Petya : comment se protéger contre un ransomware ?
Table des matières:
- Comment se propage le Petya Ransomware?
- Que se passe-t-il après l'infection d'un PC?
- Comment rester en sécurité?
Une nouvelle attaque de ransomware utilisant une version modifiée de la vulnérabilité EternalBlue exploitée lors des attaques de WannaCry a été lancée mardi et a déjà touché plus de 2000 ordinateurs dans le monde en Espagne, en France, en Ukraine, en Russie et dans d’autres pays.
L'attaque a principalement visé des entreprises de ces pays, tandis qu'un hôpital de Pittsburg, aux États-Unis, a également été touché. Les victimes de l'attentat sont notamment la Banque centrale, les chemins de fer, Ukrtelecom (Ukraine), Rosnett (Russie), WPP (Royaume-Uni) et DLA Piper (États-Unis).
Le nombre le plus élevé d’infections a été constaté en Ukraine, le deuxième en Russie, suivi de la Pologne, de l’Italie et de l’Allemagne. Le compte Bitcoin acceptant les paiements avait effectué plus de 24 transactions avant sa fermeture.
Bien que l'attaque ne vise pas les entreprises indiennes, elle a toutefois ciblé le géant des transports maritimes AP Moller-Maersk et le port de Jawaharlal Nehru est menacé par le fait que la société exploite les terminaux Gateway dans le port.
Comment se propage le Petya Ransomware?
Le ransomware utilise un exploit similaire utilisé dans les attaques à grande échelle du ransomware WannaCry plus tôt ce mois-ci, qui ciblait des machines fonctionnant sur des versions obsolètes de Windows, avec une petite modification.
Cette vulnérabilité peut être exploitée via une exécution de code à distance sur les PC sous Windows XP sur les systèmes Windows 2008.
Le ransomware infecte le PC et le redémarre à l'aide des outils système. Lors du redémarrage, il chiffre la table MFT dans les partitions NTFS et écrase le MBR avec un chargeur personnalisé affichant la note de rançon.
Selon Kaspersky Labs, «Pour capturer les informations d'identification en vue de leur propagation, le logiciel ransomware utilise des outils personnalisés, à la Mimikatz. Ils extraient les informations d'identification du processus lsass.exe. Après l'extraction, les informations d'identification sont transmises aux outils PsExec ou WMIC pour la distribution à l'intérieur d'un réseau. ”
Que se passe-t-il après l'infection d'un PC?
Une fois que Petya a infecté un PC, l’utilisateur perd l’accès à la machine qui affiche un écran noir avec du texte rouge qui se lit comme suit:
«Si vous voyez ce texte, vos fichiers ne sont plus accessibles car ils ont été cryptés. Vous êtes peut-être en train de chercher un moyen de récupérer vos fichiers, mais ne perdez pas notre temps. Personne ne peut récupérer vos fichiers sans notre service de décryptage."
Et il y a des instructions concernant le paiement de 300 $ en Bitcoins et un moyen d'entrer la clé de déchiffrement et de récupérer les fichiers.
Comment rester en sécurité?
À l'heure actuelle, il n'existe aucun moyen concret de déchiffrer les fichiers retenus en otage par le ransomware Petya puisqu'il utilise une clé de chiffrement solide.
Mais le site Web de sécurité Bleeping Computer pense que créer un fichier en lecture seule nommé "perfc" et le placer dans le dossier Windows du lecteur C peut aider à arrêter l'attaque.
Il est également important que les personnes qui ne l'ont pas encore fait téléchargent et installent immédiatement le correctif Microsoft des systèmes d'exploitation Windows plus anciens, mettant ainsi fin à la vulnérabilité exploitée par EternalBlue. Cela aidera à les protéger contre une attaque par un programme malveillant similaire, tel que Petya.
Si la machine redémarre et que vous voyez ce message, mettez-le immédiatement hors tension! Ceci est le processus de cryptage. Si vous ne mettez pas sous tension, les fichiers vont bien. pic.twitter.com/IqwzWdlrX6
- Pirate Fantastique (@hackerfantastic) 27 juin 2017
Alors que le nombre et la magnitude des attaques de ransomware augmentent chaque jour, il est suggéré que le risque de nouvelles infections diminue considérablement après les premières heures de l’attaque.
Lisez aussi: Les attaques de ransomware à la hausse: voici comment rester en sécurité.Et dans le cas de Petya, les analystes prédisent que le code indique qu’il ne se répandra pas au-delà du réseau. Personne n'a encore été en mesure de déterminer qui est responsable de cette attaque.
Les chercheurs en sécurité n'ont toujours pas trouvé le moyen de décrypter les systèmes infectés par le ransomware Petya et, même les pirates informatiques ne peuvent pas être contactés maintenant, toutes les personnes concernées le resteront pour le moment.
Lors de l'attaque, les gens reçoivent des messages électroniques qui semblent provenir de Facebook et qui tentent de les envoyer sur un site Web malveillant, Fbaction.net, qui ressemble à une page de connexion Facebook.
Le site Web de Fbaction.net était en direct mercredi après-midi, mais Facebook travaille à la mise sur liste noire du domaine et espère que le site sera fermé, selon un porte-parole de Facebook. "Nous sommes conscients de ce domaine d'hameçonnage et avons déjà commencé à agir", a déclaré la compagnie dans un communiqué.
Review: WeVideo est un éditeur de vidéo basé sur le cloud qui rend l'édition de votre navigateur > WeVideo est un éditeur vidéo simple et solide basé sur Flash qui fonctionne dans votre navigateur. Grâce à Dropbox et à Google Drive, il est facile d'extraire des images brutes et d'exporter des vidéos éditées.
Le cloud fait fureur ces jours-ci. Nous avons des e-mails dans le cloud, des sauvegardes dans le cloud, sans parler de la gestion de projet, de l'édition d'images et de pratiquement tout ce que vous utilisez pour votre PC dans le cloud. WeVideo veut ajouter un autre type à ce mélange: Un éditeur vidéo basé sur le cloud.
Identifiez Ransomware qui a infecté votre ordinateur
Ces services en ligne gratuits, ID Ransomware, va vérifier, identifier et dire si vous avez un rançongiciel sur votre PC Windows . Il détecte actuellement plusieurs types.