Aller au contenu

Ransomware


Jack51

Messages recommandés

Bonjour à tous,

Apparemment un ransomware sévit pour les mac (à partir de Littlesnitch piraté sur un forum russe). Cela m'amène aux questions suivantes :

- quand on est infecté, on peut quand même réinstaller le système à partir d'un clone ou TimeMachine à condition que que ces disques n'aient pas été branchés lors de l'installation du ransomware ?
- J'ai eu une discussion, il ya quelques mois, avec une société de sauvegarde qui voulait me faire acheter leur solution. Devant mon refus, la commerciale m'affirmé que je pouvais être infecté par un virus ou ransomware MAIS qu'ils ne se déclencheraient qu'à une date précise (dans 1 jour, 3 mois....) ou par un mot clé tapé au clavier. Est-ce possible ? Je pensais que virus et autres ransomware se déclenchaient dès leur installation, non ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, Jack51 a dit :

- quand on est infecté, on peut quand même réinstaller le système à partir d'un clone ou TimeMachine à condition que que ces disques n'aient pas été branchés lors de l'installation du ransomware ?

Oui

Il y a 6 heures, Jack51 a dit :

Je pensais que virus et autres ransomware se déclenchaient dès leur installation, non ?

Pas forcément. S'ils sont vicieux ils peuvent justement attendre un moment opportun. Par exemple que tu branches un disque de sauvegarde pour le bousiller en même temps que le reste.

Une bonne stratégie de sauvegarde doit inclure des sauvegardes qui ne sont accessibles qu'en lecture une fois qu'elles ont été écrites.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, pehache a dit :

Oui

Pas forcément. S'ils sont vicieux ils peuvent justement attendre un moment opportun. Par exemple que tu branches un disque de sauvegarde pour le bousiller en même temps que le reste.

Une bonne stratégie de sauvegarde doit inclure des sauvegardes qui ne sont accessibles qu'en lecture une fois qu'elles ont été écrites.

En comptant un clone que je réalise tous les mois avec SuperDuper, j'ai 4 disques de sauvegarde : 2 identiques de tous mes travaux terminés et 1 Time Machine tous les jours. Tous ces disques ne sont branchés qu'au moment des sauvegardes et débranchés du Mac ensuite. Je ne comprends pas ta phrase : ...accessibles qu'en lecture... ? Time Machine et mes autres disques : je peux écrire dessus. Comment faire pour qu'ils ne soient accessibles qu'en lecture ? Cela veut dire que je ne pourrais pas écrire dessus ?

Je peux avoir deux disques Time Machine sur un seul ordi ? Ce serait la solution : si en en branchant un, il est crypté, le second sera là comme ultime sauvegarde. Non ?

Modifié par Jack51
Lien vers le commentaire
Partager sur d’autres sites

Ce n'est possible que si ce n'est pas l'OS du Mac infecté qui réalise l'étape d'écriture. Sans cela, effectivement, l'OS du Mac a besoin des droits d'accès en écriture et donc, le malware qui tourne en background peut lui aussi modifier le disque et l'encrypter alors même que tu prends le backup.

Soit tu "bootes" le Mac au départ d'un autre OS (supposé "clean", donc un OS avec lequel tu ne surfes jamais ni n'installe jamais rien), et ensuite seulement tu branches le périphériques, tu backupes les drives du Mac, tu débranches le périphérique et tu rebootes en OSX.

Soit tu utilises un OS tiers, hébergé chez toi (NAS) ou ailleurs (Cloud).

Par contre, il faut "encore" prendre une précaution supplémentaire afin qu'OSX n'ait pas accès à toutes les informations sur le répertoire du NAS (sinon, c'est rebelote et le "share" peut être encrypté). Soit tu utilises un soft de backup (comme l'Active Backup for Business de Synology pour PC) pour backuper le NAS, soit tu archives l'archive TimeMachine (avec les snapshots internes du Syno) ou via l'outil de backup interne au NAS (Backup de la partition Read-Write de Synology vers une partion Read-Only).

Le tout avec un "certain" historique (d'où bcp, bcp d'espace disque nécessaire).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, Sethenès a dit :

Ce n'est possible que si ce n'est pas l'OS du Mac infecté qui réalise l'étape d'écriture. Sans cela, effectivement, l'OS du Mac a besoin des droits d'accès en écriture et donc, le malware qui tourne en background peut lui aussi modifier le disque et l'encrypter alors même que tu prends le backup.

Soit tu "bootes" le Mac au départ d'un autre OS (supposé "clean", donc un OS avec lequel tu ne surfes jamais ni n'installe jamais rien), et ensuite seulement tu branches le périphériques, tu backupes les drives du Mac, tu débranches le périphérique et tu rebootes en OSX.

Soit tu utilises un OS tiers, hébergé chez toi (NAS) ou ailleurs (Cloud).

Par contre, il faut "encore" prendre une précaution supplémentaire afin qu'OSX n'ait pas accès à toutes les informations sur le répertoire du NAS (sinon, c'est rebelote et le "share" peut être encrypté). Soit tu utilises un soft de backup (comme l'Active Backup for Business de Synology pour PC) pour backuper le NAS, soit tu archives l'archive TimeMachine (avec les snapshots internes du Syno) ou via l'outil de backup interne au NAS (Backup de la partition Read-Write de Synology vers une partion Read-Only).

Le tout avec un "certain" historique (d'où bcp, bcp d'espace disque nécessaire).

Donc booter sur un clone suffit ou ne suffit pas ? Je ne sais pas si en démarrant d'un disque bootable (en appuyant sur alt) l'OS du Mac réalise l'étape d'écriture dont tu parles ? Pour booter le Mac au départ d'une autre OS, il faut bien démarrer d'un disque où cet OS est installé ? Désolé d'être un peu dur à comprendre vos réponses :) 

Lien vers le commentaire
Partager sur d’autres sites

Ce qu'on veut dire, c'est qu'à partir du moment où les sauvegardes sont accessibles en écriture depuis ton Mac, il y a toujours un risque que le ransomware aille les chiffrer (ou les effacer, c'est encore plus facile). Alors tu peux diminuer le risque effectivement en multipliant les sauvegardes sur des supports différents (et surtout en ne les laissant pas toujours connectés), car il y a très peu de chance au final que le ransomware les bousille toutes avant que tu te rendes compte qu'il y a un problème.

Sinon, quelques exemples de sauvegardes inacessibles en écriture :

  • Une fois la sauvegarde effectuée sur un disque (ou une clé USB si ça suffit), tu la ranges et tu n'y touches plus, sauf en cas de coup dur... Evidemment il faut de nombreux disques pour pratiquer ainsi !
  • Sauvegardes sur un NAS, gérées par un logiciel sur le NAS qui conserve un historique des versions. Si un ransomware chiffre les fichiers du Mac les versions récentes sauvegardées seront chiffrées aussi, mais en remontant suffisamment loin on retrouve des sauvegardes instactes. Il est bien sûr impératif que le Mac n'ait pas la main du tout sur la gestion des versions, ça doit rester dépendant du NAS et rien que de lui !
  • Il existe le même principe avec des services de sauvegarde en ligne.
  • ...

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, pehache a dit :

Ce qu'on veut dire, c'est qu'à partir du moment où les sauvegardes sont accessibles en écriture depuis ton Mac, il y a toujours un risque que le ransomware aille les chiffrer (ou les effacer, c'est encore plus facile). Alors tu peux diminuer le risque effectivement en multipliant les sauvegardes sur des supports différents (et surtout en ne les laissant pas toujours connectés), car il y a très peu de chance au final que le ransomware les bousille toutes avant que tu te rendes compte qu'il y a un problème.

Sinon, quelques exemples de sauvegardes inacessibles en écriture :

  • Une fois la sauvegarde effectuée sur un disque (ou une clé USB si ça suffit), tu la ranges et tu n'y touches plus, sauf en cas de coup dur... Evidemment il faut de nombreux disques pour pratiquer ainsi !
  • Sauvegardes sur un NAS, gérées par un logiciel sur le NAS qui conserve un historique des versions. Si un ransomware chiffre les fichiers du Mac les versions récentes sauvegardées seront chiffrées aussi, mais en remontant suffisamment loin on retrouve des sauvegardes instactes. Il est bien sûr impératif que le Mac n'ait pas la main du tout sur la gestion des versions, ça doit rester dépendant du NAS et rien que de lui !
  • Il existe le même principe avec des services de sauvegarde en ligne.
  • ...

 

Ok, c'est clair, merci beaucoup. Et donc booter sur un clone au démarrage en cas de pb bousille le DD ou pas ? Car c'est l'OS (non vérolé) sur le clone qui est sollicité pas celui qui vérolé ?

Modifié par Jack51
Lien vers le commentaire
Partager sur d’autres sites

il y a 18 minutes, Jack51 a dit :

Ok, c'est clair, merci beaucoup. Et donc booter sur un clone au démarrage en cas de pb bousille le DD ou pas ? Car c'est l'OS (non vérolé) sur le clone qui est sollicité pas celui qui vérolé ?

Booter d'un clone (à condition qu'il ne soit lui-même pas encrypté) est possible mais à quoi bon puisque toutes les données sont encryptées ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Sethenès a dit :

Booter d'un clone (à condition qu'il ne soit lui-même pas encrypté) est possible mais à quoi bon puisque toutes les données sont encryptées ?

Si mon clone a été fait avant le chiffrement, cela me permet de recloner mon disque de Mac (chiffré) avec le disque externe (clone non chiffré), non ? Ou booter du disque Time Machine ?

La question est : en cas de boot sur un disque externe, ce disque ne sera pas chiffré par le ransomware ? Il est chiffré si on branche le disque sans booter dessus ? C'est bien ça ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, Jack51 a dit :

Si mon clone a été fait avant le chiffrement, cela me permet de recloner mon disque de Mac (chiffré) avec le disque externe (clone non chiffré), non ? Ou booter du disque Time Machine ?

La question est : en cas de boot sur un disque externe, ce disque ne sera pas chiffré par le ransomware ? Il est chiffré si on branche le disque sans booter dessus ? C'est bien ça ?

Oui, c'est ça. Il faut que le backup ait été pris avec que le ransomware soit installé (chiffrer un disque, ça prend des heures et l'utilisateur peut ne rien remarquer du tout). Et il faut booter avec un autre OS que celui qui est vérolé. Mais je ne pense pas qu'on puisse directement booter d'un disque TimeMachine. Il faut une clé USB par exemple, clé crée sur un autre Mac.

Modifié par Sethenès
Lien vers le commentaire
Partager sur d’autres sites

il y a 31 minutes, Sethenès a dit :

Oui, c'est ça. Il faut que le backup ait été pris avec que le ransomware soit installé (chiffrer un disque, ça prend des heures et l'utilisateur peut ne rien remarquer du tout). Et il faut booter avec un autre OS que celui qui est vérolé. Mais je ne pense pas qu'on puisse directement booter d'un disque TimeMachine. Il faut une clé USB par exemple, clé crée sur un autre Mac.

Ok ? C'est clair pour moi. J'espère ne jamais avoir à le faire mais je pourrais en cas d'encryptage booter sur mon clone, réinstaller mon os avec ses applis et ensuite brancher Time Machine  et recopier mes données (si tant est que mon Time Machine ait échappé au cryptage et que je m'en sois aperçu avant). Merci d'avoir eu de la patience avec moi ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, Jack51 a dit :

Ok ? C'est clair pour moi. J'espère ne jamais avoir à le faire mais je pourrais en cas d'encryptage booter sur mon clone, réinstaller mon os avec ses applis et ensuite brancher Time Machine  et recopier mes données (si tant est que mon Time Machine ait échappé au cryptage et que je m'en sois aperçu avant). Merci d'avoir eu de la patience avec moi ?

De rien ... mais si ton disque Time Machine est connecté, il y a 0% de chances qu'il ne soit pas encrypté.

Lien vers le commentaire
Partager sur d’autres sites

il y a 19 minutes, Sethenès a dit :

De rien ... mais si ton disque Time Machine est connecté, il y a 0% de chances qu'il ne soit pas encrypté.

Il est connecté lors de la sauvegarde et débranché ensuite. Comme tous mes autres disques de sauvegarde. Après, ce n'est pas de chance si on chope un ransomware pendant la sauvegarde...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Sethenès a dit :

Combien de fois par mois le connectes-tu au Mac ?

Time machine : entre 1 x tous les jours et 1 x tous les 4 jours (cela dépend de mes travaux). Les deux disques de sauvegarde : je les connecte pour archiver mes travaux finis (1 x tous les 5  jours voire plus en moyenne). Tu demandes cela car un malware peut attendre son heure pour se déclencher, c'est ça ? Si je les connectais, débranchés de l'internet, cela changerait quelque chose ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 21 minutes, Jack51 a dit :

Time machine : entre 1 x tous les jours et 1 x tous les 4 jours (cela dépend de mes travaux). Les deux disques de sauvegarde : je les connecte pour archiver mes travaux finis (1 x tous les 5  jours voire plus en moyenne). Tu demandes cela car un malware peut attendre son heure pour se déclencher, c'est ça ? Si je les connectais, débranchés de l'internet, cela changerait quelque chose ?

Le malware est un programme local, donc pas besoin d'internet pour fonctionner.

L'encryption est un processus relativement long. Je ne connais que l'équivalent windows, bitlocker qui met le PC à genoux pendant deux bonnes heures (mais sur HDD, jamais fait sur SSD). Pendant tout ce temps, les fichiers restent accessibles. Soit ils ne sont pas encore encryptés, soit ils sont décryptés "à la volée".

Si tu appliques vraiment cette logique à 3 disques, ce qui fait que tu dois toujours avoir un backup qui a une dizaine de jours au moins, les risques sont moindre. Mais pas nuls.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, Sethenès a dit :

Le malware est un programme local, donc pas besoin d'internet pour fonctionner.

L'encryption est un processus relativement long. Je ne connais que l'équivalent windows, bitlocker qui met le PC à genoux pendant deux bonnes heures (mais sur HDD, jamais fait sur SSD). Pendant tout ce temps, les fichiers restent accessibles. Soit ils ne sont pas encore encryptés, soit ils sont décryptés "à la volée".

Si tu appliques vraiment cette logique à 3 disques, ce qui fait que tu dois toujours avoir un backup qui a une dizaine de jours au moins, les risques sont moindre. Mais pas nuls.

 

OK et tu me confortes alors dans mon idée de faire deux Time Machine espacés de 10 jours. Si pb, je perdrai un peu de données mais pas la catastrophe. Et idem pour mes deux disques de sauvegarde de mes travaux finis : les faire à dates différentes. Merci beaucoup et excellente journée à toi.

Lien vers le commentaire
Partager sur d’autres sites

Je serais toi j'étudierais quand même la possibilité d'une sauvegarde en ligne. Ca ne coûte pas forcément la peau du cul (60€ par an pour le service que j'utilise), et ça apporte une  tranquillité d'esprit appréciable (et on jongle moins avec les disques de sauvegarde en local).

Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, pehache a dit :

Je serais toi j'étudierais quand même la possibilité d'une sauvegarde en ligne. Ca ne coûte pas forcément la peau du cul (60€ par an pour le service que j'utilise), et ça apporte une  tranquillité d'esprit appréciable (et on jongle moins avec les disques de sauvegarde en local).

Tu as une entreprise à me conseiller ? Cloud Apple ? ... j'aurais besoin de 500 Go je pense (la taille de mon espace utilisé sur mon iMac).

Modifié par Jack51
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jack51 a dit :

Tu as une entreprise à me conseiller ? Cloud Apple ? ... j'aurais besoin de 500 Go je pense (la taille de mon espace utilisé sur mon iMac).

Le Cloud Apple n'est pas en soi une solution de sauvegarde (pas plus que les équivalents Dropbox, Google Drive...). Ce que j'utilise c'est Backblaze : il y a un client local sur le Mac, qui sauvegarde le contenu du Mac en temps réel (ou à intervalles réguliers) vers les serveurs (aux USA, bon, il faut accepter ça...). Il y a un mois d'historique qui est conservé sur les serveurs, ce qui fait qu'en cas de problème avec un ransomware tu peux remonter à une sauvegarde non altérée. On peut restaurer tout ou partie d'une sauvegarde par l'interface, mais si c'est trop volumineux ils proposent aussi d'envoyer la restauration sur un disque (il faut payer en plus, évidemment). Les fichiers sont chiffrés avant d'être envoyés sur les serveurs, et ils disent qu'ils ne conservent pas la clé de chiffrement donc qu'ils sont incapables de lire tes fichiers dans ton dos (mais c'est impossible à vérifier, ça ne repose que sur la confiance qu'on a en eux ou pas). Le coût c'est 60€ par an environ, pour un volume "illimité", mais pour une machine seulement : en pratique tu es donc limité au volume qu'il y a sur ton Mac, mais ça comprend aussi les disques externes (avec la contrainte qu'il faut les connecter au moins une fois par mois).

C'est une boîte qui existe depuis pas mal de temps, et ils ont une bonne réputation.

Modifié par pehache
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, pehache a dit :

Le Cloud Apple n'est pas en soi une solution de sauvegarde (pas plus que les équivalents Dropbox, Google Drive...). Ce que j'utilise c'est Backblaze : il y a un client local sur le Mac, qui sauvegarde le contenu du Mac en temps réel (ou à intervalles réguliers) vers les serveurs (aux USA, bon, il faut accepter ça...). Il y a un mois d'historique qui est conservé sur les serveurs, ce qui fait qu'en cas de problème avec un ransomware tu peux remonter à une sauvegarde non altérée. On peut restaurer tout ou partie d'une sauvegarde par l'interface, mais si c'est trop volumineux ils proposent aussi d'envoyer la restauration sur un disque (il faut payer en plus, évidemment). Les fichiers sont chiffrés avant d'être envoyés sur les serveurs, et ils disent qu'ils ne conservent pas la clé de chiffrement donc qu'ils sont incapables de lire tes fichiers dans ton dos (mais c'est impossible à vérifier, ça ne repose que sur la confiance qu'on a en eux ou pas). Le coût c'est 60€ par an environ, pour un volume "illimité", mais pour une machine seulement : en pratique tu es donc limité au volume qu'il y a sur ton Mac, mais ça comprend aussi les disques externes (avec la contrainte qu'il faut les connecter au moins une fois par mois).

C'est une boîte qui existe depuis pas mal de temps, et ils ont une bonne réputation.

Merci de ta réponse, je vais étudier cela de près. Bon week-end à venir.

Lien vers le commentaire
Partager sur d’autres sites

Le 03/07/2020 à 12:29, pehache a dit :

Le Cloud Apple n'est pas en soi une solution de sauvegarde (pas plus que les équivalents Dropbox, Google Drive...).

En fait il faut nuancer. La plupart des cloud de ce genre conservent un historique des versions sur une durée plus ou moins longue, mais en soi ça ne suffit pas car en général on ne pouvait restaurer une ancienne version que fichier par fichier : impraticable pour tout restaurer. Par contre récemment Dropbox et OneDrive se sont dotés d'une fonction qui permet de restaurer tout le contenu (ou un dossier donné pour Dropbox) à une date donnée.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
×
  • Créer...