Étiquette : Windows 7

Vincent Lecomte
[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.

Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.

ransomware try2cry propage usb

Comment ça marche?

Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.

Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.

Les clés USB pour se propager

La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.

Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.

Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier “Update.exe” qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.

Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.

Faible sécurité

D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source “Stupid”.

Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.

.666, .adam, .alosia, .android, .ANNABELLE, .anon,
.bycicle, .corrupted, .crypted, .CYRON, .deria, .devil,
.Doxes, .encrypt, .eTeRnItY, .FailedAccess, .fucked, 
.fucking, .fun, .H34rtBl33d, .Harzhuangzi, .haters, 
.iGotYou, .jeepers, .jigsaw, .killedXXX, .lock, .malki, 
.Malki, .MIKOYAN, .Nazi, .powned, .purge, .slvpawned, 
.SnakeEye, .Tesla, .whycry, .WINDIE, .XmdXtazX, .xncrypt, 
_crypt0, _nullbyte

Sources

[Windows 7] Impossible d’éteindre le PC

[Windows 7] Impossible d’éteindre le PC

Après les récents problèmes de moteur de recherche sous Windows 10, qui étaient en fait dus à une indisponibilité de Bing, les utilisateurs de Windows 7 rencontrent également des difficultés… pour éteindre leur PC. Soudainement le système d’exploitation les informe qu’ils n’ont pas les droits pour réaliser l’opération d’extinction. Le site Bleeping Computer explique que cela pourrait provenir d’une corruption des policies, – donc des stratégies de groupe, – ou des récentes mises à jour.

(image: hothardware.com)

Plusieurs utilisateurs indiquent avoir créé un nouveau compte administrateur sur lequel ils se sont connectés pour ensuite revenir sur leur compte habituel afin de retrouver les droits. Microsoft est au courant des soucis rencontrés. Cela pourrait également provenir d’une mise à jour problématique d’Adobe et des services liés… Tout cela reste donc à confirmer.

Sources

Bleeping Computer

[Utilitaires] Mouse without Borders

[Utilitaires] Mouse without Borders

Microsoft Garage, c’est un peu le petit laboratoire – pas très secret – dans lequel les employés de la firme peuvent proposer différents projets qui n’ont pas forcément de lien avec leur poste au sein de l’entreprise. On y retrouve donc des petits programmes sympathiques, et c’est notamment le cas de Mouse without Borders.

Ce petit logiciel bien pratique permet, avec une seule souris, passer d’un écran à un autre sur des PC différents. Les opérations plutôt basiques comme le drag & drop de fichiers ou le copier/coller de texte d’un ordinateur à un autre sont évidemment prises en charge.Pour lier les ordinateurs, il faut donc installer le logiciel sur chaque machine.

Il génère alors une clé, qui devra être ré-utilisée sur chaque PC que l’on veut contrôler. L’utilisateur peut gérer l’ordre des écrans dans l’interface afin de respecter l’ordre des écrans sur son bureau. Une fois que tout cela est configuré, c’est comme si l’on avait du multi-écrans… mais avec des ordinateurs pourtant différents.

Petite mise en situation :

  • Un développeur dispose de son PC (machine 1) avec deux écrans pour son travail journalier. Les écrans A et B sont disposés l’un à côté de l’autre, de gauche à droite, A étant le principal.
  • On lui a rajouté un PC de monitoring (machine 2), avec son écran C. Tout à fait indépendant donc. Aucune souris raccordée à celui-ci, bien sûr.
  • Le logiciel est alors installé sur la machine 1 ainsi que sur la 2. La clé (ABCDEF123 par exemple) doit être indiquée sur chacune des machines.
  • Dans l’onglet “Machine setup” du petit utilitaire, il faut organiser les éléments pour respecter l’ordre physique (d’affichage).
  • Il est alors possible de déplacer le curseur de l’écran A à B, puis C, en utilisant la souris de la machine 1.
  • La machine 1 peut être verrouillée, le curseur de la souris peut toujours être déplacé sur la machine 2.

Pour télécharger le logiciel, suivez ce lien.

[Astuces] Wallet Bitdefender inactif dans Firefox

[Astuces] Wallet Bitdefender inactif dans Firefox

Pour je ne sais quelle raison, il arrive que le Wallet Bitdefender – qui gère vos identifiants sur les différents sites web – ne soit plus actif dans Firefox, et ce même quand il a bien été activé dans l’interface de configuration de l’antivirus. Cela est probablement dû à une mauvaise mise à jour du navigateur, mais cela n’est pas certain.

Pour régler ce problème, si cocher et décocher le support de Firefox dans l’interface de configuration du Wallet n’a rien changé, alors il faut effectuer les manipulations suivantes:

  • Fermez le navigateur.
  • Ouvrez l’éditeur du registre (Windows+R, Exécuter, tapez “regedit” puis OK).
  • Répondre Oui au prompt UAC.
  • Se rendre dans la clé de registre HKLM\Software\Mozilla\Firefox\Extensions (sur une machine en x64 avec un Firefox en 32 bits, il faut aller dans HKLM\Software\WOW6432Node\Mozilla\Firefox\Extensions.
  • Dans mon cas la clé ne contenait rien. Il faut alors créer une valeur chaine (clic droit, Nouveau, Valeur chaine).
    • Nom : bdwteffv20@bitdefender.com
    • Valeur : C:\Program Files\Bitdefender\Bitdefender XXXX\antispam32\bdwteff (où XXXX représente l’année du produit – notez qu’il s’agit du répertoire d’installation par défaut).
  • Relancez Firefox et acceptez l’installation du module.
[Sécurité] Votre PC verrouillé est-il sûr ?

[Sécurité] Votre PC verrouillé est-il sûr ?

Votre PC reste verrouillé et vous comptez sur votre mot de passe en guise de protection ? Sachez que si vous travaillez dans un environnement ouvert avec un tas de personnes, peut-être faut-il vous inquiéter des clés USB comme la Hak5 Turtle.

Sur le site de Korben, il est expliqué qu’un internaute, répondant au pseudo de Mubix (sur Twitter), ait réussi à récupérer des informations d’identification sur plusieurs ordinateurs dont la session était simplement verrouillée, et tout cela à l’aide de ce type de clé. Dans ce cas, c’est le modèle cité ci-dessus qui est utilisé, sur lequel il faut alors activer un serveur DHCP et un module nommé Responder.

Ensuite il ne reste plus qu’à brancher la clé à un PC verrouillé. Après une quinzaine de secondes la magie va opérer. En fait, la clé est directement reconnue grâce au système de Plug&Play. Elle agit alors comme un adaptateur Ethernet (réseau). Le système va d’office s’y connecter, et ce même si un Wi-Fi est connecté, puisque la priorité est donnée au réseau le plus rapide. Le constat est inquiétant : la machine va transférer tout un tas de données dont des identifiants, chiffrés ou pas.

Les tests ont été réalisés sur les systèmes suivants :

  • Windows 98 SE
  • Windows 2000 SP4
  • Windows XP SP3
  • Windows 7 SP1
  • Windows 10 (Enterprise et Home)
  • OSX El Capitan / Mavericks

Dans la mesure du possible, fermez votre session plutôt que de la verrouiller 🙂

Source

Korben

[Utilitaires] TronScript

[Utilitaires] TronScript

On peut trouver des choses vraiment surprenantes sur internet, et pour preuve, cet utilitaire appelé TronScript, créé par l’utilisateur vocatus est en fait un batch qui s’occupe de lancer de multiples logiciels et commandes pour réparer et nettoyer votre ordinateur : il nettoie les dossiers temporaires courants, exécute de nombreux scans antivirus, recherche des traces de rootkits, lance une défragmentation de vos lecteurs, restaure les droits d’accès et les permissions des fichiers / dossiers, et supprime même de nombreux logiciels indésirables préinstallés sur votre machine (selon une liste pouvant être éditée). Et ce n’est qu’une toute petite liste de ce qu’il est capable de faire !

Un wiki a été mis en place afin de comprendre le fonctionnement du script. 8 étapes sont réalisées, la 9ème est en fait une suggestion d’outils à lancer manuellement pour compléter (tels que ComboFix). Il faudra compter environ 4 à 7 heures pour réaliser toutes les étapes, du moins sur les machines les plus rapides.

Vous retrouverez les liens des différents miroirs qui hébergent l’exécutable sur cette page : Downloads. Attention, cet utilitaire pèse tout de même près de 650 Mo. Cela s’explique par le fait qu’il contient pas mal de programmes tiers.

A noter que le code source est dispo sur Github

Sources

Reddit

[Utilitaires] WSUS Offline Update

[Utilitaires] WSUS Offline Update

C’est la hantise de tout informaticien : devoir se taper toutes les mises à jour du système après formatage et une réinstallation propre. Cette tâche peut s’avérer pénible surtout si la machine n’est pas très rapide de base ou que la connexion à internet est à la ramasse. L’utilitaire WSUS Offline Update permet de préparer des médias (USB, ISO) contenant les packages nécessaires pour les différents systèmes d’exploitation à partir de Windows 7 jusque Windows 10 (et les équivalents “serveur“).

Le logiciel, qu’on peut télécharger sur le site WSUSOffline.net, est divisé en deux exécutables : le premier permet de générer un “dépôt” local de mises à jour, en téléchargeant tous les packages, et en créant éventuellement un média d’installation. Le second exécutable quant à lui, permet de réaliser l’installation de manière tout à fait automatique. C’est ce qui est brièvement décrit sur la page de documentation.

Ce petit utilitaire offre également la possibilité de récupérer les mises à jour pour les produits Office 2010 à 2016, et ce dans 30 langues différentes, ainsi que les définitions Windows Defender ou même les librairies .NET et Visual C++ nécessaires à l’exécution de certains programmes/jeux.

[Mémo] Réparer les fichiers système corrompus

[Mémo] Réparer les fichiers système corrompus

Sur Windows il peut arriver que vous vous retrouviez avec des fichiers système corrompus (par exemple après une infection), et cela peut rendre votre système instable ou entrainer des comportements étranges. Microsoft a eu la bonne idée d’intégrer au système un utilitaire qui s’appelle SFC. Sous XP il est nécessaire d’insérer le CD d’installation afin de réparer les éventuelles erreurs. Sous Windows 8 et supérieur, le fonctionnement est un peu différent.

Analyser et réparer les fichiers système

La première commande appelle donc l’utilitaire SFC. On lui donne le paramètre “scannow”. Ce paramètre va indiquer à l’outil d’analyser immédiatement tous les fichiers système protégés et de remplacer les versions incorrectes par les versions appropriées.

sfc /scannow

L’opération peut prendre un certain temps. Si vous possédez un SSD cela varie entre 5 et 10 minutes. Sur un disque dur il faut compter facilement 15 voire 20 minutes, notamment en fonction de ce qui est à remplacer ou non.

En cas d’erreur d’exécution de la commande, réessayez en mode sans échec. Si vous ne savez pas comment faire, les liens suivants peuvent vous aider.

Réparer le magasin de composants

Dans certains cas, l’utilitaire SFC peut ne pas réussir pas à remplacer un ou plusieurs fichiers. Cela peut provenir d’une erreur dans le magasin de composants Windows. Sous Windows 7, Server 2008 et Vista, il existe l’utilitaire CheckSUR (KB947821) afin de le réparer. Sous Windows 8 et Windows Server 2012, le fonctionnement est différent et il n’est pas nécessaire de télécharger d’outils supplémentaires. En effet, Microsoft a introduit la fonctionnalité “Inbox Corruption Repair“.

Dans les faits il y a un processus qui, de manière invisible, va vérifier l’état des fichiers système lors d’une installation de mise à jour et remplacer les fichiers corrompus en ré-téléchargeant les versions adéquates depuis Windows Update. Pour le faire manuellement on utilise l’utilitaire DISM “Deployment Imaging and Servicing Management“.

Pour exécuter les commandes suivantes, vous devez ouvrir une invite de commandes avec les privilèges administrateur.

Dism /Online /Cleanup-Image /CheckHealth

Cette commande va vous retourner le dernier état qui a été attribué à l’image. Cela signifie que même si l’image a été marquée comme étant en bon état, elle pourrait tout à coup être corrompue. Aucun fichier journal (log) n’est généré lors de l’appel à la commande.

Dism /Online /Cleanup-Image /ScanHealth

La commande ci-dessus va scanner le magasin de composants afin de voir s’il y a des éléments corrompus ou non. Cette opération prend un peu plus de temps. Pour chaque élément corrompu, un enregistrement est affiché au fichier journal (log). Cette opération peut prendre de 5 à 10 minutes et peut sembler bloquée aux alentours de 20%. Il faut juste laisser aller et prendre un café en attendant.

Dism /Online /Cleanup-Image /RestoreHealth

Si corruption il y a, le paramètre “RestoreHealth” va permettre de lancer une réparation automatique. Ce processus est bien plus long (il faut compter entre 15 et 20 minutes). Comme pour la commande précédente, le processus peut sembler bloqué aux alentours de 20%. Il ne faut pas s’inquiéter, il faut juste patienter et manger un bout.

Si vous ne possédez pas d’accès à internet pour permettre de récupérer les fichiers de remplacement, vous pouvez spécifier le paramètre “Source:wim” dans la commande précédente. La valeur “PATH” ci-dessous doit être remplacée par le chemin complet vers le fichier “install.wim” qui contient les fichiers de remplacement. Sachez que ce fichier est présent sur le DVD original de Windows 8.1, dans le dossier “Sources”.

Dism /Online /Cleanup-Image /RestoreHealth /Source:wim:PATH:1

Une fois le magasin de composants réparé, lancez à nouveau l’utilitaire SFC et observez le résultat.

Sources

Eight Forums
Malekal

[Système] Avertissement de sécurité lors de l’ouverture de raccourcis de type “.lnk”

[Système] Avertissement de sécurité lors de l’ouverture de raccourcis de type “.lnk”

Sur Windows 7, si vous obtenez un avertissement de sécurité lorsque vous souhaitez ouvrir un logiciel grâce à son raccourci sur le bureau, il existe une commande pour résoudre ce problème. Cela peut arriver si le “niveau d’intégrité obligatoire” a été redéfini de manière incorrecte. Par défaut, le niveau “moyen” est assigné au bureau, ainsi qu’au menu démarrer. Difficile de dire ce qui a modifié ce comportement.

Pour résoudre ce problème, il faut utiliser la commande ICACLS. Pour ce faire, démarrez une invite de commande en mode administrateur (cmd.exe) et saisissez la ligne de commande suivante en prenant bien soin de modifier le dossier ciblé.

ICACLS "C:\Users\NOM_USER\Desktop" /Setintegritylevel (OI)(CI)M

Vous devriez obtenir le résultat suivant :

Fichier traité : C:\Users\NOM_USER\Desktop
1 fichiers correctement traités ; échec du traitement de 0 fichiers

Testez à nouveau vos raccourcis !

Si vous avez le même problème pour le menu démarrez, le dossier à indiquer dans la commande est : C:\ProgramData\Microsoft\Windows\Start Menu\Programs.

[Système] Windows 7 – Fin du support standard

[Système] Windows 7 – Fin du support standard

Il y a deux jours le support standard pour Windows 7 prenait fin. Concrètement qu’est-ce que cela veut dire ? Cela signifie qu’il n’y aura plus de mise à jour corrective du système ou bien de Service Pack. Les mises à jour de sécurité continueront jusqu’à la fin du support étendu, qui prend fin en 2020.

D’autres produits sont bien entendus touchés par cette fin de support : citons Microsoft Windows Server 2008, Exchange Server 2010 ou bien Dynamics Nav 2009. Enfin en ce qui concerne Windows 8, le support principal s’arrêtera le 9 janvier 2018, et le support étendu 5 ans plus tard.