Ransomware Petrwrap/Petya : de nombreuses entreprises contaminées, un « vaccin » existe
Pire que WannaCrypt ? Pas forcément
Depuis hier, une vaste attaque de ransomware touche de nombreuses entreprises dans le monde. Inspiré du malware Petya, il se répand via divers mécanismes, dont la faille SMB déjà utilisée par WannaCrypt. On en sait désormais davantage sur son fonctionnement, mais les conseils pour se protéger n’ont pas changé.
L’attaque de WannaCrypt a pu fonctionner parce que les machines des victimes ne possédaient pas une précieuse mise à jour déployée par Microsoft deux mois plus tôt. Estampillée MS17-010, elle corrigeait la vulnérabilité nommée EternalBlue, trouvée dans les outils de la NSA et dont les détails avaient été dérobés par le groupe de pirates Shadow Brokers.
La nouvelle attaque peut utiliser la même faille, entrainant de nombreux parallèles avec WannaCrypt, mais elle s’appuie surtout sur d’autres moyens. Au cœur de la menace, on trouve le ransomware Petrwrap, que d'autres appellent également NotPetya, Petna ou encore SortaPetya. Il est inspiré en effet du malware Petya mais dispose de caractéristiques propres. Réclamant l’équivalent de 300 dollars en bitcoins, ses rançons ne peuvent déjà plus être payées, le compte email utilisé par le ou les pirates ayant été fermé. Explications.
Ordinary decent ransomware
Petrwrap est un ransomware assez classique finalement. Pour la victime, il se présente comme une fausse version de chkdsk, l’outil de vérification de l’intégrité des données présent dans Windows. Le pourcentage qui avance ne représente toutefois pas la validation de la structure des informations, mais bien l’avancement du chiffrement des données.
Comme indiqué, le principal vecteur d’infection est la faille EternalBlue dans SMBv1, via un exploit modifié. Ce n’est toutefois pas le seul, Petrwrap pouvant profiter d’une autre brèche corrigée en mars par Microsoft et surnommée EternalRomance, elle aussi exploitant le port 445. Autre possibilité, cibler le processus de mise à jour d’un logiciel ukrainien nommé MeDoc. C’est d’ailleurs dans ce pays que l’attaque a commencé, avant de se répandre (nous y reviendrons).
Comme Kaspersky et BleepingComputer l’indiquent notamment, Petya/Petrwrap possède un outil spécifique capable de récupérer des identifiants de comptes utilisateurs. C’est l’un des plus gros dangers de l’attaque : quel que soit le vecteur d’infection, si le ransomware contamine ne serait-ce qu’une machine disposant de droits administrateurs, la contamination pourra s’étendre à d’autres ordinateurs du réseau, via WMI ou PsExec. Tous les Windows de XP à 10 sont potentiellement concernés, ainsi que les versions Server. Notez que le malware possède une fausse signature électronique Microsoft.
Le vrai déclenchement du ransomware ne se fait qu’après redémarrage de la machine infectée, qui intervient entre 10 et 60 minutes selon le contexte. Durant cette étape, il commence immédiatement à chiffrer la MFT (Master File Table), élément crucial d’une partition NTFS puisqu’il contient, sous forme de base de données, la liste complète des fichiers présents dans la partition. Le MBR (Master Boot Record) est de son côté remplacé par un composant personnalisé, chargé d’afficher les explications sur la situation et la manière de payer.
Les données visées sont les mêmes que pour beaucoup d’autres ransomwares. On retrouve ainsi la même soixantaine de types qu’habituellement, avec les photos, vidéos, documents Office, PDF, archives Zip et RAR, et ainsi de suite.
Un chiffrement solide, mais un « vaccin » à placer sur le disque
Contrairement à WannaCrypt, les analyses n’ont pour le moment pas révélé de faille particulière dans le chiffrement des données. Le ransomware se sert d’une clé AES-128 pour cette opération, elle-même chiffrée avec la clé RSA-2048 publique des pirates, avant d’être entreposée dans un fichier texte README.
Cependant, il existe finalement un moyen assez simple de se prémunir contre l’infection du malware. Si aucun kill switch n’a été détecté (moyen d’arrêter d’une traite tout ou partie des infections), il est possible de « vacciner » la machine par l’ajout d’un fichier sur son disque système.
Le chercheur Amit Serper, de chez Cybereason, a été le premier à découvrir le procédé, plus tard confirmé par d’autres, notamment PT Security et TrustedSec. Il s’est ainsi rendu compte que le ransomware cherchait un fichier local qui, s’il est présent, l’empêche de fonctionner.
Il suffit donc de créer des fichiers perfc, perfc.dat et perfc.dll (via le Bloc-notes) et les entreposer dans le dossier Windows du disque système, puis de leur donner le statut « lecture seule ». Notez que Windows doit être configuré pour toujours afficher les extensions des fichiers et cette solution n’est valable que pour la version en cours du malware. BleepingComputer a d’ailleurs créé un fichier BAT automatisant la procédure.
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) 27 juin 2017
Impossible de payer la rançon
Comme dans toute attaque par ransomware, la consigne officielle est de ne jamais payer. Qu’il s’agisse du CERT français (ANSSI), de la police nationale ou de la gendarmerie, le mot d’ordre est à ce sujet toujours le même.
Dans le cas présent, la somme demandée était d’environ 300 dollars en bitcoins. Pour vérifier que les paiements étaient effectués, les pirates utilisaient l’adresse email « [email protected] ». Cependant, le prestataire allemand Posteo a décidé de fermer le compte. Il n’est donc plus possible de payer la rançon, ce qui peut être une gêne pour ceux qui avaient quand même décidé de donner l’argent.
La conséquence la plus directe est qu’il n’existe actuellement plus aucun moyen de déchiffrer les données, que ce soit en se soumettant aux injonctions des pirates ou via un éventuel outil tiers. Posteo a indiqué de son côté qu’il s’agissait d’une procédure normale et que le compte avait été fermé dès que ses techniciens avaient repéré qu’il était utilisé par un ransomware, mais avant de découvrir qu’elle faisait partie d’une attaque mondiale.
Une très longue liste de victimes
L’actuelle vague de contaminations est partie pour être plus conséquente que celle de WannaCrypt car le nombre de victimes est déjà très important. L’attaque est partie d’Ukraine mais est rapidement sortie des frontières du pays pour frapper un peu partout, notamment dans le reste de l’Europe (dont la France), en Russie et aux États-Unis.
En Ukraine – décidément un vaste terrain de jeu pour les concepteurs de malware – les structures touchées sont nombreuses et importantes. La banque centrale, le principal opérateur télécom, le métro et l’aéroport de Kiev sont ainsi concernés, provoquant de vastes problèmes, tout comme les magasins Auchan locaux. Ukrenergo, qui avait déjà été impacté par BlackEnergy en décembre 2015, a encore été frappé, mais cette fois sans que la production électrique soit ralentie ou stoppée. Distributeurs de billets, terminaux de vente et même les détecteurs automatiques de radiation à Tchernobyl sont concernés, obligeant les agents sur place à basculer sur des détections manuelles.
#Breaking: Supermarket in Kharkiv, east Ukraine - all payment terminals look to have been hit by the #Petya #ransomeware pic.twitter.com/e1nUHNkVwg
— Ryan Clapham (@NewsReport365) 27 juin 2017
Sur le plan international, les cibles sont particulièrement variées. Au Danemark par exemple, la société de fret Maersk est ainsi impactée – affectant d’ailleurs le plus grand port de marchandises d’Inde – tout comme l’entreprise pétrolière russe Rosneft. Aux États-Unis, les laboratoires pharmaceutiques Merck, un hôpital de Pittsburg (provoquant la colère d'Edward Snowden) ou encore les bureaux du cabinet juridique DLA Piper sont eux aussi concernés.
En France, Saint-Gobain est touché. L’entreprise a confirmé notamment que son système de traitement des emails était en panne. Une partie de son parc informatique a été isolé et le problème serait en cours de résolution. La SNCF a indiqué subir l’attaque, sans pour autant que son parc soit contaminé. BNP Paribas et Verallia (emballages alimentaires en verre) ont également été touchées, mais sans conséquence sur le système bancaire ou la production. Une enquête a été ouverte au parquet de Paris.
Signalons en outre le cas du centre de tri TNT/FedEx à Bierset, en Belgique.
Une infection contrôlable parce que lente
En dépit des apparences, l’expansion de la contamination est assez lente. On ne sait pas encore exactement comment elle a commencé. Selon les cas, certains évoquent l’attaque contre MeDoc, d’autres l’utilisation du phishing.
Le profil de l’attaque entraine une large couverture médiatique car de très nombreuses entreprises sont touchées un peu partout. Pour autant, la dissémination du ransomware reste lente, car Petya/Petrwrap a une différence notable par rapport à WannaCrypt : il ne comporte pas de scanner IP. Il se déploie presque exclusivement à travers les réseaux locaux, via SMB et les mécanismes mentionnés plus haut.
You are correct. Here you go, this is not my work. #Petya #NotPetya #CISO #CSO pic.twitter.com/dRnzZK1FVu
— John Lockie (@thedefensedude) 27 juin 2017
On ne sait par ailleurs pas encore qui se cache derrière l’attaque. Les groupes de pirates ne revendiquent que rarement les faits. Dans le cas de WannaCrypt, certaines analyses laissent à penser que le groupe nord-coréen Lazarus en serait à l’origine, à cause de similitudes importantes avec certaines attaques antérieures.
Dans tous les cas, Petya/Petrwrap montre encore une fois que la prolifération des malwares se fait principalement sur le terreau très fertile du manque d’hygiène informatique. L’installation des mises à jour de sécurité reste la règle essentielle, martelée ad nauseam par l’ensemble des agences de sécurité, y compris l’ANSSI. Bien qu’essentielle, elle n’est toutefois pas la seule.
Plusieurs autres règles sont tout aussi importantes. En premier lieu, désactiver tous les composants n’étant pas utilisés dans une structure et désinstaller les logiciels ne servant pas (ici, surtout PsExec et SMBv1). Moins il y a de code sur une machine, moins la surface d’attaque est importante. Dans le cas présent, la gestion des identifiants est également primordiale : les entreprises doivent réduire au strict minimum le nombre d’utilisateurs disposant de privilèges élevés sur un parc informatique.
La sauvegarde des données reste essentielle
Enfin, toute entreprise devrait avoir mis en place une solution de sauvegarde locale, ne passant donc pas dans le cloud. La synchronisation distante des données ne serait d’aucune aide, puisque la modification des fichiers par le chiffrement serait répercutée dans le stockage distant. Ils doivent être placés sur un support tel qu’un DVD, un Blu-ray, une bande magnétique ou n’importe quel mécanisme allant dans un seul sens. Idem pour un NAS dont les opérations de copie seraient faites manuellement ou à intervalles pouvant être interrompus.
Notez que la sensibilisation du personnel à la gestion des emails peut revêtir une grande importance. Une bonne partie des campagnes de ransomwares commencent par du phishing, voire du spear phishing, donc des emails calibrés pour sembler authentiques. La règle du contrôle de l’expéditeur et de la méfiance des liens et pièces jointes restera toujours applicable.
Commentaires (82)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/06/2017 à 13h23
Le 28/06/2017 à 13h25
Ils doivent être placés sur un support tel qu’un DVD, un Blu-ray, une bande magnétique ou n’importe quel mécanisme allant dans un seul sens.
Ou encore sur disquette
Le 28/06/2017 à 13h26
Comme depuis toujours par les mails à la con de ce genre, récup des contacts d’une adresse mail, des bases de mailing list pour envoi, etc…
Le 28/06/2017 à 13h29
Le 28/06/2017 à 13h30
bien pour ça que la majorité des victimes de Wanacry & co sont des entreprises, et non des particuliers.
Le 28/06/2017 à 13h31
Le 28/06/2017 à 13h32
en fait je pense que paradoxalement le kill switch de Wannacry a empiré la situation: visiblement des tas de boîtes n’ont toujours pas patché alors que ça fait 4 mois que MS a sorti le correctif.
" />
le compte twitter du responsable SMB chez MS est d’ailleurs assez marrant à suivre.
Le 28/06/2017 à 13h36
ça permet à tout un tas d’acteurs de tester leurs capacités offensives en conditions réelles.
on rigole on rigole, mais il faut voir que l’Ukraine est régulièrement la cible d’attaques de très grande ampleur comme avec BlackEnery en 2015. les mecs ont arrêté presque la moitié des fournisseurs d’énergie du pays.
notre secrétaire au numérique répète à l’envi qu’on est blindés en France, mais je vous dis pas le bordel si (quand?) ça nous arrive un jour.
Le 28/06/2017 à 13h38
Le 28/06/2017 à 13h44
Le 28/06/2017 à 13h46
Merci pour la réponse.
C’est plus clair.
Le 28/06/2017 à 13h47
Le 28/06/2017 à 13h50
Confondez pas Petya et WannaCrypt, ce nouveau malware utilise de nouveaux moyens de diffusion où le patch Windows ne suffit visiblement pas.
Le gros problème est l’infection d’une machine d’un compte utilisateur possédant les credentials d’administration (accès au partage admin$) de l’ensemble des postes de travail et/ou serveurs. (Administrateur du domaine ou groupe d’administration pour le support technique). (Et oui, on crache dans la soupe pour des solutions comme LAPS/PAWs ou CyberArk mais ça sert aussi à ça… Techniques Pass The Hash en ligne de mire.)
Visiblement le malware n’est pas encore assez évolué. Le massacre aurait été “complet” si le programme cherchait les noms de machine depuis l’Active Directory (Get-ADComputer).
C’est d’ailleurs ce qui me surprend, j’ai vraiment le sentiment qu’il s’agit d’un avertissement et pas d’une tentative de blackout complet. L’Ukraine étant un peu le pays “béta” pour prévenir des pays qu’ils peuvent manger cher si ils cherchent la guerre. (Un peu comme les essais balistiques/nucléaires.)
Le 28/06/2017 à 13h54
Le 28/06/2017 à 14h00
Le 28/06/2017 à 14h05
En tout cas, comme toujours, merci à l’ensemble des commentaires NextINpact pour la valeur ajoutée :)
Le 28/06/2017 à 14h10
la contamination pourra s’étendre à d’autres ordinateurs du réseau, via WMI ou PsExec.
Rhaaa… ça c’est moche.
WMI passe par le port 135 et on ne peut pas fermer ce port sous windows.
Si on désactive le service associé (RPCSs=, windows plante méchamment.
Le 28/06/2017 à 14h19
Dans tous les cas, Petya/Petrwrap montre encore une fois que la prolifération des malwares se fait principalement sur le terreau très fertile du manque d’hygiène informatique.
Ca ce fait surtout sur le terreau très fertile des trois ports 135, 139 et 445 de windows.
Remember Blaster ? remember Sasser ?
Le 28/06/2017 à 14h23
Après “58 minutes pour vivre” redécouvrez “60secondes pour établir la connexion 56K et trouver le fix sur internet” (j’en ai encore des cauchemards)
" />
Le 28/06/2017 à 14h25
oui j’ai vu qu’il réutilisait du code de Mimikatz pour récupérer les comptes.
du coup apparemment il suffit d’une machine admin non patchée dans un réseau patché pour que ça se propage quand même.
Le 28/06/2017 à 14h28
j’ai lu un article sur Wired sur le sujet.
le gars est un ukrainien qui bosse dans l’infosec. il est peinard chez lui en train de mater un film avec sa petite famille (au mois de décembre en Ukraine hein), et là pouf tout s’arrête.
il va à la fenêtre: toute la ville est éteinte.
panne fortuite? il check sa montre: 00:00.
ok donc une panne fortuite à minuit pile, là il sait tout de suite qu’un truc tourne pas rond. ^^
c’était un an après BlackEnergy.
l’article est top d’ailleurs:
https://www.wired.com/story/russian-hackers-attack-ukraine/
Le 28/06/2017 à 14h35
Le 28/06/2017 à 14h37
J’ai une connaissance qui est fait du dev cyber sécurité sur le réseau d’une centrale nucléaire et c’est pas fameux.
" /> (bon il a dis niet tout de suite mais ça montre le niveau)
Du genre à mettre une diode qui bypasse un firewall par exemple
Le 28/06/2017 à 14h39
Ha non mais c’est un choix qu’on a fait. Je t’invite à relire les autres commentaires que j’ai laissé, on a aucun autre moyen de procéder.
Le 28/06/2017 à 14h41
Le 28/06/2017 à 14h50
En effet. D’ailleurs sur mes machines le compte “Administrateur” local est désactivé et je crée une autre session locale admin du poste. Mais pour un soft bien particulier sur une version bien particulière (SPC Pro pour ne pas le citer) même si l’admin local en question est désigné pour lancer le service à la place de l’utilisateur AD, cela ne fonctionne pas, il ne se passe rien. Ca a peut-être été corrigé sur des versions ultérieures mais ces versions ne fonctionnent pas avec certaines centrales d’alarmes trop anciennes etc… On peut trouver des astuces je dis pas, mais c’est un savant mélange entre coup de bol et coup de bol
" />
Le 28/06/2017 à 15h03
Le 28/06/2017 à 15h10
Si le SMB est ouvert sur le net, c’est perdu d’avance quand même !
Je ne pensais pas qu’on pouvait tomber aussi bas en termes de sécurité.
Pour le cas présent, je me demandais pour les non ukrainiens, bien qu’il puisse y avoir des utilisateurs ailleurs dans le monde, surtout si le logiciel est traduit (mais je ne le connais pas du tout).
Le 28/06/2017 à 15h32
le plus gros manque d’hygiène c’est de cliquer sur des liens venant d’émail se faisant passer pour un de nos contact ou sur des partages facebook
avoir un patch qui empêche la prolifération sur le réseau c’est bien, ne pas cliquer sur n’importe quoi c’est moi
Le 28/06/2017 à 17h38
Hein fermer le port 135 est tout à fait possible et ne fait pas planter windows, tu as peut être un truc bas niveau codé à l’arracher qui entraîne le noyau avec lui en plantant
Le 28/06/2017 à 17h47
Vincent Hermann, rédacteur de cet article, dit qu’il gênant qu’il soit désormais impossible de payer la rançon, depuis que Posteo a fermé le compte. Gênant ? Non mais la bonne blague…😑
" /> D’un, elles le font le jeu de ces voyous et les encouragent à recommencer et de deux, il n’est pas certains que les voyous leurs envoient la clé de déchiffrement.
Ce qui est gênant, c’est justement que des entreprises paient un rançon lorsqu’elles sont victimes de rançongiciels, afin de pouvoir déchiffrer leurs données. C’est le degré zéro de l’intelligence.
Certains grands penseurs me rétorqueront que les données chiffrées sont bien plus importantes qu’une vulgaire rançon. Dans ce cas-là, arrêtons d’ameuter le monde entier lorsqu’un rançongiciel est en train de faire des ravages parce qu’il y aura une actualité sur ce sujet tous les jours. Les voyous jouent sur la désespérances de leurs victimes et il n’arrêteront pas de si tôt, surtout que c’est rentable…
Le 28/06/2017 à 19h10
Le 28/06/2017 à 19h28
De mémoire, il suffisait de reculer l’horloge pour avoir le temps de fixer le problème.
Le 28/06/2017 à 19h56
Au boulot nos sauvegardes sont faites dans le cloud via un logiciel automatique (mais uniquement si l’utilisateur l’installe ou en fait la demande). J’espère qu’en cas de cryptage il y a plusieurs sauvegardes… !
J’ai quand même une seconde sauvegarde pour la plupart de mes fichiers (type NAS qui permet de retrouver les fichiers dans des états plus anciens)
Le 28/06/2017 à 20h26
Y’avait plus simple: shutdown /a pour annuler l’arrêt système. Mais quand tu ne savais pas et que tu rencontrais le virus pour la première fois c’était sport.
Le 28/06/2017 à 21h09
Moi je trouve bien que la somme soit élevée mais raisonnable.
Les gens qui paient sont ceux qui ont des données précieuses ET qui n’ont pas sécurisé leurs données précieuses. Ca leur servira de leçon…
Bref, c’est une amende de 300$ pour non sécurisation de données.
Le 28/06/2017 à 23h19
Lol, c’est confirmé, le “ransomware” ne peut pas déchiffrer les données:https://blog.kaspersky.com/new-ransomware-epidemics/17314/
Kaspersky Lab researchers have analyzed the high-level code of the encryption routine and determined that after disk encryption, the threat actor could not decrypt victims’ disks. To decrypt, the threat actors need the installation ID. In previous versions of seemingly similar ransomware such as Petya/Mischa/GoldenEye, this installation ID contained the information necessary for key recovery.
ExPetr (aka NotPetya) does not have that installation ID, which means that the threat actor could not extract the necessary information needed for decryption. In short, victims could not recover their data.
Don’t pay the ransom. It won’t help.
Ça plus le système de paiement foireux: c’est pas un ransomware. ^^
Le 29/06/2017 à 00h36
Click droit, Propriétés, Options de compatiblité, Lancer en tant qu’administrateur.
" />
Le 29/06/2017 à 06h05
du coup, tu obtiens une chance sur dix de récupérer tes données (en arrondissant très, très très généreusement) et tu finances la location du botnet pour la prochaine attaque (je crois pas que ça coute beaucoup plus mais en vrai je n’en sais rien)
" />
Le 29/06/2017 à 06h14
Dans ma boîte il est interdit de mettre Java à jour… Sinon notre site métier ( qui tourne sur un serveur Windows 2000) n’est plus accessible.
Le 29/06/2017 à 06h18
Le 29/06/2017 à 06h23
Comment une entreprise peut-elle être infecté par virus dont la faille sur laquelle il repose à été bouchée il y a plusieurs mois et dont une exploitation publique d’envergure déjà eu lieu ?
J’ai envie de dire: bien fait pour leur gueule !
Et à ceux qui veulent payer: où sont vos backups ? (Et re-bien fait pour vos gueules).
Désolé si c’est méchant, mais à un moment peut-être que certains comprendront qu’il y a des règles de base en informatique.
Le 29/06/2017 à 06h46
oui..c’est “l’arroseur, arrosé” !
" />
ça n’aura servi qu’à emmerder tt. le monde…leur histoire !
Le 29/06/2017 à 07h04
même si on NE pense pas faire pas des sauvegardes régulièrement
(c’est un réflexe qui a du mal à s’imposer = flemme) ET qu’on en fait
qu’un fois tt. les 15 jours, si cela arrive*, au moins on aura pas
TOUT perdu (c’est déjà ça) !
* le vol
Le 29/06/2017 à 07h09
C’est surestimer les capacité réelles des entreprises à considérer leur IT correctement (il y a quelques cas où c’est correct… mais dans l’ensemble).
La premiere attaque a été arrêtée rapidement (l’achat du DNS qui a activé le kill switch). Beaucoup de boites ont joué à “bon ben on a pas été touché on a rien à faire”.
Un budget IT c’est entre 1%(industrie) et 5%(bancaire), la moyenne est plutôt à 2%. Les capacités ne sont pas infinies.
Le 29/06/2017 à 07h46
effectivement, j’ai lu pas mal de gens disant que ça ressemblait plus à une attaque déguisée en demande de rançon qu’à un truc vraiment fait pour rançonner.
" />
Pour l’attaque sur l’Ukraine, comme disait l’autre, “c’est normal en Russie”
Le 29/06/2017 à 08h09
Et bien tant qu’ils considéreront qu’un arrêt de production et une perte complète de leur outil informatique leur coûte moins cher que de maintenir à jour leur système, il n’en tient qu’à eux… Mais qu’ils ne viennent pas pleurer après.
Hier, j’en ai vu un qui pleurait parce qu’il avait perdu l’intégralité des données de sa TPE (2 PC). Tout ça parce que l’investissement de 100 balle pour 1 disque dur externe était trop élevé (alors que vu son téléphone, sa bagnole et son costume il en a parfaitement les moyens) … Et les mises jours Windows, ça prend trop de temps… On lui avait pourtant dit à la dernière perte de data, il y a 2 ans (Disque HS sur panne mécanique, 2500€ mini pour récupérer les data, qu’il n’a pas voulu payer).
Le 29/06/2017 à 08h12
Le 29/06/2017 à 08h42
Merci J&M
" />
Le 29/06/2017 à 09h28
Des infos complémentaires :
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-technique…
http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/index.html
Le 29/06/2017 à 09h40
Le 29/06/2017 à 11h21
J’attends une livraison d’un colis TNT Express expédié lundi…
Toute leur informatique est KO, ils ont coupé tous les PCs, les colis s’entassent dans les dépôts sans moyen de faire la liaison colis/livraison… ils ne savent pas où est réellement le colis actuellement…
Donc 0 livraison possible, Great !
Le 29/06/2017 à 15h11
je pensai à ces sociétés qui ne sauvegardent QUE tt. les mois (voir 3)
parfois*, ça peut être, assez, long de sauvegarder (et pourtant FAUDRAIT avoir ce réflexe) !
mais ……………..
* selon :
Le 29/06/2017 à 17h11
Moi ce qui me choque c’est que les boites utilisent Windaube :/
Le 29/06/2017 à 20h51
Si je comprend bien, un des vecteurs est lorsqu’un utilisateur en active directory serait non pas administrateur local de son poste mais administrateur du domaine entier ?
Le 30/06/2017 à 13h15
moi ce qui me choque c’est les linuxiens qui ne voient les choses que par leur bout de la lorgnette.
" />
Le 02/07/2017 à 08h00
Qui t’as parlé de Linux ?!
Et puis fais le tour des Os utilisés (serveur, box, tel, etc)
Le 28/06/2017 à 12h04
Merci qui !!
Le 28/06/2017 à 12h08
Moi se qui me choque, c’est déjà que dans beaucoup de boite ou j’ai bossé, en plus de pas avoir de Windows a jour et dans la dernier version, j’avais souvent les droits admins…
Le 28/06/2017 à 12h18
Je m’excuse mais je ne comprends pas comment le malware se repend.
Il arrive par mail via un fichier joins ? Attaque directement une faille Windows via le réseau?
Demande une opération de l’utilisateur pour infecter la machine ou peut-il le faire de lui même ?
Comment se propage t il ?
Le 28/06/2017 à 12h18
Merci pour cet article. Enfin un journal sérieux !
Le 28/06/2017 à 12h19
Je travaille pour le service informatique d’une boite, on est obligé de laisser les droits admin à nos users.
Nous avons des applis métier développées en interne et cela ne fonctionne pas avec de simple droits d’utilisateur.
De même le logiciel Netsetman par exemple, qui sert à activer tel ou tel profil IP sans passer par la carte réseau ne fonctionne pas si les droits d’admin ne sont pas donnés.
Soyons clairs, c’est la merde !
Le 28/06/2017 à 12h20
Le 28/06/2017 à 12h20
Le 28/06/2017 à 12h20
Si les mecs faisaient ça pour le fric ils doivent être bien gavés depuis que Posteo a fermé leur compte
" /> (Très bonne boite mail Posteo soit dit en passant !)
Le 28/06/2017 à 12h21
Ce genre d’attaque me fait bien marrer dans le sens où le souci est l’interface chaise clavier. Par exemple je ne compte plus les entreprises qui ne mettent ni Flash ni Java à jour alors que ce sont les plus gros vecteurs de virus, et ce même en l’absence de droits admin.
Le 28/06/2017 à 12h21
Merci pour les éléments technique, c’était difficile de trouver quoi que ce soit de cohérent (voire même de correct) sur beaucoup de sites d’info…
Le 28/06/2017 à 12h24
Tout pareil, compagnon d’infortune
" />
Le 28/06/2017 à 12h29
2 vecteurs de propagation:
Il suffit qu’un couillon utilisateur innocent et peu aguerri de la boite clique sur le fichier et c’est parti !
Le 28/06/2017 à 12h29
Ils ont quand même récolté presque 4 BTC sur cette adresse apparemment
Je ne sais pas si le lien que je donne est super fiable, je l’ai trouvé sur /r/sysadmin hier…
Le 28/06/2017 à 12h32
Oui, enfin, après, il y a des intermédiaires : tu peux donner des droits admin à une application, mais pas à l’utilisateur par exemple… (rencontré sur un logiciel pilotant un équipement)
Le 28/06/2017 à 12h33
Oui, pour des taches de secrétariats… L’administrateur ma répondu que de toute facons si on faisait que nôtre travail et rien d’autre sur le poste il n’y avait pas de risque.
Le 28/06/2017 à 12h34
Le script de vaccination à l’air sûre?
Le 28/06/2017 à 12h36
Oui, il l’est.
Le 28/06/2017 à 12h38
Le 28/06/2017 à 12h42
+1
" />
Le 28/06/2017 à 12h48
J’ai bien les droits admin sur mon pc de travail, je laisse quasiment personnes y toucher, tourne comme une horloge, fait un scan chaque vendredi, le soir et le week-end, on coupe tout. Le seul moyen de m’emmerder serait un vol (heureusement qu’on à des copie des données).
" />
Le 28/06/2017 à 12h49
Merci pour l’information, je me posais la question…
Le 28/06/2017 à 12h49
La conséquence la plus directe est qu’il n’existe actuellement plus aucun moyen de déchiffrer les données, que ce soit en se soumettant aux injonctions des pirates ou via un éventuel outil tiers. Posteo a indiqué de son côté qu’il s’agissait d’une procédure normale et que le compte avait été fermé dès que ses techniciens avaient repéré qu’il était utilisé par un ransomware, mais avant de découvrir qu’elle faisait partie d’une attaque mondiale.
Le 28/06/2017 à 13h02
certains - et non des moindres - pensent justement, la qualité du code étant tellement différente entre la partie malware et la partie paiement, qu’il s’agirait d’un malware ciblant principalement l’Ukraine (via MeDoc, qui est utilisé par toutes les institutions ukrainiennes et les boîtes bossant en Ukraine), déguisé en ransomware.
Le 28/06/2017 à 13h12
morceaux choisis:
" />
If this well engineered and highly crafted worm was meant to generate revenue, this payment pipeline was possibly the worst of all options (short of “send a personal cheque to: Petya Payments, PO Box …”)
The superficial resemblance to Petya is only skin deep. Although there is significant code sharing, the real Petya was a criminal enterprise for making money. This is definitely not designed to make money. This is designed to spread fast and cause damage, with a plausibly deniable cover of “ransomware.”
Rosneft, a Russian state controlled company (that does not use MeDoc), was also hit by the worm.
(…)
Curious that they were so poorly protected they got infected — especially since they aren’t connected to MeDoc (the initial infection vector) — however they were so well protected they were able to remediate the infection (which didn’t spread… although it can take out 5000 computers in less than 10 minutes.) It’s a miracle!
Le 28/06/2017 à 13h19
J’ai toujours du mal à voir comment un vecteur d’infection par une faille smb peut se transformer en catastrophe, il faut tout d’abord qu’un idiot exécute quelque chose derrière le firewall puisque ce sont des protocoles qui ne sont pas utilisés hors du réseau interne/local.
Alors évidemment, pour une entreprise, c’est vite arrivé, on a toujours un idiot, mais pour les particuliers, bah je ne sais pas trop, enfin si, il y a le même idiot infecté, mais je me demande où il a dégoté l’infection.