Jump to content
Jack51

Ransomware

Recommended Posts

Bonjour à tous,

Apparemment un ransomware sévit pour les mac (à partir de Littlesnitch piraté sur un forum russe). Cela m'amène aux questions suivantes :

- quand on est infecté, on peut quand même réinstaller le système à partir d'un clone ou TimeMachine à condition que que ces disques n'aient pas été branchés lors de l'installation du ransomware ?
- J'ai eu une discussion, il ya quelques mois, avec une société de sauvegarde qui voulait me faire acheter leur solution. Devant mon refus, la commerciale m'affirmé que je pouvais être infecté par un virus ou ransomware MAIS qu'ils ne se déclencheraient qu'à une date précise (dans 1 jour, 3 mois....) ou par un mot clé tapé au clavier. Est-ce possible ? Je pensais que virus et autres ransomware se déclenchaient dès leur installation, non ?

Share this post


Link to post
Share on other sites
Il y a 6 heures, Jack51 a dit :

- quand on est infecté, on peut quand même réinstaller le système à partir d'un clone ou TimeMachine à condition que que ces disques n'aient pas été branchés lors de l'installation du ransomware ?

Oui

Il y a 6 heures, Jack51 a dit :

Je pensais que virus et autres ransomware se déclenchaient dès leur installation, non ?

Pas forcément. S'ils sont vicieux ils peuvent justement attendre un moment opportun. Par exemple que tu branches un disque de sauvegarde pour le bousiller en même temps que le reste.

Une bonne stratégie de sauvegarde doit inclure des sauvegardes qui ne sont accessibles qu'en lecture une fois qu'elles ont été écrites.

Share this post


Link to post
Share on other sites
Posted (edited)
Il y a 4 heures, pehache a dit :

Oui

Pas forcément. S'ils sont vicieux ils peuvent justement attendre un moment opportun. Par exemple que tu branches un disque de sauvegarde pour le bousiller en même temps que le reste.

Une bonne stratégie de sauvegarde doit inclure des sauvegardes qui ne sont accessibles qu'en lecture une fois qu'elles ont été écrites.

En comptant un clone que je réalise tous les mois avec SuperDuper, j'ai 4 disques de sauvegarde : 2 identiques de tous mes travaux terminés et 1 Time Machine tous les jours. Tous ces disques ne sont branchés qu'au moment des sauvegardes et débranchés du Mac ensuite. Je ne comprends pas ta phrase : ...accessibles qu'en lecture... ? Time Machine et mes autres disques : je peux écrire dessus. Comment faire pour qu'ils ne soient accessibles qu'en lecture ? Cela veut dire que je ne pourrais pas écrire dessus ?

Je peux avoir deux disques Time Machine sur un seul ordi ? Ce serait la solution : si en en branchant un, il est crypté, le second sera là comme ultime sauvegarde. Non ?

Edited by Jack51

Share this post


Link to post
Share on other sites

Ce n'est possible que si ce n'est pas l'OS du Mac infecté qui réalise l'étape d'écriture. Sans cela, effectivement, l'OS du Mac a besoin des droits d'accès en écriture et donc, le malware qui tourne en background peut lui aussi modifier le disque et l'encrypter alors même que tu prends le backup.

Soit tu "bootes" le Mac au départ d'un autre OS (supposé "clean", donc un OS avec lequel tu ne surfes jamais ni n'installe jamais rien), et ensuite seulement tu branches le périphériques, tu backupes les drives du Mac, tu débranches le périphérique et tu rebootes en OSX.

Soit tu utilises un OS tiers, hébergé chez toi (NAS) ou ailleurs (Cloud).

Par contre, il faut "encore" prendre une précaution supplémentaire afin qu'OSX n'ait pas accès à toutes les informations sur le répertoire du NAS (sinon, c'est rebelote et le "share" peut être encrypté). Soit tu utilises un soft de backup (comme l'Active Backup for Business de Synology pour PC) pour backuper le NAS, soit tu archives l'archive TimeMachine (avec les snapshots internes du Syno) ou via l'outil de backup interne au NAS (Backup de la partition Read-Write de Synology vers une partion Read-Only).

Le tout avec un "certain" historique (d'où bcp, bcp d'espace disque nécessaire).

Share this post


Link to post
Share on other sites
Il y a 10 heures, Sethenès a dit :

Ce n'est possible que si ce n'est pas l'OS du Mac infecté qui réalise l'étape d'écriture. Sans cela, effectivement, l'OS du Mac a besoin des droits d'accès en écriture et donc, le malware qui tourne en background peut lui aussi modifier le disque et l'encrypter alors même que tu prends le backup.

Soit tu "bootes" le Mac au départ d'un autre OS (supposé "clean", donc un OS avec lequel tu ne surfes jamais ni n'installe jamais rien), et ensuite seulement tu branches le périphériques, tu backupes les drives du Mac, tu débranches le périphérique et tu rebootes en OSX.

Soit tu utilises un OS tiers, hébergé chez toi (NAS) ou ailleurs (Cloud).

Par contre, il faut "encore" prendre une précaution supplémentaire afin qu'OSX n'ait pas accès à toutes les informations sur le répertoire du NAS (sinon, c'est rebelote et le "share" peut être encrypté). Soit tu utilises un soft de backup (comme l'Active Backup for Business de Synology pour PC) pour backuper le NAS, soit tu archives l'archive TimeMachine (avec les snapshots internes du Syno) ou via l'outil de backup interne au NAS (Backup de la partition Read-Write de Synology vers une partion Read-Only).

Le tout avec un "certain" historique (d'où bcp, bcp d'espace disque nécessaire).

Donc booter sur un clone suffit ou ne suffit pas ? Je ne sais pas si en démarrant d'un disque bootable (en appuyant sur alt) l'OS du Mac réalise l'étape d'écriture dont tu parles ? Pour booter le Mac au départ d'une autre OS, il faut bien démarrer d'un disque où cet OS est installé ? Désolé d'être un peu dur à comprendre vos réponses :) 

Share this post


Link to post
Share on other sites

Ce qu'on veut dire, c'est qu'à partir du moment où les sauvegardes sont accessibles en écriture depuis ton Mac, il y a toujours un risque que le ransomware aille les chiffrer (ou les effacer, c'est encore plus facile). Alors tu peux diminuer le risque effectivement en multipliant les sauvegardes sur des supports différents (et surtout en ne les laissant pas toujours connectés), car il y a très peu de chance au final que le ransomware les bousille toutes avant que tu te rendes compte qu'il y a un problème.

Sinon, quelques exemples de sauvegardes inacessibles en écriture :

  • Une fois la sauvegarde effectuée sur un disque (ou une clé USB si ça suffit), tu la ranges et tu n'y touches plus, sauf en cas de coup dur... Evidemment il faut de nombreux disques pour pratiquer ainsi !
  • Sauvegardes sur un NAS, gérées par un logiciel sur le NAS qui conserve un historique des versions. Si un ransomware chiffre les fichiers du Mac les versions récentes sauvegardées seront chiffrées aussi, mais en remontant suffisamment loin on retrouve des sauvegardes instactes. Il est bien sûr impératif que le Mac n'ait pas la main du tout sur la gestion des versions, ça doit rester dépendant du NAS et rien que de lui !
  • Il existe le même principe avec des services de sauvegarde en ligne.
  • ...

 

Share this post


Link to post
Share on other sites
Posted (edited)
Il y a 2 heures, pehache a dit :

Ce qu'on veut dire, c'est qu'à partir du moment où les sauvegardes sont accessibles en écriture depuis ton Mac, il y a toujours un risque que le ransomware aille les chiffrer (ou les effacer, c'est encore plus facile). Alors tu peux diminuer le risque effectivement en multipliant les sauvegardes sur des supports différents (et surtout en ne les laissant pas toujours connectés), car il y a très peu de chance au final que le ransomware les bousille toutes avant que tu te rendes compte qu'il y a un problème.

Sinon, quelques exemples de sauvegardes inacessibles en écriture :

  • Une fois la sauvegarde effectuée sur un disque (ou une clé USB si ça suffit), tu la ranges et tu n'y touches plus, sauf en cas de coup dur... Evidemment il faut de nombreux disques pour pratiquer ainsi !
  • Sauvegardes sur un NAS, gérées par un logiciel sur le NAS qui conserve un historique des versions. Si un ransomware chiffre les fichiers du Mac les versions récentes sauvegardées seront chiffrées aussi, mais en remontant suffisamment loin on retrouve des sauvegardes instactes. Il est bien sûr impératif que le Mac n'ait pas la main du tout sur la gestion des versions, ça doit rester dépendant du NAS et rien que de lui !
  • Il existe le même principe avec des services de sauvegarde en ligne.
  • ...

 

Ok, c'est clair, merci beaucoup. Et donc booter sur un clone au démarrage en cas de pb bousille le DD ou pas ? Car c'est l'OS (non vérolé) sur le clone qui est sollicité pas celui qui vérolé ?

Edited by Jack51

Share this post


Link to post
Share on other sites
il y a 18 minutes, Jack51 a dit :

Ok, c'est clair, merci beaucoup. Et donc booter sur un clone au démarrage en cas de pb bousille le DD ou pas ? Car c'est l'OS (non vérolé) sur le clone qui est sollicité pas celui qui vérolé ?

Booter d'un clone (à condition qu'il ne soit lui-même pas encrypté) est possible mais à quoi bon puisque toutes les données sont encryptées ?

Share this post


Link to post
Share on other sites
Il y a 1 heure, Sethenès a dit :

Booter d'un clone (à condition qu'il ne soit lui-même pas encrypté) est possible mais à quoi bon puisque toutes les données sont encryptées ?

Si mon clone a été fait avant le chiffrement, cela me permet de recloner mon disque de Mac (chiffré) avec le disque externe (clone non chiffré), non ? Ou booter du disque Time Machine ?

La question est : en cas de boot sur un disque externe, ce disque ne sera pas chiffré par le ransomware ? Il est chiffré si on branche le disque sans booter dessus ? C'est bien ça ?

Share this post


Link to post
Share on other sites
Posted (edited)
il y a 22 minutes, Jack51 a dit :

Si mon clone a été fait avant le chiffrement, cela me permet de recloner mon disque de Mac (chiffré) avec le disque externe (clone non chiffré), non ? Ou booter du disque Time Machine ?

La question est : en cas de boot sur un disque externe, ce disque ne sera pas chiffré par le ransomware ? Il est chiffré si on branche le disque sans booter dessus ? C'est bien ça ?

Oui, c'est ça. Il faut que le backup ait été pris avec que le ransomware soit installé (chiffrer un disque, ça prend des heures et l'utilisateur peut ne rien remarquer du tout). Et il faut booter avec un autre OS que celui qui est vérolé. Mais je ne pense pas qu'on puisse directement booter d'un disque TimeMachine. Il faut une clé USB par exemple, clé crée sur un autre Mac.

Edited by Sethenès

Share this post


Link to post
Share on other sites
il y a 31 minutes, Sethenès a dit :

Oui, c'est ça. Il faut que le backup ait été pris avec que le ransomware soit installé (chiffrer un disque, ça prend des heures et l'utilisateur peut ne rien remarquer du tout). Et il faut booter avec un autre OS que celui qui est vérolé. Mais je ne pense pas qu'on puisse directement booter d'un disque TimeMachine. Il faut une clé USB par exemple, clé crée sur un autre Mac.

Ok ? C'est clair pour moi. J'espère ne jamais avoir à le faire mais je pourrais en cas d'encryptage booter sur mon clone, réinstaller mon os avec ses applis et ensuite brancher Time Machine  et recopier mes données (si tant est que mon Time Machine ait échappé au cryptage et que je m'en sois aperçu avant). Merci d'avoir eu de la patience avec moi ?

Share this post


Link to post
Share on other sites
il y a 22 minutes, Jack51 a dit :

Ok ? C'est clair pour moi. J'espère ne jamais avoir à le faire mais je pourrais en cas d'encryptage booter sur mon clone, réinstaller mon os avec ses applis et ensuite brancher Time Machine  et recopier mes données (si tant est que mon Time Machine ait échappé au cryptage et que je m'en sois aperçu avant). Merci d'avoir eu de la patience avec moi ?

De rien ... mais si ton disque Time Machine est connecté, il y a 0% de chances qu'il ne soit pas encrypté.

Share this post


Link to post
Share on other sites
il y a 19 minutes, Sethenès a dit :

De rien ... mais si ton disque Time Machine est connecté, il y a 0% de chances qu'il ne soit pas encrypté.

Il est connecté lors de la sauvegarde et débranché ensuite. Comme tous mes autres disques de sauvegarde. Après, ce n'est pas de chance si on chope un ransomware pendant la sauvegarde...

Share this post


Link to post
Share on other sites
il y a 37 minutes, Jack51 a dit :

Il est connecté lors de la sauvegarde et débranché ensuite. Comme tous mes autres disques de sauvegarde. Après, ce n'est pas de chance si on chope un ransomware pendant la sauvegarde...

Combien de fois par mois le connectes-tu au Mac ?

Share this post


Link to post
Share on other sites
Il y a 3 heures, Sethenès a dit :

Combien de fois par mois le connectes-tu au Mac ?

Time machine : entre 1 x tous les jours et 1 x tous les 4 jours (cela dépend de mes travaux). Les deux disques de sauvegarde : je les connecte pour archiver mes travaux finis (1 x tous les 5  jours voire plus en moyenne). Tu demandes cela car un malware peut attendre son heure pour se déclencher, c'est ça ? Si je les connectais, débranchés de l'internet, cela changerait quelque chose ?

Share this post


Link to post
Share on other sites
il y a 21 minutes, Jack51 a dit :

Time machine : entre 1 x tous les jours et 1 x tous les 4 jours (cela dépend de mes travaux). Les deux disques de sauvegarde : je les connecte pour archiver mes travaux finis (1 x tous les 5  jours voire plus en moyenne). Tu demandes cela car un malware peut attendre son heure pour se déclencher, c'est ça ? Si je les connectais, débranchés de l'internet, cela changerait quelque chose ?

Le malware est un programme local, donc pas besoin d'internet pour fonctionner.

L'encryption est un processus relativement long. Je ne connais que l'équivalent windows, bitlocker qui met le PC à genoux pendant deux bonnes heures (mais sur HDD, jamais fait sur SSD). Pendant tout ce temps, les fichiers restent accessibles. Soit ils ne sont pas encore encryptés, soit ils sont décryptés "à la volée".

Si tu appliques vraiment cette logique à 3 disques, ce qui fait que tu dois toujours avoir un backup qui a une dizaine de jours au moins, les risques sont moindre. Mais pas nuls.

 

Share this post


Link to post
Share on other sites
Il y a 11 heures, Sethenès a dit :

Le malware est un programme local, donc pas besoin d'internet pour fonctionner.

L'encryption est un processus relativement long. Je ne connais que l'équivalent windows, bitlocker qui met le PC à genoux pendant deux bonnes heures (mais sur HDD, jamais fait sur SSD). Pendant tout ce temps, les fichiers restent accessibles. Soit ils ne sont pas encore encryptés, soit ils sont décryptés "à la volée".

Si tu appliques vraiment cette logique à 3 disques, ce qui fait que tu dois toujours avoir un backup qui a une dizaine de jours au moins, les risques sont moindre. Mais pas nuls.

 

OK et tu me confortes alors dans mon idée de faire deux Time Machine espacés de 10 jours. Si pb, je perdrai un peu de données mais pas la catastrophe. Et idem pour mes deux disques de sauvegarde de mes travaux finis : les faire à dates différentes. Merci beaucoup et excellente journée à toi.

Share this post


Link to post
Share on other sites

Je serais toi j'étudierais quand même la possibilité d'une sauvegarde en ligne. Ca ne coûte pas forcément la peau du cul (60€ par an pour le service que j'utilise), et ça apporte une  tranquillité d'esprit appréciable (et on jongle moins avec les disques de sauvegarde en local).

Share this post


Link to post
Share on other sites
Posted (edited)
il y a 11 minutes, pehache a dit :

Je serais toi j'étudierais quand même la possibilité d'une sauvegarde en ligne. Ca ne coûte pas forcément la peau du cul (60€ par an pour le service que j'utilise), et ça apporte une  tranquillité d'esprit appréciable (et on jongle moins avec les disques de sauvegarde en local).

Tu as une entreprise à me conseiller ? Cloud Apple ? ... j'aurais besoin de 500 Go je pense (la taille de mon espace utilisé sur mon iMac).

Edited by Jack51

Share this post


Link to post
Share on other sites
Posted (edited)
Il y a 2 heures, Jack51 a dit :

Tu as une entreprise à me conseiller ? Cloud Apple ? ... j'aurais besoin de 500 Go je pense (la taille de mon espace utilisé sur mon iMac).

Le Cloud Apple n'est pas en soi une solution de sauvegarde (pas plus que les équivalents Dropbox, Google Drive...). Ce que j'utilise c'est Backblaze : il y a un client local sur le Mac, qui sauvegarde le contenu du Mac en temps réel (ou à intervalles réguliers) vers les serveurs (aux USA, bon, il faut accepter ça...). Il y a un mois d'historique qui est conservé sur les serveurs, ce qui fait qu'en cas de problème avec un ransomware tu peux remonter à une sauvegarde non altérée. On peut restaurer tout ou partie d'une sauvegarde par l'interface, mais si c'est trop volumineux ils proposent aussi d'envoyer la restauration sur un disque (il faut payer en plus, évidemment). Les fichiers sont chiffrés avant d'être envoyés sur les serveurs, et ils disent qu'ils ne conservent pas la clé de chiffrement donc qu'ils sont incapables de lire tes fichiers dans ton dos (mais c'est impossible à vérifier, ça ne repose que sur la confiance qu'on a en eux ou pas). Le coût c'est 60€ par an environ, pour un volume "illimité", mais pour une machine seulement : en pratique tu es donc limité au volume qu'il y a sur ton Mac, mais ça comprend aussi les disques externes (avec la contrainte qu'il faut les connecter au moins une fois par mois).

C'est une boîte qui existe depuis pas mal de temps, et ils ont une bonne réputation.

Edited by pehache

Share this post


Link to post
Share on other sites
il y a une heure, pehache a dit :

Le Cloud Apple n'est pas en soi une solution de sauvegarde (pas plus que les équivalents Dropbox, Google Drive...). Ce que j'utilise c'est Backblaze : il y a un client local sur le Mac, qui sauvegarde le contenu du Mac en temps réel (ou à intervalles réguliers) vers les serveurs (aux USA, bon, il faut accepter ça...). Il y a un mois d'historique qui est conservé sur les serveurs, ce qui fait qu'en cas de problème avec un ransomware tu peux remonter à une sauvegarde non altérée. On peut restaurer tout ou partie d'une sauvegarde par l'interface, mais si c'est trop volumineux ils proposent aussi d'envoyer la restauration sur un disque (il faut payer en plus, évidemment). Les fichiers sont chiffrés avant d'être envoyés sur les serveurs, et ils disent qu'ils ne conservent pas la clé de chiffrement donc qu'ils sont incapables de lire tes fichiers dans ton dos (mais c'est impossible à vérifier, ça ne repose que sur la confiance qu'on a en eux ou pas). Le coût c'est 60€ par an environ, pour un volume "illimité", mais pour une machine seulement : en pratique tu es donc limité au volume qu'il y a sur ton Mac, mais ça comprend aussi les disques externes (avec la contrainte qu'il faut les connecter au moins une fois par mois).

C'est une boîte qui existe depuis pas mal de temps, et ils ont une bonne réputation.

Merci de ta réponse, je vais étudier cela de près. Bon week-end à venir.

Share this post


Link to post
Share on other sites
Le 03/07/2020 à 12:29, pehache a dit :

Le Cloud Apple n'est pas en soi une solution de sauvegarde (pas plus que les équivalents Dropbox, Google Drive...).

En fait il faut nuancer. La plupart des cloud de ce genre conservent un historique des versions sur une durée plus ou moins longue, mais en soi ça ne suffit pas car en général on ne pouvait restaurer une ancienne version que fichier par fichier : impraticable pour tout restaurer. Par contre récemment Dropbox et OneDrive se sont dotés d'une fonction qui permet de restaurer tout le contenu (ou un dossier donné pour Dropbox) à une date donnée.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...