amagnus

Une nouvelle variante du ransomware Crysis vient s’ajouter à la longue liste des « crypto-ransomware ». Il s’agit de Dharma ransomware.

Celui-ci a l’air de fonctionner un peu de la même manière que ses prédécesseurs (comme Locky). Une fois sur le pc, il crypte toutes vos données et les renommes. Dans le cas que j’ai pu voir, les fichiers ont été renommé avec l’extension .[amagnus@india.com].wallet

Lui aussi est capable de se propager via les lecteurs réseaux.

Pour le moment, il semble être trop tôt pour trouver un outil permettant de décrypter les fichiers.

Si vous avez malheureusement été infecté, débranchez au plus vite votre câble réseau afin d’éviter toute prolifération sur votre réseau. Passez ensuite un antivirus fiable (tel que Eset) et un antimalware. Réinitialisez vos paramètres internet explorer / extensions.

Pour tenter de récupérer vos fichiers, vous pouvez soit utiliser vos backups (si par chance vous en avez), soit essayer avec un logiciel type Shadow Explorer

haveibeenpwnedAujourd’hui, nous possédons de plus en plus de comptes sur les sites internet. Il est donc facile de passer à coté d’une annonce d’un de ces sites, qui aurait été victime de piratage et dont votre compte en ferait parti.

Heureusement, il existe un service qui vous permet de le vérifier en quelques secondes. Il s’agit de « Have I been pwned ». Il va chercher, dans une longue liste de sites ayant été victimes de piratage (citons Adobe, LinkedIn, Dropbox pour les plus connus), si votre mail en fait parti.

Si c’est le cas, alors le mieux est de vous rendre sur le site en question et de modifier votre mot de passe.
Pratique pour des « vieux » comptes sur les quels ont ne va plus mais qui auraient été victimes de piratage.

Exemple d’une adresse mail susceptible de faire partie d’informations piratées pour Dropbox, LinkedIn, Myspace :

exemple-compte-pirate

ESET_logo

Un petit retour d’expérience, après avoir mis en place la solution Eset Endpoint Protection Advanced, j’ai été confronté au problème suivant :
Sur les pc des utilisateurs nomades, Eset ne se mettait pas à jour lorsque le pc était en dehors de notre réseau (problème bien embêtant pour des utilisateurs nomades !)

Niveau configuration, nous avons installé sur un serveur le produit Eset Remote Administrator (et Eset File Security) puis, depuis la console ERA (Eset Remote Administrator) nous avons fait descendre l’agent Eset Remote, qui nous a permit d’installer  sur les postes des utilisateurs le produit Eset Endpoint Antivirus.

En procédant de la sorte, Eset a une stratégie, active par défaut, qui renseigne un serveur proxy sur Eset Endpoint Antivirus pour les mises à jour (le serveur où est installé ERA généralement).
Ce qui a pour conséquence que les mises à jour sont téléchargées une seule fois, sur le serveur, puis redistribuées en local sur les postes.

Un avantage pour un parc informatique volumineux (+100 postes). Sur un parc de petite ou moyenne taille, l’impact des mises à jour n’est pas très important (la taille d’une mise à jour représentant quelques méga au maximum).

Deux solutions s’offrent à vous. La 1ere, si vous souhaitez garder la stratégie par défaut et donc avoir les mises à jour centralisées, consiste à créer un second profil pour les utilisateurs nomades.
Pour cela, je vous renvoie au KB3621 d’Eset.

Sinon, la seconde solution, notamment si vous avez un parc informatique de petite ou moyenne taille, consiste à modifier la stratégie en question.
Pour cela, rendez vous sur la page de gestion ERA
Ensuite, dans l’onglet Admin sur votre gauche, choisissez Stratégies, puis Produit de sécurité pour Windows – Utilisation du proxy HTTP.
Eset1

Eset2

Allez dans Paramètres, Outils, Serveur Proxy puis décochez « utiliser un serveur proxy »

Eset3

Il ne reste plus qu’a patienter le temps que la stratégie se mette à jour sur les postes.

windows-server-2012

Si comme moi, vous avez installé la mise à jour Windows KB3159706 sur votre serveur WSUS, il est fort probable que le service WSUS ne se lance plus, ou se coupe tout seul. L’accès à la console WSUS en est aussi impossible.

Pour résoudre le problème, il suffit d’ouvrir une fenêtre Dos en tant qu’admin et d’y lancer la commande suivante :

cd C:\Program Files\Update Services\Tools\
wsusutil.exe postinstall /servicing

Rendez-vous ensuite dans le gestionnaire de serveur, puis dans Gérer et Ajouter des rôles et des fonctionnalités.
Dans Fonctionnalités, déroulez Fonctionnalités de .NET Framework 4.5 et cochez « Activation HTTP » comme nous le précise Microsoft : Support

Toute fois, dans mon cas, je n’avais pas l’activation HTTP sous le .Net Framework 4.5. Par contre il était présent sous .Net Framework 3.5. Je l’ai donc activé puis j’ai relancé mon service WSUS.
Cette fois-ci, ça fonctionne !

Si vous avez SSL d’activé sur votre serveur WSUS, je vous invite à suivre l’étape supplémentaire décrite sur le Support Microsoft partie « If SSL is enabled on the WSUS server« 

Exchange-Server-PowerShell

Pour renouveler un certificat Exchange 2007 auto-signé (émis par le serveur et non par une autorité de certification), le plus simple est de procéder par Powershell :

1 – Afficher la liste des certificats (noter l’empreinte numérique du certificat qui a (ou va) expiré)
Get-ExchangeCertificate | FL ThumbPrint, isSelfSigned, NotBefore, NotAfter, Services

2 – On créé le nouveau certificat :
Get-ExchangeCertificate “empreinte du certificat expiré” | New-ExchangeCertificate

3 – On active les services IIS avec le nouveau certificat :
Enable-ExchangeCertificate -ThumbPrint “empreinte du nouveau certificat” -Services IIS

4 – On supprime l’ancien certificat :
Remove-ExchangeCertificate –ThumbPrint “empreinte du certificat expiré”

 

Info intéressante : De base, Exchange 2007 délivrait un certificat valide pour 1 an. Depuis le SP2, il délivre un certificat valide pour 5ans (attention, si vous faite la mise à jour vers SP2, Exchange ne modifie pas le certificat existant, et reste donc valide seulement pour un an).

Source : Forum Technet

serveur

Suite à la migration d’un Windows 8.1 vers Windows 10, je me suis retrouvé avec un message d’erreur lorsque je lançais le gestionnaire de serveur.

Error: An error occurred while trying to load the plug-in for 1. Could not load file or assembly ‘Microsoft.Windows.ApplicationServer.ServerManager.Plugin,Version=6.3.0.0,Culture=neutral, PublicKeyToken=….’ or one of its dependencies. The system cannot find the file specified.

Malgré ce message d’erreur, le gestionnaire fonctionne correctement. Il est cependant possible de s’en débarrasser.
Pour ce faire, rendez vous dans le registre et cherchez la clé item1 qui se trouve ici :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManager\Roles\1

Dans un premier temps, faites un export de la clé (on est jamais trop prudent). Ensuite supprimez simplement la clé item1. Vous pouvez maintenant relancer le gestionnaire de serveur, vous n’avez plus le fameux message d’erreur.

Le problème vient du fait que Windows 10 utilise le plugin en version 10.0.0.0 et non en version 6.3.0.0
Il semblerait que pendant la mise à niveau vers Windows 10 la clé n’est pas supprimée et ne pointe donc pas vers le bon fichier.

Source : Technet Microsoft

serva_ban

Info

Serva est un logiciel qui facilite la mise en place d’un serveur PXE. Il est capable de lancer des OS Microsoft, Linux ou même des utilitaires tels que Acronis, Hiren’s Boot, etc.

Il existe deux versions de Serva. Une version dite « non-supporter », version gratuite et une version dite « supporter », payante à 27€

Les limites de la version gratuites sont les suivantes :
– Lors du lancement du logiciel, temps d’attente de 7sec
– Nombre max d’images pour le PXE : 7
– Impossible de personnaliser l’interface de Serva
– Serva ne peut pas être exécuté plus de 50min

Liens utiles

http://remy-guillaume.fr/WordPress3/?p=178 guide d’installation

http://www.vercot.com/~serva/default.html site de l’éditeur, avec pas mal d’infos sur la configuration et la personnalisation

Mise en place de Serva

  • Télécharger SERVA
  • Créer un dossier PXE, dans notre cas T:\PXEServer (disque de données)
  • Le soft ne s’installe pas, il suffit de lancer l’exe du dossier
  • Régler comme cela :
    serva1

    Serva2

 

En adaptant le champ « TFTP server root directory » ou nous mettrons par exemple T:\PXEServer

Nous avons mis Serva en ProxyDHCP car il est installé sur un Windows Server 2012 qui possède lui-même le rôle DHCP (Windows Server continu à gérer le DHCP).

  • Partager le répertoire T:\PXEServer\WIA_WDS\ avec tous les utilisateurs (clic droit sur le répertoire WIA_WDS, propriétés, Partage, Partage avancé, cochez la case « Partager ce dossier », nommer le partage « WIA_WDS_Share ».

 

Intégration des images

Vous avez plusieurs dossiers présents dans T:\PXEServer

NWA_PXE => dossier pour les utilitaires et Linux
WIA_WDS => dossier pour les OS Windows

Pour Windows, rendez-vous dans le dossier WIA_WDS, créez un dossier « Windows7Pro_64b » puis collez tout le contenu de votre ISO (ou CD) dans ce dossier.

Pour Linux ou utilitaire, rendez-vous dans le dossier NWA_PXE, créer un dossier « Hirensboot » (vous l’aurez compris, on prendra pour exemple Hiren’s Boot). Ensuite c’est un peu plus compliqué que Windows. Pour Hiren’s Boot, vous pouvez placer directement l’ISO dans le dossier. Il faudra cependant rajouter un fichier « ServaAsset.inf » à la racine de ce dossier. Vous aurez donc ceci dans votre dossier (le dossier _SERVA_ est généré automatiquement lorsque vous lancez SERVA) :

Serva3

Contenu du fichier ServaAsset.inf :

Serva4

Pour trouver le fichier ServaAsset.inf et l’adapter en fonction de l’utilitaire que vous souhaitez ajouter, ou savoir si il faut copier l’iso ou son contenu, rendez-vous sur http://www.vercot.com/~serva/an/NonWindowsPXE3.html

Vous trouverez les explications du fichier et comment l’adapter.
J’ai pu faire le test en y ajoutant Acronis, ça fonctionne parfaitement.

Utilisation

Vous pouvez maintenant lancer Serva, il va vous afficher son log et vous dira qu’il a bien ajouté les images que vous venez de faire.

Démarrez votre PC sur le réseau (touche F12 au démarrage). Choisissez ensuite votre OS (Windows 7 par exemple).

Serva5
Il faudra ensuite utiliser le compte admin et son mot de passe (bien penser au nom de domaine avant le nom d’utilisateur)

Serva6

Dépannage

Problème de démarrage réseau : il peut y avoir besoin d’ajouter les pilotes de votre carte réseau dans le dossier T:\PXEServer\WIA_WDS\Win7_x64\$OEM$\$1\Drivers\NIC\

Pilote de format : .cat, .inf, .sys, .DLL

Connexion impossible pour l’installation Windows (erreur 0x43) : vérifiez vos partages. Il faut que le nom de votre partage soit « WIA_WDS_Share » et accessible à tout le monde.

crypto

BitDenfender vient de mettre en ligne un « vaccin » contre les derniers « crypto ransomwares » (tel que Locky, CTB-Locker et TeslaCrypt) qui ont pour but de crypter vos données, les rendant au passage inutilisables. L’éditeur de solutions antivirus souhaite freiner l’évolution de ces malwares, qui sont en nette progression ces derniers temps. Le malware CryptoWall 3.0 représenterais à lui seul 325 millions de dollars de dommages.

Notez bien que ce vaccin permet de faire de la prévention et non pas de supprimer le virus si il est déjà présent sur votre pc.
Si vous avez déjà un antivirus, rien ne vous empêche de rajouter ce logiciel pour augmenter votre sécurité. Il ne rentre pas en conflit avec les antivirus.

Vous pouvez télécharger l’outil BitDenfender ici

bitdefender
Interface de l'outil BitDefender

virus

Depuis quelques jours, on entend beaucoup parler du virus « Locky », nommé de la sorte car il renomme et crypte vos données en .locky

Le virus se propage par mail, en pièce jointe. Il fait généralement référence à une commande que vous auriez passé, une facture ou un dossier en cours.
La pièce jointe est au format .doc ou .zip et contient la macro qui va crypter les données.
Il vous sera ensuite demandé d’acheter la clé, via le réseau TOR, pour pouvoir décrypter vos documents.

Les expéditeurs ci-dessous sont utilisés pour transmettre le virus :

NoReply@EPparfums.com
joel.bettan@cabinetbettan.com
SykesKing46913@tothestarsakft.hu

Si vous êtes victime de ce virus, voici quelques conseils :

  • Isolez le pc du réseau (le virus s’attaque aussi aux lecteurs réseaux)
  • Faites un nettoyage du pc avec un bon anti-virus (Eset pour n’en citer qu’un) et un anti-malwares (MalwareBytes par exemple).
  • N’hésitez pas aussi à passer un coup de RogueKiller
  • Vérifiez vos mises à jour Windows, Java, Adobe, etc..

A l’heure actuelle, il n’existe pas de solution « miracle » pour récupérer vos données. Cependant, certaines alternatives pourraient vous aider à en récupérer un maximum.

  • Utilisez les sauvegardes : si par chance, vous sauvegardez régulièrement vos données, vous devriez pouvoir retrouver vos données intactes.
  • Essayez l’utilitaire ShadowExplorer qui permet de retrouver d’anciennes versions de vos fichiers.
  • Utilisez un logiciel de récupération de données comme Recuva. En effet, le virus supprime et remplace vos fichiers par les .locky
  • Vérifiez dans vos dossiers temporaires, il se peut qu’il y ai des fichiers exploitables
  • Enfin, gardez vos fichiers cryptés dans un coin. Il est possible qu’une société de sécurité finissent par trouver une solution de décryptage.

 

N’oubliez pas que le meilleur moyen de prévention reste la sensibilisation des utilisateurs. Il ne faut jamais ouvrir un mail dont on ne connait pas l’expéditeur, que la pièce jointe parait louche, ou que le mail contient des fautes d’orthographes ou des traductions grossières.
Si vous avez un service informatique et que vous avez un doute sur la légitimité du mail, n’hésitez pas à leur transmettre. Ils pourront tester le mail avec des solutions anti-virus poussées et des machines « bac à sable » isolées du réseau.

BannerAd_c_Exchange_Cyan300

Si vous souhaitez installer Exchange 2013 SP1 il y a quelques prérequis à respecter. Sans rentrer dans les détails, il faut :

-Être sur un Windows Server 2008 R2 ou Windows server 2012. Si vous êtes en version core 2012, il faudra passer en version complète avec la commande :

Install-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart

-Préparer l’active directory avec la commande Powershell suivante :

Install-WindowsFeature RSAT-ADDS

-Installer les dépendances suivantes (pour Windows Server 2012), toujours en Powershell :

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

-Ensuite il faut installer l’UCMA disponible ici et le Filter Pack de Office 2010 disponible ici

Si malgré toutes ces recommandations vous obtenez l’erreur :
Une version de SE non prise en charge a été détectée. Les rôles d’accès client et de serveur de boîte aux lettres d’Exchange 2013 prennent en charge Windows Server 2008 R2 SP1 ou version supérieure et Windows Server 2012

Vérifiez si vous avez le rôle RDS installé sur votre serveur. Si c’est le cas, il faudra le désinstaller. Vous pourrez ensuite lancer l’installation d’Exchange 2013. Par la suite, vous pourrez réinstaller votre rôle RDS.
Notez tout de même qu’il est grandement préférable d’installer Exchange (ou RDS) sur un serveur à part, les deux étant incompatibles, vous risquez d’avoir de nouveau des problèmes lors des patchs.

Bon courage !