Petya, le plus vicieux des Ransomwares frappe encore.

ransomware eye looks at viewer concept.Un Ransomware est un logiciel malveillant qui crypte tous vos fichiers et vous demande de payer une certaine somme d’argent pour acquérir la clé de décryptage.

Ce type de malware devient de plus en plus en vogue depuis maintenant quelques années, spécialement car, les profits générés par une campagne réussie peuvent être très rentables.

Un nombre très élevé d’attaques aux Ransomwares s’est produit le mois dernier sous la forme de WannaCry. Infectant des centaines de milliers d’ordinateurs et interrompu globalement leurs travaux.

Cette ‘’ Race ‘’ De  Ransomware a été remarquable grâce à, ou plutôt à cause de, son aptitude à infecter les autres ordinateurs depuis un réseau local ou internet, lui permettant ainsi de se propager de façon fulgurante.

Petya est une famille particulière des malwares qui s’est faite connaître par sa nature impitoyable.

Alors que la plupart des types de ransomware infectent simplement les fichiers, permettant quand même à l’utilisateur de disposer de son ordinateur, Petya écrase le secteur de démarrage de votre ordinateur, créant ainsi un tout nouveau système d’exploitation.

Ce dernier se charge lui-même du cryptage des données.

Récemment, une énorme vague de malwares de type Petya s’est produite, infectant de la même manière que WannaCry. Une vague similaire avait déjà frappé Internet en avril 2016.

Cette fois-ci, l’attaque était centrée en Ukraine, mais bien évidemment, elle ne s’est pas arrêtée aux frontières du pays. Basiquement, Le nouveau Petya est un malicieux hybride entre l’ancien Petya et WannaCry.

Se propageant d’ordinateur à ordinateur via un document Office, une fois en place, le malware tente d’infecter d’autres ordinateurs via MS17-010 ( Le protocole WannaCry développé par la NSA ) Et des outils système comme PsExec  et WMI ( Ils permettent aux utilisateurs de contrôler à distance leurs systèmes ).

Comment le logiciel s’y prend-t’il ? Tout comme la précédente attaque, le noyau Petya dirige tout. Dans le cache d’une machine, se trouvent parfois des informations d’identification d’administrateurs, si ces informations existent, le logiciel malveillant s’en empare et les utilise pour s’authentifier sur d’autres machines, s’il y en a.

C’est une approche très brillante : Infecter les ordinateurs sans protection pour acquérir les mots de passe des autres ordinateurs protégés.

Comment les gens sont infectés ?

Pour le moment, il semblerait que Petya utilise un bug précédemment corrigé : MS17-010, pour se propager. Initialement, Petya se retrouve sur un ordinateur par l’intermédiaire d’un document Wordpad ou Microsoft Office infecté.

Partageable d’une multitude de façons, la plus probable reste le fait de lier le fichier avec un mail malveillant ( Une stratégie d’attaque très commune ). Une fois le fichier ouvert, ce dernier télécharge le virus sur votre ordinateur et l’exécute.

Dès qu’une machine est infectée, le virus utilisera un bug SMB v1 connu pour infecter d’autres ordinateurs. Cette prouesse, nommée MS17-010, est la même que celle utilisée par la campagne WannaCry le mois dernier.

Si le virus atteint un ordinateur vulnérable, il infectera les machines à distance en utilisant l’implémentation SMB v1. Le plus gros souci est que le virus n’a besoin d’aucune permission système pour faire cela.

De plus, via le WMI, Petya traque les informations de connexion des réseaux pour infecter via ces derniers, les ordinateurs.

Cela signifie que même si vous êtes totalement protégés contre le MS17-010, vous courrez quand même le risque d’être infectés.

Il faut donc réduire le plus possible la surface d’infection. Protégez-vous à l’aide de nos antivirus : [ANTIVIRUS_1], [ANTIVIRUS_2] ainsi que [ANTIVIRUS_3].

Que pouvez-vous faire contre Petya ?

Si vous êtes déjà infectés, nous avons le regret de vous apprendre qu’actuellement, il n’y a aucun moyen de récupérer vos données. Vous devrez alors soit restaurer vos sauvegardes – Nous espérons que vous en avez fait-, soit formater votre PC.

Si votre ordinateur crashe et affiche le ‘’ Blue Screen of Death  ‘’ L’écran bleu que l’on redoute tous. Ne laissez sous aucune circonstance la possibilité à Windows de redémarrer.

Petya commence à crypter vos données une fois que votre machine redémarre, ce qui les rend impossibles à récupérer. Au lieu de ça, utilisez un CD ou flash-disque Linux live pour sauvegarder vos données. Vous pouvez également cloner votre disque dur pour une récupération de données ultérieure.

Si vous n’êtes pas encore infectés, protégez votre machine. Cela n’éliminera pas totalement la possibilité d’être infecté, mais réduira considérablement vos risques de l’être. Voici les patchs que vous devez installer, selon votre système d’exploitation :

Système Dernière mise à jour de Sécurité Mise à jour Autonome
Windows 10 / Server 2016 v1703 Vous êtes déjà en sécurité, mais patchez tout de même votre machine. N/A
Windows 10 / Server 2016 v1607 KB4022715 (OS Build 14393.1358) N/A
Windows 10 / Server 2016 v1511 KB4022714 N/A
Windows 10 / Server 2016 Version de Base KB4022727 N/A
Windows 8.1 / Server 2012 R2 KB4022717

 

KB4012213
Windows Server 2012 KB4022718 KB4012214
Windows 8 N/A KB4012598
Windows 7 / Server 2008 R2 KB4022722 KB4012212
Windows Vista / Server 2008 N/A KB4012598
Windows XP / Server 2003 N/A KB4012598

WMI/PsExec

Il semblerait que le cryptage ne fonctionnera pas si un certain fichier (C:\Windows\perfc) Existe et est marqué en ‘’ Lecture Seule ‘’. Suivez ces étapes pour créer le fichier :

  1. Ouvrez un invité de commande avec les droits d’administration. Vous pouvez appuyer simultanément sur les touches Windows et R de votre clavier, ou bien : Pour les utilisateurs de Windows XP à Windows 7, ouvrez le menu Démarrer, allez dans Tous les Programmes Accessoires, faites un clic droit sur Invité de Commande et sélectionnez ‘’ Exécuter en tant qu’administrateur ‘’. Pour les utilisateurs de Windows 8 et plus, faites un clic droit sur le bouton Démarrer et sélectionnez ‘’ Invité de Commande (Admin) ‘’.
  2. Exécutez les lignes de commandes suivantes :

echo Petya/NotPetya vaccination file > C:\Windows\perfc

echo Petya/NotPetya vaccination file > C:\Windows\perfc.dat

echo Petya/NotPetya vaccination file > C:\Windows\perfc.dll

     3. Et après cela, celles-ci :

attrib +R C:\Windows\perfc

attrib +R C:\Windows\perfc.dat

attrib +R C:\Windows\perfc.dll

Une fois terminé, vous devriez être totalement protégés de Petya. Pour une surcouche de protection, téléchargez l’un de nos antivirus performants ! [ANTIVIRUS_1], [ANTIVIRUS_2] ainsi que [ANTIVIRUS_3] !