× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Prévention contre les ransomwares
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
apt
  Posté le 04/08/2020 @ 23:04 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

J'ai trouvé dans ce lien :

https://www.bleepingcomputer.com/news/security/why-everyone-should-disable-vssadmin-exe-now/

que parmi les méthodes pour se prévenir des infections par un ransomware, c'est de renommer le fichier système vssadmin, et désactiver les services PowerShell.

Mais le renommage du fichier a échoué, même avec le compte "Administrateur".

Alors comment parvenir à renommer vssadmin et désactiver PowerShell ?

Merci .



Modifié par apt le 04/08/2020 23:04
Publicité
Daneel Olivaw
 Posté le 04/08/2020 à 23:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

C'est une aberration et un non sens. vssadmin sert à gérer les points de restauration en ligne de commande. Le supprimer ne mène à rien. En le supprimant, les points de restauration ne fonctionneront plus.

Powershell est comme cmd en plus puissant. Tu vas brider Windows en le supprimant.

Il ne faut pas croire tout ce qui se dit sur le web. Il faut réfléchir avant de faire n'importe quoi.

Voilà ce que fait vssadmin. Rien de dangereux :



Modifié par Daneel Olivaw le 04/08/2020 23:21
apt
 Posté le 04/08/2020 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Daneel,

Ce n'est pas une suppression, mais une désactivation.

Vssadmin et PowerShell n'ont rien de reproche, seulement ils sont ciblés lors d'une attaque.

Parce que les pirates, pour ne pas laisser le choix aux utilisateurs de restaurer leurs fichiers cryptés, désactivent le vssadmin.

Pour le PowerShell, ils l'utilisent pour exécuter leurs scripts.

Dans l'article, le rédacteur donne une alternative (Tâche planifiée pour exécuter les sauvegardes), après renommage ou désactivation.

Si un problème se pose, on peut revenir facilement à nos fichiers et services.

Daneel Olivaw
 Posté le 04/08/2020 à 23:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Je n'ai jamais vu, lu ou entendu parler d'un malware qui cible vssadmin, bien que ce soit possible. Et de toute façon, les points de restaurations n'incluent pas les fichiers personnels.

Un script peut être exécuté de plusieurs manières : Powershell, cmd.exe, WSH... Désactiver Powershell ne va pas arrêter les pirates.

Tu es en train de brider inutilement Windows.

Et rien ne remplace une sauvegarde régulière des fichiers personnels et une image pour le système. Ça vaut mieux que de brider Windows.

Trop de sécurité nuit.

Australien
 Posté le 05/08/2020 à 09:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Daneel Olivaw a écrit :

Je n'ai jamais vu, lu ou entendu parler d'un malware qui cible vssadmin, bien que ce soit possible.

Hello

les Rançongiciel le font, c'est pour cela que l'on conseille de faire des sauvegardes régulières de ses données, et les stocker hors ligne.

Une des méthodes utilisées par certains (pas tous), consiste à supprimer les copies de sauvegarde (clichés instantanés de volume) à l’aide de la commande suivante.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

.....

Daneel Olivaw a écrit :

Et de toute façon, les points de restaurations n'incluent pas les fichiers personnels.

Les clichés instantanés de volume, si; ils permettent de restaurer la version précédente des fichiers modifiés par le chiffrement effectué.

Daneel Olivaw a écrit :

Et rien ne remplace une sauvegarde régulière des fichiers personnels et une image pour le système. Ça vaut mieux que de brider Windows.

Tout a fait d'accord avec toi.



Modifié par Australien le 05/08/2020 09:58
Ekalb
 Posté le 05/08/2020 à 10:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Et de toute façon, les points de restaurations n'incluent pas les fichiers personnels.

Cela c'est une légende urbaine.

Petite précision les fichiers personnels ne peuvent être restaurés qu'à la condition qu'ils soient concernés par le point de restauration.

Exemple : si les fichiers personnels sont sur D et que D est exclu des points de restauration, la manœuvre ne sera pas possible.

Pour rappel, Shadow Explorer permet ...d'explorer les points de restauration et de restaurer individuellement des fichiers ou des dossiers.

Shadow Exolorer : https://www.shadowexplorer.com/downloads.html



Modifié par Ekalb le 05/08/2020 10:22
Daneel Olivaw
 Posté le 05/08/2020 à 14:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Concernant les versions précédentes des fichiers, je suis parfaitement au courant qu'ils utilisent le service VSS et la restauration.

Cependant, quand on a 2 TO de données, je doute fort que ce service puisse les restaurer entièrement en cas de cryptage ou de disparation involontaire.

Ce serait intéressant de savoir. Il faudrait tester.

Daneel Olivaw
 Posté le 05/08/2020 à 15:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Je pose la question différemment :

J'ai 2 TO de données, dont 1 TO de vidéos, le reste documents, musiques...

La restauration système est activée et donc la version précédente des fichiers l'est aussi sur les disques Système et Données.

Catastrophe, j'atrappe un ransomware qui me crypte toutes mes données. Heureusement le ransomware n'a pas touché à la restauration.

Est-ce que la version précédente des fichiers va me restaurer mes 2 TO de données ? Quelles sont ses limites ?



Modifié par Daneel Olivaw le 05/08/2020 15:36
Australien
 Posté le 05/08/2020 à 16:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Daneel Olivaw a écrit :

Je pose la question différemment :

J'ai 2 TO de données, dont 1 TO de vidéos, le reste documents, musiques...

La restauration système est activée et donc la version précédente des fichiers l'est aussi sur les disques Système et Données.

Catastrophe, j'atrappe un ransomware qui me crypte toutes mes données. Heureusement le ransomware n'a pas touché à la restauration.

Est-ce que la version précédente des fichiers va me restaurer mes 2 TO de données ? Quelles sont ses limites ?

Bonjour

je ne sais pas; j'ai seulement répondu a deux affirmations erronées de ta part.

Je n'ai jamais eu de rançongiciel qui chiffre mes données, je n'ai pas 2To de données, ma restauration système est désactivé et enfin je sauvegarde le peu que j'ai en externe (X2) et à l'issue je déconnecte mes unités de la machine.

Par contre Shadow Explorer proposé par Elkab, ce sera long mais oui il le peux surement. Je n'ai jamais testé pour les raisons précédentes.



Modifié par Australien le 05/08/2020 16:12
Publicité
Daneel Olivaw
 Posté le 05/08/2020 à 16:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Je me suis peut-être mal exprimé avant.

Ce que je veux dire, c'est qu'il ne serait pas sûr de s'appuyer sur la version précédente des fichiers pour restaurer un disque entier de fichiers cryptés.

C'est parfait pour retrouver une version précédente d'un fichier qu'on a modifié ou supprimé. Mais restaurer tout un disque de données perdues, ce serait suicidaire de s'appuyer dessus.



Modifié par Daneel Olivaw le 05/08/2020 16:16
Australien
 Posté le 05/08/2020 à 16:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Daneel Olivaw a écrit :

Ce que je veux dire, c'est qu'il ne serait pas sûr de s'appuyer sur la version précédente des fichiers pour restaurer un disque entier de fichiers cryptés.

C'est parfait pour retrouver une version précédente d'un fichier qu'on a modifié ou supprimé. Mais restaurer tout un disque de données perdues, ce serait suicidaire de s'appuyer dessus.

Nous sommes bien d'accord, d'ailleurs mon 1er message dans un sens évoque cela. Sauvegardes en externes et ensuite hors ligne.

Un dernier point, bleepingcomputer.com est depuis 2004 un site extrêmement sérieux et une référence dans le domaine des malwares et la lutte contre; et l'auteur de l'article (Lawrence Abrams qui est le créateur du site) tout autant

Et à ma connaissance c'est le seul site qui a eu assez de c...lles pour s'attaquer publiquement aux dérives de la sociéte Enigma Software avec SPyHunter, cela lui a d'ailleurs valu un procès.

@+



Modifié par Australien le 05/08/2020 16:31
Daneel Olivaw
 Posté le 05/08/2020 à 16:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Sans doute, mais l'article date de 2015, et ce qui était d'actualité à l'époque peut ne plus l'être aujourd'hui.

Et j'avoue pour ma part, que c'est la première fois que je vois cette suggestion de désactiver vssadmin.

Australien
 Posté le 05/08/2020 à 16:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

renommer, pas désactiver. Tu es pourtant anglophone, renamed.

Je vais pas essayer de te convaincre du sérieux de l'auteur et de son site, c'est inutile...pour rappel j'ai seulement voulu rétablir deux points erronées dans un message, rien d'autre.

Bonne journée



Modifié par Australien le 05/08/2020 16:38
Daneel Olivaw
 Posté le 05/08/2020 à 16:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

D'accord, renommer. Et je ne conteste pas la chose, simplement je m'interroge sur son utilité.

Australien
 Posté le 05/08/2020 à 16:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

ceci dit, le renommer désactive sa fonction.

lis l'article, moi je passe à autre chose.



Modifié par Australien le 05/08/2020 16:42
Daneel Olivaw
 Posté le 05/08/2020 à 16:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Moi aussi.

apt
 Posté le 05/08/2020 à 19:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour à tous,

Ekalb -->Peut-on inclure un disque externe dans la restauration système ?

Australien -->Comment pourra-t-on renommer le fichier vssadmin et désactiver PowerShell sous Windows 7 ?

Publicité
Daneel Olivaw
 Posté le 05/08/2020 à 20:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Pour renommer le fichier vssadmin.exe, démarrer sur le DVD Windows 7 (ou une clé ou un WinPE quelconque) et cl;iquer sur Réparer et ouvrir l'invite de commande.

Chez mois le disque système devient D:.

Donc taper D:

puis CD \windows\system32

On peut renommer ce qu'on veut.



Modifié par Daneel Olivaw le 05/08/2020 20:05
Daneel Olivaw
 Posté le 05/08/2020 à 20:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Tu peux faire la même chose pour Powershell qui se trouve dans le dossier C:\Windows\System32\WindowsPowerShell

Daneel Olivaw
 Posté le 05/08/2020 à 20:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

vssadmin et powershell font parties des fichiers protégés du système. Je me demande si on les renomme ou supprime, si le système ne vas pas les restaurer automatiquement.

Ekalb
 Posté le 06/08/2020 à 06:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

parmi les méthodes pour se prévenir des infections par un ransomware, c'est de renommer le fichier système vssadmin, et désactiver les services PowerShell.

La meilleure protection contre les ransomwares, c'est d'avoir une solide protection en temps réel...et ne pas faire n'importe quoi (comme ouvrir des courriers sans être sûr de leur provenance)

Si on pense devoir modifier telle ou telle chose à l'intérieur du système c'est que le malware aura déjà pénétré dans le système.

Quelques conseils courants:

1. Avoir un système de protection à jour.

2. Avoir un système d'exploitation et d'autres logiciels à jour.

3. Se méfier des messages électroniques qui sont une source importante d'infection.

4. Attention particulièrement aux documents d'Office et à leurs macros.

---

5. Sauvegarder régulièrement vos fichiers.



Modifié par Ekalb le 06/08/2020 06:12
apt
 Posté le 16/08/2020 à 22:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Je me demande si on les renomme ou supprime, si le système ne vas pas les restaurer automatiquement.

En attente, d'un intervenant, qui puisse nous éclairer

- J'ai réussi à renommer vssadmin et PowerShell avec le disque ISO Windows. Merci.

Ekalb : Merci pour tes conseils



Modifié par apt le 16/08/2020 22:53
Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
200,04 €SSD SanDisk Ultra 3D 2 To à 200,04 € livré
Valable jusqu'au 26 Septembre

Amazon Allemagne fait une belle promotion sur le SSD SanDisk Ultra 3D d'une capacité de 2 To qui passe à 195,52 €. Comptez 4,52 € pour la livraison en France, soit un total de 200,04 € livré. On le trouve ailleurs autour de 260 €. Une bonne affaire pour ce SSD performant qui offre des débits de 560 Mo/s en lecture et 530 Mo/s en écriture. Cette version est garantie 3 ans.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
14,99 €Hub Aukey USB C 6 en 1 (USB 3.0, HDMI 4K, lecteur SD et MicroSD) à 14,99 €
Valable jusqu'au 28 Septembre

Amazon fait une promotion sur le Hub Aukey USB C 6 en 1 qui passe à 14,99 €. Ce Hub à brancher sur un port USB C vous permettra d'ajouter 3 ports USB 3.0, un lecteur de cartes mémoire SD et MicroSD ainsi qu'un port HDMI 4K à votre ordinateur portable ou votre smartphone.


> Voir l'offre
213,29 €Disque dur externe Western Digital Elements Desktop USB 3.0 12 To à 213,29 € livré
Valable jusqu'au 24 Septembre

Amazon Allemagne propose actuellement le disque dur externe Western Digital Elements Desktop USB 3.0 12 To à 206,89 €. Comptez 6,40 € pour la livraison en France soit un total de 213,29 € livré. On le trouve ailleurs à partir de 260 €. Ce disque dur dispose d'un grande capacité de stockage (12 To) et d'une connectique USB 3.0 qui vous offrira des transferts rapides. Il est compatible USB 2.0. Une très bonne affaire. 

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre

Sujets relatifs
Protection contre les ransomwares
Site contre les ransomwares (stopransomware.fr)
Sécurité contre les courriers indésirables HOTMAIL
contre tous les logiciels malveillants
activer la protection secrète contre les crapwares de Windows Defender
Malwarebytes Premium : la protection contre les malwares désactivée !
Les ransomwares ont des accents russophones
RansomFree : une application gratuite pour piéger les ransomwares
Windows 10 : Microsoft met en garde contre les fraudeurs.
Face aux logiciels anti-publicité, Google et les éditeurs contre-attaquent
Plus de sujets relatifs à Prévention contre les ransomwares
 > Tous les forums > Forum Sécurité