Acronis anti-ransomware: alerte au phishing !

Bonjour le Monde !

Dans la brouette de news pour les geeks en juillet, j’ai parlé de de l’antivirus BitDefender Free et de Acronis Protection contre les Ransomwares (gratuit également).

J’ai installé les deux en juillet et n’ai eu aucun problème jusqu’à aujourd’hui où BitDefender a tout d’un coup généré des alertes au phishing à peu près toutes les 5 secondes !

Phishing

Les messages d’erreur étaient très incompréhensibles (comme trop souvent) mais parlaient des ports 6109 et 9110 qui sont utilisés par les programmes Acronis (StartPage est mon ami) !
=> désinstallation du programme Acronis et redémarrage du PC et les erreurs sont calmées !

Scan antivirus (BitDefender) et anti-rootkit (MalewareBytes) avec chacun ayant trouvé une saloperie => effacement des cochonneries et nouveau redémarrage du PC.
Nettoyage avec Ccleaner (dernière version) => 1.8GB de fichiers temporaires effacés et environs 750 erreurs corrigées dans la base de registre (je n’avais plus fais cela depuis pas mal de temps).

Vérification sur le site d’Acronis: il n’y a pas de nouvelle version du programme de protection anti-ransomware (ou pas encore) => je vais essayer de les informer du problème…

Bref, si vous avez aussi installé Acronis Protection contre les ransomwares sur un PC Windows, je vous conseille de le désinstaller par précaution !

Pour les geeks: lors d’un tel incident, il faut d’abord collecter les infos données par les alertes, puis il faut vérifier quels programmes utilisent les ports cités dans les alertes sur votre PC pour désinstaller ces programmes car ils présentent un faille de sécurité exploitée par le malware qui tente de faire du phishing à vos dépends.

Voici les alertes générées de BitDefender qui montrent ici que les ports 6109 et 9110 sont utilisés par le malware pour tenter de collecter certaines de vos infos personnelles (phishing); localhost signifie qu’il s’agit de ports utilisés sur votre PC:

Machine generated alternative text: Bitdefender ANTIVIRUS FREE EDITION Events Quarantine Exclusions Protection nov. 13 DELETE ALL Web Protection nov. 13 Phishing attempt localhost:6109/heartbeat EXCLUDE 14:01 Web Threat Blocked Phishing attempt localhost:6109/heartbeat Web Threat Blocked nov. 13 Phishing attempt localhost:6109/heartbeat Web Threat Blocked nov. 13 Phishing attempt localhost:6109/heartbeat Web Threat Blocked nov. 13 Phishing attempt localhost:6109/heartbeat Web Threat Blocked nov. 13 Phishing attempt Web Threat Blocked nov. 13

Machine generated alternative text: Bitdefender ANTIVIRUS FREE EDITION Events Quarantine Exclusions Web Threat Blocked Phishing attempt localhost:6109/heartbeat Web Threat Blocked Phishing attempt localhost:6109/heartbeat Web Threat Blocked Phishing attempt localhost:6109/heartbeat Web Threat Blocked Phishing attempt localhost:6109/heartbeat Web Threat Blocked Protection nov. 13 nov. 13 nov. 13 nov. 13 nov. 13 DELETE ALL Web Protection nov. 13 14:01 Phishing attempt ut=5m&timestamp=O EXCLUDE Phishing attempt localhost:9110/api/apf/account?tim Web Threat Blocked nov. 13

Pour trouver le programme qui utilise ces ports et qui se fait exploiter par le malware voici trois manières de faire:

  • Démarrer une invite de commande en mode admin (clic droit sur le bouton Windows, bouton “Démarrer” avant) et taper netstat -ab et vérifier la liste pour les port cités dans l’alerte
  • Télécharger TCPview qui vous fait ça en mode graphique… => regarder quel programme utilise les ports cités dans l’alerte
  • Faire une recherche sur Internet pour “tcp port xxxx” en remplaçant “xxxx” par les numéros de ports cités dans l’alerte

J’ai utilisé la 3e méthode et le 2e article retourné par StartPage est la liste des ports à ouvrir dans un pare-feu pour les produits Acronis; dans cette liste, le port 6109 est utilisé par Acronis pour la protection active => Acronis utilise bien ce port 6109 => j’ai désinstallé Acronis et plus de problème => CQFD !

Trois remarques pour conclure:

  • Ne soyez pas parano ! Un programme de protection (ici BitDefender) peut prendre une activité normale pour un problème; on parle alors de faux-positifs ou fausse alerte. Comme on n’en sait encore rien, il faut d’abord réagir et stopper le problème, puis vérifier plus loin…
  • Restez vigilant ! Un programme de protection n’est pas une protection infaillible; ne faites pas une confiance aveugle à votre protection et restez vigilant !
  • Ré-évaluez régulièrement vos protections; la malhonnêteté sur Internet est en évolution constante !
  • Un port TCP est un point d’entrée de votre PC; imaginez que votre PC ait une adresse sur Internet comme un building à appartement a une adresse postale, on dira que le port TCP est la boîte aux lettre d’un appartement. Si la boîte aux lettres est mal fermée, on peut vous piquer votre courrier… Idem sur le PC via un port TCP mal protégé…

Li P’ti Fouineu vous salue bien !

 

 

Mais où sont passés les boutons de partage ?

Bonsoir le Monde !

Je crois que certains d’entre-vous savent que j’ai un blog WordPress sur https://ecollart.xyz ! Comment ça non ?

J’ai passé un temps dingue à trouver des boutons de partage à placer sous les articles pour que le visiteur puisse partager un article qu’il trouverait sympa (comment ça “y en a pas” ?) sur les réseaux sociaux; il est ainsi possible de partager un de mes articles sur Facebook, Twitter, Pinterest, Google+, Tumbler, WhatsApp, Viber, Diaspora et bien d’autres (cliquer donc sur le bouton “+” pour voir).

Magnifique me direz-vous ! Comment ça non ?

Oui mais … si vous avez installé un ou des modules de filtrage qui sont censés vous protéger contre le pistage comme Ghostery ou Disconnect ou simplement la dernière version de Firefox (qui utilise les listes de Disconnect), vous ne voyez plus mes boutons de partage sous mes articles !

J’ai testé et fais la pub de ces programmes dans les News pour les Geeks en juillet et je n’avais pas remarqué cela…
J’ai dû faire une mise a jour du plugin qui gère ces boutons récemment et c’est là que j’ai enfin vu ça !!!!

Firefox avec la protection contre le pistage et le module Disconnect empêchent en effet l’affichage de ces boutons, Ghostery le signale mais ne bloque pas l’affichage… Il se peut aussi que ces protections perturbent le fonctionnement de certain boutons (j’ai constaté un soucis avec le bouton Pinterest par exemple…)

Je suis en train d’investiguer ce plugin plus en profondeur et je le remplacerai au besoin (= si je trouve des crasses). J’ai contacté les auteurs de ce plugin (AddToAny) qui ont l’air un peu dépités de voir leurs efforts pour fournir un programme de qualité et gratuit réduits à néant …

En attendant, si vous utilisez ce genre de protection, soit vous n’avez pas envie de partager mes articles et tout va bien, soit il faudra utiliser les réglages de ces protections pour mettre mon site en liste blanche ou liste des sites de confiance et les boutons réapparaîtront !

Sous Firefox, cliquez sur le petit bouclier près du cadenas et cliquez sur “Désactiver pour ce site”:

Pour Disconnect, cliquez sur “Whitelist Site”:

Pour Ghostery, ce n’est pas nécessaire pour mon site mais c’est le même principe:

Tout cet armada de sécurités commence à bien foutre la merde sur Internet et de nouveau juste à cause de quelques emmerdeurs (hackers black hat, pirates, GAFAM, etc)
Avec ces mêmes sécurités, vous n’êtes pas certain non plus de voir toute l’information que les auteurs des sites souhaitent vous transmettre à moins d’explorer fastidieusement toutes les notifications (25 pour ma page d’accueil avec Disconnect et 4 avec Ghostery).

Tout ça permet aussi de faire peur aux gens qui laissent donc les autorités restreindre voire verrouiller petit à petit cet espace de liberté unique en son genre car mondial et pouvant potentiellement relier tous les êtres humains… L’humain est malheureusement ainsi fait, c’est pour le meilleur et pour le pire. L’humanité ne méritera ce nom que quand le pire sera devenu vraiment marginal…

Bref, ne soyez pas trop parano avec tout ça sous peine de stress, énervement et perte de bonne humeur pour du vent en fin de compte !

Li P’ti Fouineu vous salue bien !

 

Les News de la Miaou !

Bonjour le Monde !

Dans un calme mais tonitruant désordre, quelques news qui n’en sont pas toujours pour tout le monde !

  • Les brocantes et autres fêtes battent leur plein au mois d’août et le calendrier des événements du coin est disponible et mis à jour sur le blog suivant des critères évidemment perso.
    QueFaire.be” ou “Brocante.be” ne savent pas tout sur les brocantes et fêtes, il y a aussi les petits journaux, l’affichage le longs des routes et les sites web des communes !
    Si vous êtes en panne d’idée, rendez-vous sur https://ecollart.xyz/evenements/

  • Le filtre à café ! Je vais sans doute vous faire rire mais je vais me coucher moins bête ce soir !
    Je fais du café en percolateur depuis des années et depuis des années je peste contre ce filtre à café qui ne tient pas bien en place et qui m’oblige à chipoter pour fermer le support de filtre de la cafetière en faisant attention qu’il ne soit pas plié afin que l’eau ne coule pas à côté !
    Je suis peut être les seul d’entre-vous à qui cela arrive car vous, je parie que vous savez !
    Par accident, alors que ma boîte de filtres n°4 est presque vide, je suis tombé sur le petit dessin  ci-dessous:
    Pliez les bords du filtreHé bien depuis, le monde à changé !!!!

  • Retour sur les moteurs de recherche: je n’aime pas Google, Bing et Yahoo pour leurs méthodes discutables mais il faut bien reconnaître que ce sont eux qui donnent le plus de résultats.
    Avec ces méthodes, une recherche sur mon ordinateur et sur le vôtre ne donnera pas le même résultat qui sera pollué par de la publicité ciblée et vous tiendra bien enfermé dans votre petit monde vous donnant peu de chance de découverte et , à terme, de développer votre esprit critique car ne vous présentant que ce que vous aimez bien ou qui réponde à vos attentes habituelles.
    Qwant est mon ami et est sympas mais on a souvent l’impression d’avoir des résultats incomplets et surtout franco-français en priorité. Cher Qwant, j’aime la France mais pas à ce point-là !
    Une solution à ce dilemme est d’utiliser des méta-moteurs de recherche mais si possible qui ne vous tirent pas le portrait Internet ou pas trop comme StarPage basé en Hollande ou Searx basé sur du code Open Source sans mouchard. Lisez bien leurs politiques de confidentialité et FAQ avant de vous lancer.
    Perso je suis passé à StartPage qui offre de nombreuses options pour affiner votre recherche. Searx ne connait pas Li P’ti Fouineu ! Scandaleux !
    On pourrait aussi parler de DuckDuckGo mais il est basé aux États-Unis où la vie privée est une notion encore plus volatile que chez nous même si il y a bien pire.
    Il y aussi les méta-moteurs solidaires comme Ecosia ou Lilo qui sont entre les deux car utilisant le système publicitaire pour financer leur projets mais qui ne vous pistent pas trop eux-mêmes.
    Deux autres articles pour compléter: https://tkpx.wordpress.com/2016/12/18/quels-moteurs-de-recherche-utiliser/  et  https://www.eco-sapiens.com/blog/jen-ai-marre-des-moteurs-de-recherche-solidaire/

  • Méta-moteur ? méta-moteur ? Quel drôle de nom pour un moteur ! Un méta-moteur est une application qui interroge pour vous un nombre plus ou moins grand de véritables moteurs de recherche (ceux qui ont l’info dans leurs databases), trie les réponses et vous présente les plus pertinentes à sa façon. Il en a existé et en existe toujours un nombre incroyable dont assez peu ne vous piste pas (ben tiens) !
    Ce qu’en dit Wikipédia: https://fr.wikipedia.org/wiki/M%C3%A9tamoteur

  • Savez-vous que le blog possède un moteur de recherche interne puissant ?
    Vous vous souvenez qu’un article parlait d’un truc que vous aimeriez relire ? Rendez-vous sur la page d’accueil de Li P’ti Fouineu et tapez un ou plusieurs mots à retrouver dans le champ de recherche en haut à droite de la page et roulez casquettes !
    Une alternative est d’aller sur StarPage et de taper “Li P’ti Fouineu” suivi de votre mot à retrouver, vous serez sans doute surpris !
    J’ai fais le test avec “Li P’ti Fouineu noces” et le premier résultat retourné était une page des archives du blog qui contenait bien l’article “Les Noces de …
    Le moteur interne au blog reste quand même plus pertinent.

  • J’ai goûté des escargot beurre-Roquefort provenant de “L’escargot des Grosses Pierres” à Piétrebais, c’est une véritable tuerie tellement c’est bon !
    Pas de site web mais une page Facebook sur http://www.facebook.com/lescargotdesgrossespierres
    En Belgique, vous êtes obligés d’avoir un compte Facebook ET de vous y connecter pour voir une page Facebook ! Tout le monde n’étant pas fan de Facebook (comprends pas pourquoi), il y a pas mal de gens qui n’ont PAS de compte Facebook et qui ne savent donc PAS voir ces pages intéressantes !!!!
    Li P’ti Fouineu vous permet quand même de voir les 6 dernières publications de certaines pages que j’aime sur un nouveau site en construction mais celle-ci y est déjà: https://ecollart.info/bons-plans/pour-boire-et-manger/lescargot-des-grosses-pierres/

  • Bande de petits veinards, vous êtes parmi les premiers à pouvoir visiter mon nouveau site en construction et pouvoir me donner votre avis !
    Le site n’est en principe pas indexé par les moteurs de recherche et vous ne devriez donc pas encore le trouver via Google et consorts…
    Ouais bon, arrête de faire ton malin et accouche, c’est où ?
    Les plus futés qui ont lu le point sur les escargots l’ont déjà repéré…
    La page d’accueil de Li P’ti Fouineu Info est sur https://ecollart.info/
    Ce site est en construction et ça avance lentement, très lentement … (les escargots, c’était pas pour rien…) mais toutes les propositions constructives m’intéressent !

Li P’ti Fouineu vous salue bien !

 

 

1 2 3 4