Windows 8 - Vincent Lecomte

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

Publié le 7 juillet 20207 juillet 2020 par Vincent L

Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.

Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.

Comment ça marche?

Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.

Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.

Les clés USB pour se propager

La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.

Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.

Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier “Update.exe” qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.

Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.

Faible sécurité

D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source “Stupid”.

Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.

.666, .adam, .alosia, .android, .ANNABELLE, .anon,
.bycicle, .corrupted, .crypted, .CYRON, .deria, .devil,
.Doxes, .encrypt, .eTeRnItY, .FailedAccess, .fucked, 
.fucking, .fun, .H34rtBl33d, .Harzhuangzi, .haters, 
.iGotYou, .jeepers, .jigsaw, .killedXXX, .lock, .malki, 
.Malki, .MIKOYAN, .Nazi, .powned, .purge, .slvpawned, 
.SnakeEye, .Tesla, .whycry, .WINDIE, .XmdXtazX, .xncrypt, 
_crypt0, _nullbyte

Sources

[Utilitaires] Mouse without Borders

Publié le 8 février 20185 mai 2020 par Vincent L

Microsoft Garage, c’est un peu le petit laboratoire – pas très secret – dans lequel les employés de la firme peuvent proposer différents projets qui n’ont pas forcément de lien avec leur poste au sein de l’entreprise. On y retrouve donc des petits programmes sympathiques, et c’est notamment le cas de Mouse without Borders.

Ce petit logiciel bien pratique permet, avec une seule souris, passer d’un écran à un autre sur des PC différents. Les opérations plutôt basiques comme le drag & drop de fichiers ou le copier/coller de texte d’un ordinateur à un autre sont évidemment prises en charge.Pour lier les ordinateurs, il faut donc installer le logiciel sur chaque machine.

Il génère alors une clé, qui devra être ré-utilisée sur chaque PC que l’on veut contrôler. L’utilisateur peut gérer l’ordre des écrans dans l’interface afin de respecter l’ordre des écrans sur son bureau. Une fois que tout cela est configuré, c’est comme si l’on avait du multi-écrans… mais avec des ordinateurs pourtant différents.

Petite mise en situation :

Un développeur dispose de son PC (machine 1) avec deux écrans pour son travail journalier. Les écrans A et B sont disposés l’un à côté de l’autre, de gauche à droite, A étant le principal.
On lui a rajouté un PC de monitoring (machine 2), avec son écran C. Tout à fait indépendant donc. Aucune souris raccordée à celui-ci, bien sûr.
Le logiciel est alors installé sur la machine 1 ainsi que sur la 2. La clé (ABCDEF123 par exemple) doit être indiquée sur chacune des machines.
Dans l’onglet “Machine setup” du petit utilitaire, il faut organiser les éléments pour respecter l’ordre physique (d’affichage).
Il est alors possible de déplacer le curseur de l’écran A à B, puis C, en utilisant la souris de la machine 1.
La machine 1 peut être verrouillée, le curseur de la souris peut toujours être déplacé sur la machine 2.

Pour télécharger le logiciel, suivez ce lien.

[Astuces] Wallet Bitdefender inactif dans Firefox

Publié le 22 juillet 20175 mai 2020 par Vincent L

Pour je ne sais quelle raison, il arrive que le Wallet Bitdefender – qui gère vos identifiants sur les différents sites web – ne soit plus actif dans Firefox, et ce même quand il a bien été activé dans l’interface de configuration de l’antivirus. Cela est probablement dû à une mauvaise mise à jour du navigateur, mais cela n’est pas certain.

Pour régler ce problème, si cocher et décocher le support de Firefox dans l’interface de configuration du Wallet n’a rien changé, alors il faut effectuer les manipulations suivantes:

Fermez le navigateur.
Ouvrez l’éditeur du registre (Windows+R, Exécuter, tapez “regedit” puis OK).
Répondre Oui au prompt UAC.
Se rendre dans la clé de registre HKLM\Software\Mozilla\Firefox\Extensions (sur une machine en x64 avec un Firefox en 32 bits, il faut aller dans HKLM\Software\WOW6432Node\Mozilla\Firefox\Extensions.
Dans mon cas la clé ne contenait rien. Il faut alors créer une valeur chaine (clic droit, Nouveau, Valeur chaine).
- Nom : bdwteffv20@bitdefender.com
- Valeur : C:\Program Files\Bitdefender\Bitdefender XXXX\antispam32\bdwteff (où XXXX représente l’année du produit – notez qu’il s’agit du répertoire d’installation par défaut).
Relancez Firefox et acceptez l’installation du module.

[Sécurité] Patch de sécurité pour WannaCry

Publié le 16 mai 20175 mai 2020 par Vincent L

Le patch de sécurité KB4012598 est disponible depuis hier pour Windows XP, Vista, 8 et 2003 via le catalogue Microsoft Update. Il corrige la faille de sécurité CVE-2017-0145 qui était présente dans le protocole de partage de fichiers SMB “Server Message Block” de Windows.

Celle-ci permettait notamment au ransomware WannaCry de se propager via le réseau local sur des machines vulnérables après avoir été téléchargé par l’utilisateur sur son PC. Celui-ci aura fait quelques dégâts dans les entreprises et chez les particuliers durant ces derniers jours…

Pour télécharger le correctif :

Pour Windows XP / 8 / 2003 : cliquez ici
Pour Windows Vista / 2008 : cliquez ici

La faille a été corrigée lors du Patch Tuesday du 12 mars 2017 pour les autres systèmes d’exploitation, dont Windows 10.Voir aussi : outil de déchiffrement WannaKey

Sources

Tous Les Drivers

[Utilitaires] TronScript

Publié le 21 septembre 20165 mai 2020 par Vincent L

On peut trouver des choses vraiment surprenantes sur internet, et pour preuve, cet utilitaire appelé TronScript, créé par l’utilisateur vocatus, est en fait un batch qui s’occupe de lancer de multiples logiciels et commandes pour réparer et nettoyer votre ordinateur : il nettoie les dossiers temporaires courants, exécute de nombreux scans antivirus, recherche des traces de rootkits, lance une défragmentation de vos lecteurs, restaure les droits d’accès et les permissions des fichiers / dossiers, et supprime même de nombreux logiciels indésirables préinstallés sur votre machine (selon une liste pouvant être éditée). Et ce n’est qu’une toute petite liste de ce qu’il est capable de faire !

Un wiki a été mis en place afin de comprendre le fonctionnement du script. 8 étapes sont réalisées, la 9ème est en fait une suggestion d’outils à lancer manuellement pour compléter (tels que ComboFix). Il faudra compter environ 4 à 7 heures pour réaliser toutes les étapes, du moins sur les machines les plus rapides.

Vous retrouverez les liens des différents miroirs qui hébergent l’exécutable sur cette page : Downloads. Attention, cet utilitaire pèse tout de même près de 650 Mo. Cela s’explique par le fait qu’il contient pas mal de programmes tiers.

A noter que le code source est dispo sur Github.

Sources

[Utilitaires] WSUS Offline Update

Publié le 21 septembre 201625 mai 2020 par Vincent L

C’est la hantise de tout informaticien : devoir se taper toutes les mises à jour du système après formatage et une réinstallation propre. Cette tâche peut s’avérer pénible surtout si la machine n’est pas très rapide de base ou que la connexion à internet est à la ramasse. L’utilitaire WSUS Offline Update permet de préparer des médias (USB, ISO) contenant les packages nécessaires pour les différents systèmes d’exploitation à partir de Windows 7 jusque Windows 10 (et les équivalents “serveur“).

Le logiciel, qu’on peut télécharger sur le site WSUSOffline.net, est divisé en deux exécutables : le premier permet de générer un “dépôt” local de mises à jour, en téléchargeant tous les packages, et en créant éventuellement un média d’installation. Le second exécutable quant à lui, permet de réaliser l’installation de manière tout à fait automatique. C’est ce qui est brièvement décrit sur la page de documentation.

Ce petit utilitaire offre également la possibilité de récupérer les mises à jour pour les produits Office 2010 à 2016, et ce dans 30 langues différentes, ainsi que les définitions Windows Defender ou même les librairies .NET et Visual C++ nécessaires à l’exécution de certains programmes/jeux.

[Mémo] Réparer les fichiers système corrompus

Publié le 14 décembre 201525 mai 2020 par Vincent L

Sur Windows il peut arriver que vous vous retrouviez avec des fichiers système corrompus (par exemple après une infection), et cela peut rendre votre système instable ou entrainer des comportements étranges. Microsoft a eu la bonne idée d’intégrer au système un utilitaire qui s’appelle SFC. Sous XP il est nécessaire d’insérer le CD d’installation afin de réparer les éventuelles erreurs. Sous Windows 8 et supérieur, le fonctionnement est un peu différent.

Analyser et réparer les fichiers système

La première commande appelle donc l’utilitaire SFC. On lui donne le paramètre “scannow”. Ce paramètre va indiquer à l’outil d’analyser immédiatement tous les fichiers système protégés et de remplacer les versions incorrectes par les versions appropriées.

sfc /scannow

L’opération peut prendre un certain temps. Si vous possédez un SSD cela varie entre 5 et 10 minutes. Sur un disque dur il faut compter facilement 15 voire 20 minutes, notamment en fonction de ce qui est à remplacer ou non.

En cas d’erreur d’exécution de la commande, réessayez en mode sans échec. Si vous ne savez pas comment faire, les liens suivants peuvent vous aider.

Réparer le magasin de composants

Dans certains cas, l’utilitaire SFC peut ne pas réussir pas à remplacer un ou plusieurs fichiers. Cela peut provenir d’une erreur dans le magasin de composants Windows. Sous Windows 7, Server 2008 et Vista, il existe l’utilitaire CheckSUR (KB947821) afin de le réparer. Sous Windows 8 et Windows Server 2012, le fonctionnement est différent et il n’est pas nécessaire de télécharger d’outils supplémentaires. En effet, Microsoft a introduit la fonctionnalité “Inbox Corruption Repair“.

Dans les faits il y a un processus qui, de manière invisible, va vérifier l’état des fichiers système lors d’une installation de mise à jour et remplacer les fichiers corrompus en ré-téléchargeant les versions adéquates depuis Windows Update. Pour le faire manuellement on utilise l’utilitaire DISM “Deployment Imaging and Servicing Management“.

Pour exécuter les commandes suivantes, vous devez ouvrir une invite de commandes avec les privilèges administrateur.

Dism /Online /Cleanup-Image /CheckHealth

Cette commande va vous retourner le dernier état qui a été attribué à l’image. Cela signifie que même si l’image a été marquée comme étant en bon état, elle pourrait tout à coup être corrompue. Aucun fichier journal (log) n’est généré lors de l’appel à la commande.

Dism /Online /Cleanup-Image /ScanHealth

La commande ci-dessus va scanner le magasin de composants afin de voir s’il y a des éléments corrompus ou non. Cette opération prend un peu plus de temps. Pour chaque élément corrompu, un enregistrement est affiché au fichier journal (log). Cette opération peut prendre de 5 à 10 minutes et peut sembler bloquée aux alentours de 20%. Il faut juste laisser aller et prendre un café en attendant.

Dism /Online /Cleanup-Image /RestoreHealth

Si corruption il y a, le paramètre “RestoreHealth” va permettre de lancer une réparation automatique. Ce processus est bien plus long (il faut compter entre 15 et 20 minutes). Comme pour la commande précédente, le processus peut sembler bloqué aux alentours de 20%. Il ne faut pas s’inquiéter, il faut juste patienter et manger un bout.

Si vous ne possédez pas d’accès à internet pour permettre de récupérer les fichiers de remplacement, vous pouvez spécifier le paramètre “Source:wim” dans la commande précédente. La valeur “PATH” ci-dessous doit être remplacée par le chemin complet vers le fichier “install.wim” qui contient les fichiers de remplacement. Sachez que ce fichier est présent sur le DVD original de Windows 8.1, dans le dossier “Sources”.

Dism /Online /Cleanup-Image /RestoreHealth /Source:wim:PATH:1

Une fois le magasin de composants réparé, lancez à nouveau l’utilitaire SFC et observez le résultat.

Sources

Eight Forums
Malekal

[Sécurité] Superfish préinstallé sur des PC Lenovo

Publié le 23 février 201525 mai 2020 par Vincent L

Le constructeur chinois Lenovo a récemment été pointé du doigt puisque plusieurs machines livrées contenaient l’adware Superfish. Celui-ci analyse le contenu des pages internet consultées afin de proposer à l’utilisateur des produits similaires au meilleur prix. Chouette alors, de la publicité indésirable !

Étant donné qu’il auto-signe les certificats de sécurité dont il a besoin, il peut analyser le contenu de votre site bancaire, de votre boite mail, ou d’un site de paiement quelconque. N’importe quelle connexion sécurisée TLS/SSL apparait alors comme légitime aux yeux de l’utilisateur… Et ce n’est qu’un seul des défauts qui lui sont reprochés…

En janvier, Lenovo a retiré le logiciel de ses machines préinstallées, mais bien entendu, les utilisateurs infectés doivent procéder à sa désinstallation. Il est également important de vérifier que le certificat est bien supprimé de votre ordinateur.

Dans le panneau de configuration, accédez à Programmes et fonctionnalités, puis sélectionnez l’adware Superfish Inc. Visual Discovery et cliquez sur “Désinstaller”.
Rendez-vous dans la gestion des certificats (astuce : utilisez Win+R, Exécuter, “certmgr.msc” pour y accéder plus rapidement).
Déroulez l’arborescence “Autorités de certification racines de confiance”.
Ouvrez la vue “Certificats” et localisez “Superfish Inc.”.
Clic droit sur celui-ci puis “Supprimer”.
Pour effectuer un nettoyage plus complet n’hésitez pas à utiliser AdwCleaner :
- Lancez le logiciel “AdwCleaner” et cliquez sur Scanner.
- Lorsqu’il a terminé d’analyser cliquez sur Nettoyage.
- Un redémarrage est nécessaire pour continuer.
- Le rapport des opérations s’affichera après avoir redémarré.

Microsoft a récemment mis à jour Windows Defender afin qu’il détecte et supprime Superfish. Lenovo quant à lui a publié un utilitaire de désinfection qui permet d’effectuer automatiquement les premières étapes de la solution ci-dessus. Vous pouvez le télécharger depuis le site officiel.

Voir aussi : Malekal’s forum.

Sources

Les Numériques

[Système] Windows 7 – Fin du support standard

Publié le 16 janvier 20155 mai 2020 par Vincent L

Il y a deux jours le support standard pour Windows 7 prenait fin. Concrètement qu’est-ce que cela veut dire ? Cela signifie qu’il n’y aura plus de mise à jour corrective du système ou bien de Service Pack. Les mises à jour de sécurité continueront jusqu’à la fin du support étendu, qui prend fin en 2020.

D’autres produits sont bien entendus touchés par cette fin de support : citons Microsoft Windows Server 2008, Exchange Server 2010 ou bien Dynamics Nav 2009. Enfin en ce qui concerne Windows 8, le support principal s’arrêtera le 9 janvier 2018, et le support étendu 5 ans plus tard.

[Office] Bulletin MS14-082 et problème d’ActiveX

Publié le 6 janvier 201524 août 2020 par Vincent L

Suite à la mise à jour corrective MS14-082 pour les suites Office, de nombreux utilisateurs ont vite constaté un problème avec leurs contrôles ActiveX, notamment dans un classeur Excel. Il s’agit des mises à jour de sécurité suivantes, destinées à colmater une faille qui permettait l’exécution de code distant :

Security Update for Microsoft Office 2007 (KB2596927).
Security Update for Microsoft Office 2010 (KB2553154).
Security Update for Microsoft Office 2013 (KB2726958).

Les symptômes rencontrés peuvent varier d’une machine à une autre. On note les problèmes suivants :

Contrôles ActiveX inactifs / impossibilité de modifier leurs propriétés.
Erreur indiquant “Impossible d’insérer un objet” (Cannot insert object).
Erreur indiquant “Le programme utilisé pour créer cet objet est xxxx. Ce programme n’est pas installé sur votre ordinateur ou ne répond pas (…)“.
Erreur 438, “L’objet ne gère pas cette propriété ou méthode” en tentant de pointer vers un contrôle ActiveX depuis le code (d’un classeur).
Problème affectant le nom d’un contrôle donné lors de sa création.

Plusieurs solutions s’offrent à vous, certaines peuvent ne pas fonctionner selon la version Office utilisée sur votre machine.

Désinstaller la mise à jour

La première solution qui nous vient à l’esprit est de désinstaller la mise à jour de votre système (voir ci-dessous pour repérer le correctif correspondant). Sur Windows 7 et Windows 8, rendez-vous dans le Panneau de configuration, Windows Update, Mises à jour installées, sélectionnez la mise à jour puis cliquez sur Désinstaller. Cependant cela ne sera peut-être pas forcément nécessaire : la solution suivante consiste à nettoyer les fichiers temporaires, et nous allons voir pourquoi !

Nettoyer les fichiers temporaires

En consultant les différents blogs, dont celui de Microsoft, la solution proposée est toujours la même. Celle-ci consiste à nettoyer les fichiers temporaires qui servent de cache. Trois méthodes sont disponibles : manuelle, scriptée ou automatisée. A vous de choisir celle que vous préférez, en fonction de votre niveau de compétences.

1 – Méthode manuelle

Après la mise à jour, les libraires de types de contrôles, mises en cache, sont “désynchronisées”. Elles sont stockées sous le format “Extender files” (*.exd). Il faut alors supprimer ces fichiers à plusieurs endroits de votre disque.

%appdata%\microsoft\forms
%temp%\excel8.0
%temp%\word8.0
%temp%\PPT11.0
%temp%\vbe

Vous pouvez également chercher après le fichier “MSForms.exd” dans %TEMP% et %APPDATA%. Attention, n’oubliez pas de fermer les applications Microsoft Office (Excel, PowerPoint, etc) avant d’effectuer cette opération. Un redémarrage peut être nécessaire par la suite.

2 – Utilisation d’un script

Étant donné que le problème peut affecter plusieurs machines il peut être intéressant de concevoir un script batch qui contiendra les lignes suivantes :

del %temp%\vbe*.exd
del %temp%\excel8.0*.exd
del %appdata%\microsoft\forms*.exd
del %appdata%\microsoft\local*.exd
del %temp%\word8.0*.exd
del %temp%\PPT11.0*.exd

Enregistrez le fichier en lui donnant l’extension “.bat”. Lancez-le pour chaque profil car les fichiers “.exd” sont spécifiques à l’utilisateur. Pour automatiser ce script lors de l’identification dans un domaine, vous pouvez suivre le tutoriel suivant : Setting up a Logon Script through Active Directory Users & Computers (en).

3 – Méthode automatisée

Microsoft a mis en ligne un script qui permet d’effectuer ces opérations. Il peut être obtenu à l’adresse suivante : “Cannot insert object Error in an ActiveX custom Office solution after you install the MS14-082 security update” https://support.microsoft.com/kb/3025036/EN-US.

Notes

%TEMP% correspond habituellement à : C:\Users\NOM\AppData\Local\Temp.
%APPDATA% correspond habituellement à : C:\Users\NOM\AppData\Roaming.

Sources

BornCity
ExcelMatters
Microsoft Blog