Skip to content

Create a-placer.md #10

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Open
wants to merge 1 commit into
base: master
Choose a base branch
from
Open

Create a-placer.md #10

Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
19 changes: 19 additions & 0 deletions a-placer.md
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -0,0 +1,19 @@

1️⃣ Prévenir l'ensemble des clients d'une panne et faire de la prévention (stratégie de communication) sur l'attaque que l'entreprise à subit et les moyens pour les clients de la prévenir en amont ;
2️⃣ Déconnecter l'ensemble du réseau et identifier le début du chiffrement dans des logs et remonter à quelques jours avant pour trouver les clés de registre, exe .. Afin de créer un script permettant de filtrer les postes et serveurs ;
3️⃣ Mettre en place même si coûteuse d'autres instances clone sain du SI pourquoi pas dans différents datacenter, voir plusieurs (Vsphère), reconnecter uniquement les gros comptes dessus dès que possible puis les autres (pas tous sur le même clone) en monitorant l'activité, cela permet d'isoler les différents clients si un poste est infecté de recontaminer l'ensemble du réseau ;
4️⃣ Déposez plainte au commissariat de police ou à la gendarmerie la plus proche, chaque logiciel malveillant a son propre fonctionnement et les méthodes de désinfections diffèrent selon le type de logiciel. Les sites suivants peuvent fournir des solutions dans certains cas :
https://www.nomoreransom.org/fr/index.4html
https://stopransomware.fr/
https://id-ransomware.malwarehunterteam.com/

5️⃣ Tenter des solutions du gouvernement par ces outils mis à disposition :
https://www.demarches.interieur.gouv.fr/particuliers/ransomware-rancongiciel-blocage-ordinateur-smartphone

6️⃣ Conserver toutes les preuves relatives à l’attaque : heure et date de l’évènement, description de l’évènement, mesures mises en œuvre.
7️⃣ Mettre en place des astreintes, afin d'identifier si un client infecté revient sur le réseau pour stoper toute suite l'activité et petit à petit les désinfectais ;
8️⃣ Plus tard, mettre en place un PRA/PCA que tout SI normalement constitué doit établir pour prévenir de façon générale une interruption d'activité avec les risques et les solutions pour la reprise d'activité.

Tenter Rkill comme solution rapide dans un premier temps : toolslib.net/downloads/viewdownload/111-rkill/

Tout cela permet d'éviter le stress des équipes et permet d'utiliser les plans pour le rétablissement rapide du SI.