Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

DETECTives

ДЕТЕКТивы

D'autres publications de cette rubrique (2)
  • Ajouter aux favoris
    Ajouter aux favoris

Avoir une licence antivirus ne suffit pas !

Lu par: 21378 Commentaires: 12 Cote de popularité: 15

vendredi 28 août 2020

Il existe un vieil adage qui dit : " Si un agent de police surveille tout le monde, qui surveille l'agent ? " Cela est pleinement applicable à l'antivirus. Voici une des demandes reçue par notre support technique :

Le serveur netschool est atteint, tous les fichiers sont au format id-36C0CA08. [rogstrix@keemail.me].harma

Puisque la demande est envoyée par notre client, nous regardons la licence qu'il utilise :

Détails de la licence :
Numéro de série : xxx
Client : Etablissement d'enseignement " Lycée XXX "
Produit : Dr.Web bundle pour les écoles (Safe School)

….

Nous procédons au traitement de la demande :

Si le système affecté est en cours d’utilisation et que l’on soupçonne qu’un ransomware à chiffrement est encore actif sur la machine, il faut éteindre le PC le plus vite possible. Dans tous les cas, il faut isoler l'ordinateur touché du réseau, car le chiffrement peut avoir lieu sur tous les disques locaux, réseau et amovibles qui sont disponibles en écriture à l'utilisateur actuel.

Ensuite, copiez toutes les données importantes du disque système qui n'ont pas été touchées par le ransomware (sans utiliser l'OS contaminé, mais après avoir connecté le disque dur à un autre PC ou après avoir démarré à l'aide de LiveDisk), vous pouvez également faire une sauvegarde des données chiffrées si le disque en question devient inopérant, vérifiez si les copies d'ombre de l'OS sont intactes, dans ce cas, faites une copie de l'image de l'OS pour pouvoir restaurer les données depuis des copies d'ombre.

Veuillez préparer un rapport sur la machine infectée en utilisant l'utilitaire dwsysinfo.exe.

Malheureusement, les utilisateurs réagissent souvent d'une manière incorrecte à la détection d'un tel programme malveillant. - ils continuent à utiliser l'ordinateur. Tandis qu'il est encore possible de sauver au moins une partie des données.

Si une activité virale est détectée, arrêtez l'ordinateur immédiatement, n'attendez pas l'apparition d'une demande de rançon, car l'affichage de la demande signifie que toutes les données ont été déjà chiffrées ou volées.

Mais ici, nous devons parler d'autre chose. Voici la conclusion faite après l'analyse de l'incident ci-dessus :

Très probablement, l'accès non autorisé au système a été effectué via rdp en utilisant la méthode de force brute pour obtenir le mot de passe du compte utilisateur. Ceci est confirmé par les messages dans le journal système.

Mais il n'y avait pas d'antivirus.

Autrement dit, le client avait la licence, mais l'antivirus n’avait pas été installé. Selon les logs, il n'a pas été supprimé, mais jamais été installé sur l'ordinateur en question.

Une licence achetée sans être activée est-elle sensée faire peur aux virus par son existence seulement ? Et parfois, les clients disent qu'ils avaient un antivirus qui n'a pas empêché une contamination. En effet, ils l’avaient mais ils ne l'ont pas installé.

Ce cas n'est pas rare. Les entreprises reçoivent une licence « d'en haut » et ne l'utilisent pas, parce qu'ils « n'ont pas peur » des virus.

#antivirus #analyse_antivirus #Trojan #ransomware_à_chiffrement

Le projet Lumières sur la sécurité recommande

Soyez vigilants sur ce qui se passe sur votre ordinateur. Si vous avez installé un logiciel antivirus, vérifiez qu’il est à jour et actif. Qui sait, peut-être vos enfants ont décidé de supprimer la protection pour visiter un site bloqué par l'antivirus. Tout peut arriver...

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires