EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


mercredi 27 avril 2016

Comment déchiffrer le #ransomware #CryptXXX ?

L'expérience typique d'un utilisateur victime d'un ransomware est la suivante : vous ouvrez un site Web et ensuite vous téléchargez et installez accidentellement un logiciel, sans même vous en rendre compte. Pendant un certain temps, il ne se passe rien jusqu'au moment où vous apercevez soudainement une notification : tous vos fichiers ont été chiffrés par un cheval de Troie, pour récupérer vos données vous devrez payer. Vous vous assurez qu'il ne s'agit pas d'une blague et là vos fichiers refusent de s'ouvrir et vous remarquez également qu'ils ont été actualisés avec l'inquiétante extension .crypt.

Si vous vous retrouvez dans cette situation embarrassante, il semblerait que votre système ait été infecté par le ransomware CryptXXX. Il s'agit d'un cheval de Troie très vicieux qui chiffre les fichiers et vole vos données personnelles ainsi que vos bitcoins. Néanmoins, nous avons une bonne nouvelle : il existe un outil gratuit, qui peut réparer votre système de cette infection.

.../...

jeudi 7 avril 2016

#Kaspersky > KSV SP1 > KASPERSKY SECURITY FOR VIRTUALIZATION Service Pack 1

Le service pack 1 de Kaspersky Security for Virtualization 3.0 Light Agent, notre solution intégrée assurant une protection avancée des machines virtuelles régies par les hyperviseurs VMware ESXi, Citrix XenServer, KVM et Hyper-V, sera disponible le 28 mars.

Faisons un tour des nouveautés.

1ere nouveauté très attendue, la possibilité de créer plusieurs interfaces réseau pour une machine virtuelle de protection. Si vous prévoyez d'utiliser le changement d'adresse IP dynamique (DHCP) pour les machines virtuelles de protection (SVM), vous pouvez désormais confirmer, lors de la définition de plusieurs interfaces réseau, que la première interface de la liste est l'interface via laquelle l'Assistant d'installation peut se connecter à la machine virtuelle de protection.

Seconde nouveauté, la possibilité de déployer les machines virtuelles de protection sur plusieurs hyperviseurs de différents types en même temps.

Toujours parmi les nouveautés, la possibilité de créer, dans la stratégie du Light Agent, une liste des machines virtuelles de protection (SVM) auxquelles les Light Agent doivent se connecter.

Quatrième nouveauté, le serveur d'intégration : il transmet les informations depuis les machines virtuelles de protection dotées d'un Serveur de protection jusqu'au Light agent installé sur les machines virtuelles protégées.

Enfin, mise à jour et prise en charge de nouveaux types d'hyperviseur et de systèmes d'exploitation invités :

  • Microsoft Windows Server 2012 R2 Hyper-V (en mode d'installation complète ou en mode Server Core) avec les mises à jour les plus récentes.
  • Citrix XenServer 6.5 SP1.
  • Citrix XenServer 6.2 SP1.
  • VMware ESXi 5.5 avec les mises à jour les plus récentes.
  • VMware ESXi 6.0 avec les mises à jour les plus récentes.
  • KVM (Kernel-based Virtual Machine) à partir du système d'exploitation Ubuntu Server 14.04 LTS ou CentOS 7.

A noter que côté machine protégée, les VDI en Windows 10 sont supportés.

N'oubliez pas avant la migration vers cette nouvelle version de mettre à jour également votre Security Center 10 SP1. Installer ensuite les nouveaux plugins via le pack d'installation cumulé qui contient tous les modules cités. A télécharger à partir du 28 mars sur le site du support :

mardi 5 avril 2016

#Kaspersky Security 10 for Storage - les compatibilités

Depuis quelques jours est disponible la nouvelle version de Kaspersky Anti-Virus 8.0 for Windows Servers Enterprise Edition qui a été renommée pour l'occasion Kaspersky Security 10 for Windows Server. C'est aussi la sortie de la version 10 de Kaspersky Security for Storage puisque les 2 solutions partagent le même moteur (seule la licence est différente).

C'est donc l'occasion de faire un point sur les compatibilités que Kaspersky Lab a avec les différents constructeurs. Merci de noter que pour tous les constructeurs cités ci-dessous, le logiciel Security 10 for Storage a été certifié (certification en cours pour IBM & HP).

EMC : gamme EMC Isilon (OneFS 7.0 et supérieur), EMC Celera/ VNX (DART 6.0.36 et supérieur). L'intégration se fait au choix via le protocole ICAP ou via l'Agent CAVA.

NetApp : gamme NetApp FAS-series (Data ONTAP 7.x & 8.x en 7-mode - Data ONTAP 8.2.3 ou supérieur en mode cluster). Intégration via le protocole RPC.

Hitachi : gamme HNAS 3080, 3090, 4040, 4060, 4080 & 4100. Intégration via le protocole RPC ou ICAP. IBM : gamme IBM System Storage N series. Intégration via le protocole RPC.

DELL : gamme DELL Compellent FS8600 (FluidFS 5.x). Intégration via le protocole ICAP.

Oracle : Oracle ZFS Storage Appliance. Intégration via le protocole ICAP.

Hewlett Packard Enterprise : HP 3PAR-series. Intégration via le protocole ICAP. Attention, disponibilité Q3 2016.

La principale nouveauté concerne l'intégration de nouveaux constructeurs utilisant des protocoles standards. Ainsi, l'interaction entre Kaspersky Security 10 et un stockage réseau connecté via le protocole RPC (comme NetApp ou Hitachi NAS en mode RPC) s'opère via le protocole RPC (Remote Procedure Call). Notre logiciel maintient la connexion avec le stockage réseau en lui envoyant des requêtes RPC à intervalles réguliers. En cas de tentative de lecture ou de création/modification d'un fichier qui se trouve dans le stockage réseau, le stockage réseau octroie à Kaspersky Security un accès direct à ce fichier via le protocole CIFS. Le module de l'application «Protection des stockages réseau connectés via le protocole RPC» analyse le fichier conformément aux paramètres définis pour la tâche «Protection des stockages réseau connectés via le protocole RPC». Si Kaspersky Security découvre une menace, il exécute sur les fichiers les actions définies dans les paramètres de la tâche (dont la réparation ou la suppression du fichier) et transmet les résultats de l'analyse au stockage réseau.

Pour un stockage réseau connecté via le protocole ICAP (comme EMC Isilon, IBM NAS ou Hitachi NAS en mode ICAP), Kaspersky Security se présente comme un service fonctionnant sur le protocole ICAP (Internet Content Adaptation Protocol). En cas de tentative de lecture ou de création/ modification d'un fichier qui se trouve dans le stockage réseau, le stockage réseau crée une requête ICAP pour Kaspersky Security et transmet le fichier à l'intérieur de cette requête. Le module de l'application «Protection des stockages réseau connectés via le protocole ICAP» analyse le fichier conformément aux paramètres définis pour la tâche «Protection des stockages réseau connectés via le protocole ICAP». Si Kaspersky Security découvre une menace, il exécute sur le fichier les actions définies dans les paramètres de la tâche et transmet les résultats de l'analyse au stockage réseau. Autre nouveauté importante, l'intégration du KSN qui sera aussi utilisé pour les analyses sur les baies de stockage, renforçant ainsi la sécurité en temps réel. Pensez à activer cette fonction qui ne l'est pas par défaut.

Pour rappel, vous pouvez administrer Kaspersky Security for Storage 10 d'une des manières suivantes :

  • Via sa propre console MMC installée sur un serveur doté du produit ou sur un autre ordinateur
  • Via des lignes de commande
  • Via la console d'administration Kaspersky Security Center 10 équipée du plugin adéquat.

Lien de téléchargement Kaspersky Security 10 for Windows Server :

Correctif pour licence :

Migration de KAV WSEE 8 vers Kaspersky Security Windows Server 10

vendredi 1 avril 2016

#Kaspersky > 60 variantes du #ransomware #Locky

Décidément les cryptomalwares font parler d'eux! Pour preuve cet article de Kaspersky Lab relayé par de nombreux média dont 20 Minutes, ZDNet, Ouest France, l'AFP, le Parisien, ARTE, TV5, Le Figaro, MetroNews, etc, etc.

Kaspersky Lab a identifié à ce jour plus de 60 variantes du ransomware Locky. L'Allemagne et la France sont les pays plus touchés. Au total l'an passé, le nombre des utilisateurs attaqués dans le monde par des malwares ciblant des appareils Android a augmenté de 48,3%. Kaspersky Lab a déjà recensé plus de 40 000 tentatives d'infection par un ransomware chez ses clients en février 2016.

Le cheval de Troie de cryptage (ransomware) Locky est toujours en activité, et Kaspersky Lab en a identifié à ce jour plus de 60 variantes. Selon les analyses de la société, les internautes allemands et français sont les plus exposés à ce risque, suivi par l'Afrique du Sud, l'Autriche, l'Italie, les Etats-Unis, la Chine et l'Inde.

Locky utilise en particulier deux vecteurs d'attaque. Il arrive notamment sur l'ordinateur par le biais de fausses factures en pièces jointes de courriels. Dès que le document joint est ouvert, le logiciel malveillant est téléchargé à partir d'Internet, à condition que les macros nécessaires pour l'infection soient activées. Par ailleurs, Kaspersky Lab a identifié des pages web légitimes sur lesquelles le malware Locky a été implanté. Lorsqu'un utilisateur visite l'une de ces pages et que les vulnérabilités logicielles correspondantes sont présentes sur son ordinateur, Locky tente de s'installer automatiquement sur ce dernier. Dans les versions les plus récentes, le malware se présente également sous la forme d'une notification de fax ou de scanner. Une fois que Locky s'est frayé un chemin sur l'ordinateur infecté, le cheval de Troie entame ses activités de cryptage puis exige de sa victime une rançon.

« Les criminels qui se cachent derrière le ransomware Locky cherchent à en tirer un maximum de profits », commente Marco Preuss, à la tête de l'équipe de recherche et de développement de Kaspersky Lab en Europe. « Locky n'est pas une blague potache mais l'oeuvre de malfaiteurs qui y ont investi une énergie considérable. »

Lire la suite...

Voir les nouvelles variantes ajoutées tous les jours par le laboratoire de Kaspersky :

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*