Les auteurs du ransomware Fonix ont pris la décision d'arrêter les activités liées à ce malware. Cette décision s'accompagne de la clé de déchiffrement qui doit permettre aux victimes de récupérer leurs données.

Actif depuis juin 2020, ce ransomware a une activité régulière depuis sa création et il est connu également sous d'autres noms : Xinof et FonixCrypter. D'ailleurs, depuis novembre 2020 ont constate même une augmentation de son activité à en croire les remontées sur le site ID Ransomware. Les fichiers chiffrés par ces ransomwares utilisent les extensions suivantes : .FONIX, .repter, .XINOFs et .conf.

Il s'avère qu'un membre de l'équipe derrière le ransomware Fonix a annoncé sur Twitter que le projet allait prendre fin, et que la clé de déchiffrement serait publiée. Néanmoins, d'après le message publié il y aurait quelques divergences entre les membres de l'équipe. Ils ne sont pas tous d'accord avec cette décision de stopper le projet. Il est légitime de penser que ces personnes vont s'investir dans un nouveau projet, et pourquoi pas créer un nouveau ransomware...

End of FonixCrypter Project :#Fonix #ransomware #XINOF #FonixCrypter #close_project #hack #Malware #raas #ransomware_as_a_service pic.twitter.com/wQdmp61juX

— fnx (@fnx67482837) January 29, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Dans un second tweet, nous pouvons retrouver un lien vers le fichier "Fonix_decrypter.rar" : il contient un outil de déchiffrement et la clé de déchiffrement maître. Néanmoins, ce lien ne semble plus fonctionner pour le moment.

D'après le site BleepingComputer qui a pu avoir accès à cet outil, ce ne serait pas un outil de déchiffrement à destination des victimes. Il s'agit d'un outil destiné à être utilisé en interne par l'équipe Fonix. En fait, cet outil sert à prouver aux victimes que les attaquants sont bien en mesure de déchiffrer leurs données. Il ne permet pas de déchiffrer un système complet, mais plutôt un échantillon de données, et serait relativement instable.

À partir de la clé de déchiffrement fournie, les équipes de chez Emisoft travaillent sur un outil de déchiffrement stable qui permettra de récupérer l'ensemble de ses données facilement. Reste à savoir quand il sera disponible.

Pour rappel, Bitdefender a publié récemment un outil de déchiffrement pour le malware DarkSide.

Source

The post Les auteurs du ransomware Fonix délivrent la clé de déchiffrement first appeared on IT-Connect.

I. Présentation

De nombreuses attaques informatiques ont pour origine un e-mail piégé qui contenait une pièce jointe malveillante ou un lien malveillant. Pour réduire les risques et permettre aux utilisateurs d'identifier facilement les e-mails externes, on peut ajouter un préfixe à l'objet de tous les e-mails externes. En complément, on peut ajouter ce que l'on appelle un "disclaimer" au début du message. Concrètement, si l'un utilisateur de votre entreprise reçoit un e-mail d'une personne de l'extérieur, voici à quoi ressemblera l'e-mail avec ce que l'on va mettre en place aujourd'hui :

D'une part, nous avons le préfixe [EXTERNE] dans l'objet de l'e-mail, et d'autre part, le disclaimer représenté par l'encadré jaune pour rappeler aux utilisateurs les bons réflexes à prendre lorsque l'e-mail provient de l'extérieur.

II. Exchange Online : créer une règle pour les e-mails externes

Pour commencer, rendez-vous sur le Centre d'administration Exchange : Exchange admin center

Sur la gauche, cliquez sur "Flux de courrier" puis sur "Règles".

Ensuite, cliquez sur le "+" puis "Créer une règle" pour lancer l'assistant.

Donnez un nom à cette règle, par exemple "Disclaimer e-mail externe". Cliquez sur le bouton "Plus d'options" pour avoir les options avancées, sinon vous ne pourrez pas créer la règle.

Maintenant, concentrez-vous et choisissez les bonnes options !

Pour la section "Appliquer cette règle si..." vous devez créer deux conditions :

• Le destinataire se situe dans l'organisation
• L'expéditeur se situe hors de l'organisation

Pour la première règle, choisissez "Le destinataire" puis "interne/externe" pour choisir ensuite "Dans l'organisation". Sur le même principe, créez la deuxième en prenant "L'expéditeur".

Ce qui donne :

Maintenant, pour la zone "Procéder comme suit...", vous avez plusieurs options. Ajouter seulement le préfixe à l'objet des e-mails, ajouter seulement le disclaimer, ou alors les deux.

Pour ajouter un préfixe à l'objet, choisissez "Ajouter à l'objet du message le préfixe..." et indiquez la valeur "[EXTERNE] ". Veillez à bien ajouter un espace après le "]" sinon l'objet d'origine de l'e-mail sera collé au crochet, ce qui est pas très propre.

Pour ajouter le disclaimer, ajoutez une nouvelle action. Choisissez "Appliquer une exclusion de responsabilité au message" puis "Ajouter une clause d'exclusion de responsabilité". Ajoutez le code HTML suivant (vous pouvez le modifier au niveau du texte et des couleurs) :

<div style="border:solid #9C6500 1.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt"> <p class="MsoNormal" style="line-height:12.0pt;background:#FFEB9C"><span style="font-size:10.0pt;color:#9C6500;mso-fareast-language:FR">ATTENTION:</span><span style="font-size:10.0pt;color:black;mso-fareast-language:FR"> Cet e-mail provient d'une personne externe à votre organisation. Ne cliquez pas sur les liens ou n'ouvrez pas sur les pièces jointes si vous ne connaissez pas l'expéditeur et que vous n'êtes pas sûr que le contenu est sûr.</span><o:p></o:p></p> </div> <p class="MsoNormal">'

Ce qui donne la règle ci-dessous au final :

Cliquez sur "Enregistrer" si c'est bon de votre côté, mais avant cela, prenez en considération cette subtilité :

Si vous avez des serveurs externes, qui envoient des e-mails avec votre domaine de messagerie (celui de votre tenant) mais que vous utilisez un relais SMTP, l'e-mail sera considéré comme externe. Vous devez ajouter les adresses IP publiques de ces serveurs dans la zone "Sauf si" avec la valeur "L'adresse IP de l'expéditeur est dans cette page" et indiquez les différentes adresses IP.

Il y a de fortes chances pour que ces adresses IP soient déjà déclarées dans l'enregistrement SPF de votre domaine de messagerie. Vous pouvez récupérer facilement ces valeurs sur le site WhatsMyDns. Mettez votre nom de domaine et sélectionnez le type "TXT" avant de lancer une recherche pour récupérer les adresses IP.

Une fois que tout est prêt et que la règle est créée, elle apparaît aux côtés de celles déjà existantes sur votre tenant Office 365.

Il ne vous reste plus qu'à tester et vous devez obtenir un résultat semblable à celui présenté en introduction.

Merci à Merwan Z. pour m'avoir fourni son brouillon (et l'idée) de cet article !

The post Office 365 – Ajouter un préfixe à l’objet et un disclaimer aux e-mails externes first appeared on IT-Connect.

Xiaomi dévoile un nouveau système innovant baptisé Xiaomi Mi Air Charge qui permet de recharger votre smartphone sans-fil à distance !

Ne plus avoir de câble ni de socle pour recharger son téléphone n'est-il pas le rêve ultime ? En tout cas pour moi oui ! Xiaomi est peut-être en train de réaliser ce doux rêve.

Parce que oui on parle depuis quelques années de recharge sans-fil, mais on est quand même obligé de le poser sur une base. Malgré tout, ce contact entre le socle et le smartphone était nécessaire. Si l'on se veut utiliser son smartphone, forcément la charge s'arrête puisque l'appareil n'est plus posé sur sa base.

Xiaomi vient d'annoncer une recharge réellement sans fil. Un boitier dans la pièce suffira pour recharger les smartphones ou tout autre appareil compatibles.

Vous pourrez recharger plusieurs appareils en même temps ! Alors bien sûr on en est qu'au début et il n'y a pour le moment aucune date de commercialisation, mais cela promet pour le futur ! Xiaomi indique également qu'ils ne savent pas encore l'impact sur la 5G ou le Wi-Fi car il y a de nombreuses antennes dans ce boîtier. Par exemple, il y a 5 antennes pour localiser l'appareil dans l'environnement. Néanmoins, les obstacles physiques n'impacteraient pas le signal.

Alors que l'on commence à atteindre des puissances très intéressantes avec la recharge rapide telle qu'on la connaît aujourd'hui, la techno Xiaomi Mi Air Charge se limite à 5W pour le moment de 5W. Pour le moment, la recharge rapide est à oublier, mais Xiaomi serait sur le point de nous offrir la vraie recharge sans-fil.

Comme moi, êtes-vous impatient de voir cette technologie arriver sur le marché ?

Je vous laisse en compagnie de la vidéo officielle de Xiaomi.

Source

The post Xiaomi Mi Air Charge : Xiaomi invente la recharge sans-fil à distance first appeared on IT-Connect.

L'agence Europol est venue à bout d'Emotet, un botnet qui est à l'origine de nombreuses actions malveillantes depuis six ans. La police a désormais le contrôle de l'infrastructure d'Emotet et a pu démanteler le réseau.

C'est une annonce importante en matière de cybersécurité. Les forces de l'ordre de huit pays se sont mobilisées pour venir à bout d'Emotet ! La France a participé à cette action, ainsi que les États-Unis, l'Allemagne, le Canada, le Royaume-Uni, la Lituanie, les Pays-Bas et l'Ukraine. Cet engagement conséquent montre que le démantèlement d'Emotet était devenu une priorité.

Désormais, la police a une vraie maîtrise physique d'Emotet, de son infrastructure, de son réseau. Concrètement, les postes infectés par ce botnet sont contrôlés par des serveurs qui sont désormais entre les mains de la police.

L'infrastructure sur laquelle s'appuie Emotet n'est pas négligeable : plusieurs centaines de serveurs répartis dans le monde entier, notamment pour rendre difficile le démantèlement du réseau, mais pas seulement ! Les serveurs ont des rôles différents, certains servent à gérer les machines des victimes alors que d'autres servent à infecter de nouvelles victimes et à renforcer le réseau du botnet.

Suite au démantèlement annoncé ce jour par @EC3Europol du botnet #Emotet diffusant sa charge utile par courrier électronique, la @DutchPolice met à disposition un outil pour vérifier si votre adresse e-mail était présente dans les bases de données de cet acteur malveillant https://t.co/miVaGAKd2Q

— CyberGEND (@CyberGEND) January 27, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Pour faire de nouvelles victimes, Emotet s'appuie sur une méthode classique : l'hameçonnage. Des e-mails falsifiés étaient envoyés en masse et contenaient un lien ou une pièce jointe malveillante. Néanmoins, Emotet utilise une méthode d'hameçonnage très pointue où l'objectif est de simuler une réponse à une conversation existante entre plusieurs salariés de la même société. Du coup, les tentatives sont beaucoup plus convaincantes et le taux de réussite plus important.

Je vous en parlais plus en détail en septembre dernier, lorsque l'ANSSI tirait la sonnette d'alarme, car Emotet était très actif en France : Emotet actif en France

Ce botnet était également utilisé dans diverses chaînes d'infection, notamment dans celle du ransomware Ryuk où il formait un trio avec TrickBot et Ryuk, comme le rapportait l'ANSSI.

Le démantèlement d'Emotet devrait également perturber les activités d'autres logiciels malveillants. Cependant, Europol est relativement discret sur les arrestations associées à cette action de démantèlement. C'est une bonne chose, mais pour éviter qu'un "Emotet 2" voit le jour, et qu'il représente une menace encore plus dangereuse et résiliente, il faut espérer que la police a pu arrêter les responsables.

The post Victoire ! Europol a pris le contrôle du botnet Emotet ! first appeared on IT-Connect.

Devolo a profité de cette fin janvier pour dévoiler un nouveau kit de connexion réseau baptisé Devolo Mesh Wifi 2, qui mix à la fois l'usage du CPL et la diffusion WiFi pour vous assurer une connectivité sans-fil dans l'ensemble de votre domicile. Présentation.

Dans le domaine, Devolo n'en est pas à son coup d'essai : la marque est d'ailleurs spécialisée dans les produits réseau et propose des solutions en CPL depuis très longtemps. Depuis quelques années maintenant, elle propose aussi des appareils qui s'appuient sur le CPL et le WiFi, comme le kit Devolo Magic 2 Wifi que j'avais pu tester.

Intéressons-nous maintenant plus précisément au kit Devolo Mesh Wifi 2. Au-delà de permettre de couvrir une plus grande zone que le WiFi de votre box, son objectif est simple : remplacer directement le WiFi de votre box pour proposer une expérience unifiée et bénéficier des avantages de la solution Devolo.

Dans le principe, c'est assez simple, un premier boîtier CPL doit être installé au niveau de la box et être relié directement à cette dernière. Ensuite, les autres boîtiers CPL sont répartis dans votre habitation et cette liaison CPL permet la synchronisation des boîtiers et la transmission des flux réseau. Concrètement, l'installation de boîtiers plusieurs boîtiers CPL va permettre d'avoir une zone de couverture Wi-Fi beaucoup plus importante, en comparaison du signal de votre Box. Il est à noter que la partie CPL s'appuie sur la technologie G.hn, ce qui correspond à la norme CPL la plus performante.

Les clients quant à eux, c'est-à-dire votre PC portable, smartphone, tablette, etc... sont connectés au Wi-Fi et la solution Devolo optimise la connexion. Cela signifie que le client sera connecté au boîtier CPL qui diffuse le meilleur signal par rapport à sa position actuelle et aux autres appareils connectés.

Devolo s'appuie sur plusieurs fonctionnalités, notamment le Band Steering et l'Access Point Steering. Prenons un exemple, si un client utilise la bande de fréquence 2.4 GHz mais qu'elle commence à être encombrée, il pourra être basculé sur la bande de fréquence 5 GHz. Cela est d'autant plus vrai s'il est à proximité du boîtier CPL puisque le système va chercher à être le plus efficient possible. D'après Devolo, cette bascule est transparente au niveau de l'équipement.

La solution WiFi s'appuie sur un système tribande de quoi atteindre un débit jusqu'à 1 200 Mbit/s. Pour les exploiter au maximum, la solution embarque la technologie MU-MIMO qui est reconnue. Enfin, la sécurité du réseau sans-fil est compatible avec le WPA3, tout en proposant le WPA2 pour les appareils plus anciens.

Dès à présent disponible, le kit Devolo Mesh Wifi 2 est disponible en deux variantes pour s'adapter à la taille de votre maison ou appartement :

• Devolo Mesh Wifi 2 Start Kit : avec deux boîtiers, vendu 249 euros
• Devolo Mesh Wifi 2 Multiroom : avec trois boîtiers, vendu 369 euros

Ce kit a une garantie de 3 ans et la solution s'initialise et se configure à l'aide de l'application Devolo Home Network, disponible sur Android et iOS.

The post Devolo Mesh Wifi 2, le nouveau kit CPL / WiFi Mesh pour la maison first appeared on IT-Connect.