c'est possible avec RansomFree, j'ai testé pour vous ce programme !

Les Ransomware ont fait un énorme boom en 2016. Comment s'en prémunir ?

ernardasvistock-538561178.jpg

On connait la motivation : L'argent - virtuellement non traçable, avec les monnaies cryptographique - cette technique est presque imparable avec les outils de sécurité actuel.
Et si elle continue à croître comme prévu, sa portée s'étendra à de plus en plus d'utilisateurs, apportant des dizaines de millions de dollars pour les acteurs de la menace qui souhaitent tirer profit de l'épidémie.

Alors qu'est-ce que cela signifie pour vos données si c'est quelque chose qui ne peut pas être arrêté? Bon nombre des meilleures pratiques s'appliquent toujours. Par exemple, en veillant à ce que vous soyez à jour sur les correctifs de votre système et de vos applications, le déploiement d'une protection antivirus moderne avec protection contre les logiciels malveillants à la fois mise à jour et exécutée en arrière-plan, et de multiples sauvegardes planifiées sont de bonnes pratiques informatiques. Bien sûr, rester à l'écart des sites Web douteux et ne pas cliquer sur les liens ou les pièces jointes qui vous sont envoyés par courrier électronique, médias sociaux ou n'importe où sont d'excellentes pratique aussi.

Mais même avec tout cela, vous êtes toujours susceptible de compromettre vos données.

Alors, quoi de neuf?
Eh bien, la prochaine solution pourrait bien être le logiciel de protection anti rançon : RansomFree.

Cette application proactive de détection de ransomware surveille l'accés aux fichiers et surveille étroitement leur interaction afin de déterminer si le cryptage a lieu. En utilisant des techniques de détection comportementale, si RansomFree détermine le comportement affiché comme ransomware, il arrête immédiatement le processus et le marque, créant une alerte à l'écran. À ce stade, l'utilisateur doit autoriser le processus avant qu'il ne se déroule, selon le développeur de RansomFree.

Mais devrions-nous simplement prendre leur mot pour vrai? Je ne sais pas!
Je me suis mis à l'essai pour déterminer si l'application fonctionne comme annoncé.
J'ai volontairement infecté mon ordinateur Windows avec une souche de ransomware pour évaluer les capacités réelles de RansomFree ... et les résultats sont rien de moins impressionnant.

Tout d'abord, un avertissement.
N'INFECTEZ PAS VOTRE ORDINATEUR AVEC UN RANSOMWARE!
Pour les besoins de ce test, j'ai créé un environnement bac à sable avec une machine virtuelle (VM) avec une copie propre de Windows et Office. Cette VM a également été isolée des autres ordinateurs du réseau. De plus, aucun correctif ou mise à jour n'a été apporté à la machine virtuelle, ni aucun type de protection contre les logiciels malveillants.



Voici comment fonctionne le Ransomware

J'ai décidé d'exécuter ce test deux fois après avoir pris un instantané de la VM comme avant l'introduction du code malveillant (Ransomware). La première fois, je le ferais sans RansomFree pour voir comment le ransomware fonctionne sur le système. Une fois que j'aurai constaté son fonctionnement, je réexécuterai le test avec RansomFree installé pour mesurer sont efficacité contre cette souche de ransomware, car maintenant, j'aurais une bonne idée de ce qu'il faut chercher.

0170figure-a.jpg
J'ai créé manuellement quelques fichiers sur l'ordinateur à l'aide de Microsoft Word, PowerPoint et Bloc-notes, car les ransomware sont connu pour cibler les extensions de fichiers les plus couramment utilisés pour infliger le maximum de dommages, afin de convaincre leurs victimes de payer pour récupérer leurs données.

0170figure-b.jpg
0170figure-c.jpg
Ensuite, j'ai extrait le document inoffensif avec du code malveillant sur le bureau et ouvert le fichier dans Word.

0170figure-d.jpg
0170figure-e.jpg
Le fichier ne c'est pas exécuté initialement car il nécessite l'activation des macros. Un autre bon conseil à garder à l'esprit: Gardez toujours les macros désactivées. Les Ransomware et d'autres infections méchantes passent par l'injection de JavaScript - ce que les applications trouvent généralement inoffensifs - dans les macros dans divers types de fichiers. Cela déclenche le processus
d'infection en communiquant avec des serveurs distants pour télécharger des logiciels ransomware (logiciel de rançon) et / ou des commandes supplémentaires pour compromettre votre système et ses données.

0170figure-f.jpg

0170figure-g.jpg
Avec les macros activées, aucun avertissement ou message d'avertissement n'a été fourni pendant que le script s'exécute en arrière-plan, masqué. Cependant, comme vous pouvez le voir à partir de la photo ci-dessus, il a immédiatement pris contact avec un serveur de commande et de contrôle et téléchargé un ransomware (logiciel rançon) et l'a exécuté pour commencer le processus de cryptage.

0170figure-h.jpg
0170figure-i.jpg
Avec si peu de fichiers sur le banc d'essai dans la VM, le Ransomware a chiffré mes fichiers fictifs en un rien de temps. S'il s'agissait d'un ordinateur de production ou d'un serveur de fichiers, le processus aurait pris plus de temps, mais pas tant que cela. On estime qu'un ransomware peut copier vos fichiers, créer les nouvelles versions cryptées et supprimer les originaux en permanence à un rhytme d'environ 100-200 fichiers par minute. Une fois les fichiers cryptés, j'ai renommé les extensions pour qu'ils apparaissent avec leurs extensions d'origine et ont été reconnus par leurs applications correspondantes.

Pourtant, en essayant d'ouvrir chacun des fichiers affectés, il n'y avait rien d'autre que "gobbledygook", ou l'accès était totalement empêché, car le contenu du fichier était efficacement brouillé par le cryptage du logiciel malveillant

Cela marque la fin de la première partie du test, pour s'assurer qu'il fonctionnait et pour prendre note de son fonctionnement. La phase suivante je suis retourné en arrière, à l'instantané précédent de la VM avant l'infection - mais cette fois j'ai installé RansomFree avant de lancer le malware une fois de plus.

Test de la protection anti Ransomware (logiciel Rançon) du logiciel RansomFree :

0170figure-j.jpg
Avec RansomFree installé et actif en arrière plan, J'exécute à nouveau le programme malveillant pour infecté le système. Mais cette fois, le résultat est totalement diffèrent.

0170figure-k.jpg
Trois minutes. C'est tout le temps qu'il a fallu pour que RansomFree détecte les manipulations de fichiers étranges qui se produisent sur l'ordinateur avant qu'il ne soit lancé et non seulement a stoppé le processus, de plus il m'a incité à approuver ou à refuser le blocage du processus.

0170figure-l.jpg
Lorsque j'ai cliqué sur Oui, le processus (et ses dépendances) ont été arrêtés en permanence et supprimés de la mémoire, ce qui empêche effectivement les fichiers de se crypter. L'application a fourni un message de confirmation indiquant que la menace a été empêchée et éliminée de l'ordinateur.

RansomFree ma sauvé la journée! Eh bien, les données ont été épargnées et le système a continué à tourner ne nécessitant pas des redémarrages ou des interruptions de service. Fidèle à son titre anglais : RansomFree (libre de rançon) a travaillé comme un chef.

Comment fait-il?

Le secret du succès de RansomFree n'est pas dans les vérifications des signature similaires de fichiers faites par les applications d'antivirus, mais plutôt dans la façon dont il détecte un comportement semblable à un logiciel rançon (par exemple, le chiffrement local des données utilisateur). Cela rend l'application bonne pour ce prémunir de ces ransomware, puisque tous les ransomware jusqu'à présent affichent les mêmes caractéristiques. Que ce soit un cheval de Troie, un exploit de vulnérabilité ou un code malveillant, RansomFree est conçu pour traiter l'interaction du (des) fichier (s) avec le système et l'arrêter immédiatement après le classement du comportement comme une menace et jusqu'à ce que l'utilisateur intervienne.

Tout en testant cette application moi-même, j'ai trouvé des preuves de faux positifs détectés lors de l'utilisation de logiciels tiers. Cependant, il serait raisonnable de penser que c'est une possibilité réelle, étant donné que certaines applications offrent la possibilité de crypter des fichiers uniques qu'ils utilisent, ou dans le cas des applications de cryptage tierce partie, comme c'était mon cas spécifique. Quoi qu'il en soit, cela me semble être un petit prix à payer pour éviter de passer par le processus de récupération de données dans cas du nettoyage d'une infection ransomware ou d'avoir à payer pour récupérer vos données.

RansomFree a fonctionné comme annoncé. Il est également petit et fonctionne en grande partie en arrière-plan, en vérifiant les processus d'activité malveillante. Et ai-je mentionné que c'est gratuit? Pas pour une période d'essai ou en attente d'un abonnement en cours, mais comme en libre pour une utilisation personnelle et commerciale sur les versions client et serveur des systèmes d'exploitation Windows.
Il n'y a vraiment aucune excuse ne pas lui donner un coup de feu et de le laisser fonctionner pour arrêter une infection ransomware possible de se produire comme il l'a fait dans mes tests. Si vous n'êtes pas ciblé, vous ne sauriez jamais qu'il était là-mais n'est-il pas une grande tranquillité d'esprit de l'avoir de votre côté en cas d'infraction? Je le pense. C'est pourquoi je l'ai ajouté à mon répertoire d'applications logicielles et l'ai installé sur tous mes ordinateurs et serveurs personnels et commerciaux.


Télécharger RansomFree

jeudi 10 avril 2014

Comment désactiver définitivement en 30 secondes le WAT sous Windows XP, Windows Serveur 2003, Windows 7 (Seven) et/ou Windows Serveur 2008 ( Windows Activation Technologie)


Il vous suffit de télécharger et exécuter le fichier .BAT inclus dans les fichiers suivants :




  • Pour Windows XP et Windows Server 2003 :
  • Pour Windows 7 (Seven) et Windows 2008 :
 PACK HACK WAT SEVEN / 2008 R2



En 30 secondes le WAT sera un lointain souvenir !




Pour décompiler les fichiers : télécharger et installer 7 ZIP

Comment faire pour modifier le port d'écoute du serveur Terminal Server (ou apelé : TSE, Terminal Server Environement, RDP, Remote Desktop Protocol, connexion bureau à distance, bureau distant Windows...)


Pour modifier le port par défaut pour toutes les nouvelles connexions sur le serveur Terminal Server :
  1. Exécutez Regedt32 et accédez à la clé suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      


    REMARQUE :
    : la clé du Registre ci-dessus désigne un seul chemin ; elle est présentée sur deux lignes pour une meilleure lisibilité.
  2. Recherchez la sous-clé « PortNumber » et notez la valeur de 00000D3D, valeur hexadécimale de (3389). Modifiez la valeur hexadécimale du numéro de port et enregistrez la nouvelle valeur.

    Pour modifier le port d'une connexion spécifique sur le serveur Terminal Server :
    • Exécutez Regedt32 et accédez à la clé suivante :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connexion
      REMARQUE : la clé du Registre ci-dessus désigne un seul chemin ; elle est présentée sur deux lignes pour une meilleure lisibilité.
  3. Recherchez la sous-clé « PortNumber » et notez la valeur de 00000D3D, valeur hexadécimale de (3389). Modifiez le numéro de port au format hexadécimal et enregistrez la nouvelle valeur.



    REMARQUE : l'utilisation d'autres ports n'ayant pas été implémentée entièrement pour Terminal Server 4.0, Microsoft s'efforcera de fournir une assistance dans les meilleurs délais et pourra vous demander de reconfigurer le port sur le port 3389 en cas de problème.

Pour modifier le port côté client

  1. Ouvrez le Gestionnaire de connexion client.
  2. Dans le menu Fichier, cliquez sur Nouvelle connexion, puis créez la connexion. Après exécution de l'Assistant, la nouvelle connexion doit s'afficher.
  3. Assurez-vous que la nouvelle connexion est sélectionnée, puis dans le menu Fichier, cliquez sur Exporter. Enregistrez-la sous nom.cns.
  4. Modifiez le fichier .cns dans le Bloc-notes : remplacez « Server Port=3389 » par « Server Port=xxxx » où xxxx correspond au nouveau port que vous avez spécifié sur le serveur Terminal Server.
  5. Réimportez ensuite le fichier dans le Gestionnaire de connexion client. Un message peut vous inviter à remplacer le fichier existant s'il porte le même nom. Acceptez et remplacez-le. Les paramètres du port de votre client sont désormais corrects et correspondent aux paramètres que vous avez modifiés sur le serveur Terminal Server.

lundi 24 mars 2014

Désactiver à un utilisateur précis les boutons inutiles du bureau, menu démarrer, barre des tâches (arrêter, tous les programmes...) afin d'éviter des mauvaises manipulation

Voici comment j'ai paramétrer une session client ayant besoin juste de deux applis sur le bureau et menu démarrer et aucune fonction Windows hormis "Imprimante".
Et désactiver le bouton "arrêter" et "tous les programmes".

Voilà comment j'ai opérer.

Modifier manuellement le bureau client :
Ouvrir la session de l'utilisateur et faire un clic droit sur le bureau, le menu démarrer et la barre des tâches et faire les opérations suivantes :
- réorganisation de la barre des tâches : Désactivation du choix de langue et ajout horloge.

- réorganisation du menu démarrer : désactivation de toutes les options inutile, hormis "imprimante et télécopieurs" (nécessaires pour vérifier si l’imprimante est bien monté sur la session TSE).
- réorganisation du bureau : sélection de l'option "réorganisation automatique" et nettoyage des icônes inutiles et raccourci ajouté dans C:\Documents and Setting\All User\Bureau (modification en session administrateur)




De la voici, ce que ça donne (voir photo écran ci-dessous) :


Vous constatez que le bouton "Arrêter" est disponible à l'utilisateur. Même si il est rare que l'utilisateur clic dessus, le retirer est plus sur que cela ne se produira jamais et est plus pro.

Pour cela, il faut passer par les "Policy" via l'appli. "GPEDIT.MSC" (lancement via "exécuter...")







De la j'ai activé les Policy suivantes (voir photo écran ci-dessous) :








Par contre, le problème est que cela modifie pour tous les utilisateurs, aussi l'administrateur !
Pour résoudre cela, il faut être connecter en session Administrateur (le compte "Administrateur" ne doit pas être membre du grouppe "Utilisateur", il faut aussi fermer la session puis la rouvrir), il faut passer par l'éditeur de base de registre de Windows ("regedit") et modifier manuellement (avec "0" au lieu de "1") dans les entrées suivantes (voir photo écran ci-dessous)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Il faut de nouveau fermer la session et la rouvrir.

Tada ! Maintenant, l'administrateur à toutes les fonctions et l’utilisateur à un bureau, une barre des tâches et un menu démarrer configurer et protéger contre les mauvaises manipulations. (voir photo écran ci-dessous)







Si l'utilisateur clic sur "Sécurité de Windows", le bouton "Arrêter" est aussi désactivé (voir photo écran ci-dessous).