Comprendre, se protéger du ransomware Petya

Petya : menace mondiale et conseils de l’ANSSI

Le CERT-FR constate un nouveau mode de propagation du rançongiciel Petya. Le CERT-FR ne dispose pas de plus d’information à cette date (27 juin 2017 à 16h30).

Suite au premiers retours, il est possible que le code malveillant se propage via le réseau. En cas d’infection, la machine redémarre et affiche un message demandant un paiement de 300 bitcoins et de contacter l’adresse électronique wowsmith123456@posteo.net.

…/…

Le CERT-FR recommande :

l’application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation); le respect des recommandations génériques relatives aux rançongiciels ; de limiter l’exposition du service SMB, en particulier sur internet ; de ne pas payer la rançon.

…/…


Alert (TA17-181A) Petya Ransomware


MAJ CERT.BE

CERT.be a appris par des partenaires fiables que les autorités ukrainiennes, des entreprises russes et une compagnie danoise qui opère des terminaux de containers sont victimes d’une nouvelle attaque par ransomware. Peu après des sociétés inscrites aux Pays-Bas, en Espagne, en France, en Grande-Bretagne et en Belgique ont allongé la liste des victimes. Il semblerait qu’elles aient affaire à une nouvelle variante du ransomware « Petya ». Celle-ci semble se propager sur les réseaux (locaux) grâce à l’exploit « EternalBlue/DoublePulsar » pour le service SMB, qui a a fait fureur le mois passé grâce à ‘Wannacry’. Une fois qu’un système est infcté, le ransomware tente de se propager grâce à un outil interne à Windows (WMIC) et l’outil de gestion à distance PsExec. Le vecteur d’infection initial n’a pas encore été identifié, mais on soupçonne une propagation par un document excel présentant une fausse signature Windows (LokiBot).

Une fois le système infecté par le ransomware, celui-ci tente de chiffrer le disque dur en faisant usage de privilèges administrateur. En cas d’échec, il utilise un exploit sysème et s’injecte dans le MBR4 du disque dur et enregistre une tâche planifiée qui redémarre la machine une heure plus tard. Après le redémarrage du système, le ransomware s’exécute en mémoire et commence le chiffrement.

Il n’y a pas de « killswitch » et le ransomware ne communique pas avec un quelconque serveur de commande.

Le fichiers ayant les extensions suivantes sont chiffrés :

  • .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc .docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf .ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd .vmx.vsdx.vsv.work.xls.xlsx.xvd.zip

…/…


Une cyberattaque mondiale vise des institutions et des entreprises, dont Saint-Gobain et Auchan

Des attaques informatiques se sont multipliées dans le monde ce mardi. Le virus a contaminé des banques et des entreprises ukrainiennes, le français Saint-Gobain et la filiale ukrainienne d’Auchan, le pétrolier russe Rosneft, le transporteur danois Maersk, le port de Rotterdam, mais aussi la centrale de Tchernobyl.

…/…

Mais le spécialiste russe Kaspersky Labs, lui, estime que ce n’est pas Petya qui est en cause. « Notre analyse préliminaire suggère qu’il ne s’agit pas d’une variante du ransomware Petya, comme suggéré jusqu’ici, mais d’un nouveau ransomware, qui n’a jamais été vu jusqu’ici. C’est la raison pour laquelle nous l’avons surnommé NotPetya », a expliqué l’entreprise dans son communiqué. « Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées », a détaillé Kaspersky Labs. Afin d’empêcher la propagation, l’entreprise de cybersécurité recommande aux groupes visés de mettre à jour les versions de Windows utilisées en interne.


Schroedinger’s Pet(ya)

Kaspersky Lab solutions successfully stop the attack through the System Watcher component. This technology protects against ransomware attacks by monitoring system changes and rolling back any potentially destructive actions.

At this time, our telemetry indicates more than 2,000 attacks: …/..


Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin


New ransomware, old techniques: Petya adds worm capabilities


01/07/1/ – Alert (TA17-181A) Petya Ransomware


Propagation et fonctionnement :

  • Mode de diffusion : Petya se propage principalement via des réseaux locaux en exploitant des vulnérabilités du protocole SMB de Windows, notamment les failles EternalBlue et EternalRomance. Ces failles, initialement découvertes par la NSA, ont été divulguées publiquement, permettant à des cybercriminels de les utiliser pour diffuser des malwares. Silicon
  • Infection initiale : Le vecteur d’infection initial de Petya n’a pas été identifié avec certitude, mais des soupçons portent sur des documents Excel contenant des macros malveillantes ou des mises à jour logicielles compromises. Next Ink
  • Mécanisme d’action : Une fois le système infecté, Petya tente d’obtenir des privilèges administrateur pour chiffrer le disque dur. En cas d’échec, il modifie le secteur de démarrage principal (MBR) du disque, planifie un redémarrage du système et, au redémarrage, commence le chiffrement des fichiers, rendant le système inutilisable. Next Ink

Impact mondial :

  • Victimes notables : Petya a affecté de nombreuses entreprises internationales, notamment le Groupe M6, le CHU de Rouen et Fleury Michon en France, ainsi que des sociétés telles que Maersk, Saint-Gobain et Merck à l’échelle mondiale. Cybermalveillance
  • Conséquences : Les attaques ont entraîné des interruptions d’activité significatives, des pertes financières importantes et des perturbations opérationnelles majeures. Par exemple, le groupe Maersk a estimé les pertes liées à l’attaque entre 200 et 300 millions de dollars. Wikipédia

 


En savoir plus sur La sécurité informatique simplifiée : nos services de protection globale

Subscribe to get the latest posts sent to your email.

En savoir plus sur La sécurité informatique simplifiée : nos services de protection globale

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture