Denis Szalkowski Formateur Consultant

Formateur et formations Linux Red Hat, CentOS, Fedora, Ubuntu Server, Debian, SUSE, openSUSE, Bash, PowerShell, IPv6, Sécurité informatique, GLPI, FusionInventory, Squid, LAMP, Apache, MySQL, PostgreSQL, SQL Server, Oracle Database, SQL, PHP, WordPress, SEO, Référencement naturel, Veille stratégique et concurrentielle

Messagerie : règle de filtrage pour Ransomware

Si vous disposez de Opera Mail, de Thunderbid couplé à FiltaQuilla ou de Sylpheed comme client de messagerie, alors vous pouvez entrer une nouvelle règle de filtrage à base d’expressions régulières qui vous permettra de benner les messages comprenant des pièces jointes de type ransomware.

Client de messagerie

Sous Sylpheed, j’ai ajouté deux condition dans une nouvelle règle de filtrage utilisant les expressions régulières via le menu Configuration -> Règles de filtrage, au niveau de l’en-tête Content-Type :

name="(_?Locky_?recover_?instructions?|AllFilesAreLocked.*|attention(!!!)?|DECRYPT_?(All_?Files.*|INSTRUCTIONS?)?|enc_?files|help_?(to_)?(decrypt(_your_files)|(restore|save)_?files?)?|how_?to_?decrypt.*|MESSAGE|RECOVERY_?KEY|restore_?files?.*)\.(bmp|exe|html|png|txt)"$
name=".+\.(aaa|abc|ctbl|cryptolocker|ecc|enciphered|encrypted|ezz|exx|just|locky|lnk|micro|vvv|xtbl)"$

Exchange Server 2013

Si vous disposez d’un serveur de messagerie Exchange Server 2013, vous pouvez, en amont, créer une règle de transport à  partir du Centre d’administration Exchange (Flux de messagerie >Règles).

Source pour les extensions et les noms de fichiers : Protect your File Server against Ransomware by using FSRM and Powershell

• Accueil
• Présentation
• Parcours
• Compétences
• Formations
• Supports
• Actualités
• Contact
• Newsletter
• Mentions légales