Depuis quelques heures, un ransomware semble faire de nombreuses victimes de par le monde et toucher de nombreuses entreprises, notamment en France : Petrwrap/Petya. La variante d'une attaque déjà vue il y a quelques temps.
Comme souvent dans ce genre de cas, tout n'est pas encore très clair pour le moment. Ce ransomware semble exploiter une faille similaire à WannaCrypt (voir notre analyse), la Police nationale évoquant de son côté l'utilisation du port 445 (celui de SMB) et le fait que toutes les versions de Windows sont concernées.
Dans tous les cas, le dispositif montre un fonctionnement différent, qui reproduit notamment l'apparence d'une vérification de la validité des données de Windows (chkdsk) alors que le chiffrement de vos données est en cours. Vous devrez ensuite payer une rançon (l'équivalent de 300 dollars en bitcoins) pour espérer les récupérer.
Comme toujours, il est recommandé de faire preuve de sang-froid et de patience. Ne payez pas la rançon. Vous devez aussi isoler les machines infectées et boucher les failles sur les autres système de votre réseau ou de votre entreprise qui pourraient être touchées.
En attendant notre analyse détaillée de cette campagne, vous pourrez retrouver les recommandations publiées par l'ANSSI.
Posted by the Deputy Prime Minister of #Ukraine, Pavlo Rozenko,
This is what's happening to government computers right now. pic.twitter.com/SxCudRt0AD— Christian Borys (@ItsBorys) 27 juin 2017
Commentaires (75)
#1
Lol, je viens de recevoir un mail de recommandation du service info de ma boite :) Sont réactifs !
#2
Cela serait un ransomware différent de Petya, il emploierait juste le même bootloader.
#3
#4
C’est vraiment une plaie que “SMB server” soit activé par défaut sur les PC windows (workstation). C’est le genre de service qui devrait être désactivé par défaut, et activé seulement après confirmation des risques encourus à partager un répertoire.
J’en viens a regretter FTP/SFTP. Le mieux serait un port win32/win64 de Samba… mais c’est pas d’actualité.
#5
En aparté du sujet, est ce qu’il y a un comparatif de IDS/IPS matériel quelque part à jour ? Ceci afin de bloquer des éventuels postes infectés qui se lancerait à crypter des partages réseaux.
#6
Avec le bulletin CERT sur les ransomwares juste paru aujourd’hui. Quelle proactivité!
" />
#7
D’ailleurs, il existe une méthode pour arrêter ce service ?
J’ai regardé dans ma liste, aucune mention d’un “serveur SMB”.
#8
“Et on remercie chaleureusement la NSA, sans qui rien n’aurait été possible”
#9
Bon, bien content d’être actuellement sur Linux (sauf pour cette sessions mais bon…)
#10
Avec un AV à jour et les mises à jour Windows appliquées (sur un Win avec support, donc pas XP…) ça devrait être OK, non ?
(Je parle pour mes collègues, j’suis pas sous Win)
#11
pour le désactiver complètement:
sc.exe config browser start= disabled
sc.exe config lanmanserver start= disabled
sinon un “net stop server /Y” devrait l’arrêter jusqu’au prochain reboot
Pour savoir les services/process à l’écoute sur un port TCP:
netstat -ano|find “LISTEN”
#12
#13
SMB sert à quoi pour un particulier ?
#14
A partager ses fichiers sur un réseau local sans que ça fasse 3 fois le tour des serveurs Google/Apple/Ms/autres
#15
#16
En complément :https://support.microsoft.com/fr-lu/help/2696547/how-to-enable-and-disable-smbv1…
Le problème par exemple en entreprise, c’est les copieurs mêmes récents qui ne supportent que le smb v1 et donc, impossible de le désactiver côté serveur.
#17
essaye de les connecter directement à un PC si possible
#18
Qu’en est il de la vulnérabilité de smb1 sur linux ?
J’ai l’impression que chaque article ne parle que de Windows, idem côté ANSSI.
#19
On peut même plus faire ses courses tranquille !!!
#20
#21
Des distributeurs automatique de billets sont aussi touchés :https://twitter.com/NewsReport365/status/879767948948385792
#22
La faille ne touche que Windows effectivement le problème étant uniquement ( et encore une fois) SMBv1 et 2 pas le 3. C’est la compatibilité avec les vieux matos et les constructeurs de matos fainéant qui font que ce protocole n’est toujours pas désactivé partout par défaut.
Pour information ceux qui ont des mises à jour de mois de trois mois sur Windows (mars) craignent au pire un écran bleu (sur Windows 7,8, server 2008r2, 2012r2). Pour ceux qui ont un mois de retard la faille est normalement bouchée définitivement (seconde vague de mise à jour de mai)
#23
#24
#25
Le mail pirate est inaccessible :https://twitter.com/Damien_Bancal/status/879786564490063872
#26
#27
Partage de fichiers
#28
Attention, Petya (nom de ce ransomware chez kaspersky) se propage aussi via PsExec (cf. outils sysinternals).
Un extrait d’un tweet très intéressant :
To quickly stop Petya right now - MS17-010 patch AND blocking ADMIN$ via GPO will stop lateral movement on WMI and PSEXEC.
#29
#Petya is using #eternalblue vulnerability to spread through firewalls and WMIC / PSEXEC to move internally. No clicking required. #infosec
#30
#31
Bonsoir à tous, un vrai kill switch a été trouvé : https://twitter.com/0xAmit/status/879778335286452224
Il suffit de créer un fichier perfc sans extension dans %windir%
#32
Vu sur twitter :
@hackerfantastic #Petya encrypts ON BOOT. If you see CHKDSK message your files not yet encrypted, power off immediately. You can recover with with LiveCD.
#33
#34
Mon entreprise a été TRÈS impactée par ce ransomware, avec des centaines voir des milliers de postes infectés, et je suis vraiment impressionné par la rapidité à laquelle il s’est propagé. D’autant plus que toutes les versions de windows semblent être touchées.
#35
Attention tout de même aux infos et photos trouvées ici ou là, particulièrement sur twitter, il semble y avoir BEAUCOUP de fake
" />
#36
Hello, à partir de la build 16626 de Windows 10 insider (actuellement sur le Fast Ring), SMBv1 est supprimé par défaut (uniquement sur les fresh installs, pas les in-place upgrade).
Windows 10 and SMB1: As part of a multi-year security plan, we are removing the SMB1 networking protocol from Windows by default. This build has this change, however the change only affects clean installations of Windows, not upgrades. We are making this change to reduce the attack surface of the OS. Here are some more details to take note of: All Home and Professional editions now have the SMB1 server component uninstalled by default. The SMB1 client remains installed. This means you can connect to devices from Windows 10 using SMB1, but nothing can connect to Windows 10 using SMB1. We still recommend you uninstall SMB1 if you are not using it. In a later feature update of Windows 10, we may uninstall SMB1 client if we detect that you are not using it. All Enterprise and Education editions have SMB1 totally uninstalled by default. The removal of SMB1 means the removal of the legacy Computer Browser service. The Computer Browser depends exclusively on SMB1 and cannot function without it. For more information on why SMB1 is being removed, see: https://aka.ms/stopusingsmb1For more information on software and devices that require SMB1, see https://aka.ms/stillneedssmb1. On peut donc s’attendre à ce que la mise à jour Fall Creators de Septembre bénéficie de cette suppression.
#37
#38
Donc si j’ai bien compris si notre w10 est à jour on risque rien ?
#39
Mais lol quoi la sncf encore touchée.
Ils sont vraiment mauvais partout ces cons là.
#40
Ce n’est pas un ransomeware mais un ransomeworm d’après expert BFMTV à l’instant: la menace se propage comme un vers sur tous le réseau et la menace est bien plus complexe que Wannacry. Pas sur que les dernière mises à jours soient efficace.
#41
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
Windows 8 and Windows Server 2012
Windows 8 and Windows Server 2012 introduce the new Set-SMBServerConfiguration Windows PowerShell cmdlet. The cmdlet enables you to enable or disable the SMBv1, SMBv2, and SMBv3 protocols on the server component.
Notes When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. This behavior occurs because these protocols share the same stack.
You do not have to restart the computer after you run the Set-SMBServerConfiguration cmdlet.
Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008
To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.
Windows PowerShell 2.0 or a later version of PowerShell
Note You must restart the computer after you make these changes.
#42
Selon un expert BFMTV ^^
#43
#44
c’est bien beau de dire “ouais suffit de désactiver SMB V1” quand toutes tes imprimantes sont partagées grâce à ce protocole ça change la donne…
#45
double post
#46
“browser”=“Explorateur d’ordinateur”: c’est une dépendance du service “lanmanserver”, il faut dont l’arrêter car il ne se lancera pas si on désactive “lanmanserver”. Pour la petite histoire, ce service permet la résolution de nom via le protocole NETBIOS… inutile sur les version modernes de windows (win2000 et +)
“lanmanserver “: c’est le service qui permet de partager un dossier local, de partager une imprimante locale et de permettre l’administration à distance (accès à distance au disque-dur, aux services, et au registre).
Note: L’accès à distance au bureau (Remote Desktop) reste opérationnel si on désactive “lanmanserver”
#47
#48
pour voir les services/process, comment arrêter le défilement en lançant netstat -ano|find “LISTEN”
netstat -ano|find “LISTEN”|more
#49
Il est plus facile de désactiver SMB sur linux je trouve. Même si c’est simple sur windows. ^^’ Enfin, pour moi en tout cas.
#50
#51
#52
Ah bordel… C’est vraiment relou de voir ça. Tu sais jamais si ton entreprise sera touché ou pas.
Pour le moment, tout est ok. Mais un jour….
#53
#54
pour le coup les ATM sous Windows ça m’a toujours bien fait flipper
" />
#55
J’informe mes proches…
On est bien d’accord que ce malware parle uniquement en anglais?
La capture d’écran devrait suffire à les avertir que quelque chose est mauvais.
#56
oui, et de toute façon une fois qu’on en est à cette étape on peut plus rien faire avec
" />
#57
Certes, mais s’ils éteignent leur machine des fichiers peuvent encore être sauvés ;)
#58
#59
#60
Personnellement, je n’arrive toujours pas à comprendre comment se propage ce virus. Autant avec Wanacry, on a su que les utilisateurs ont du dl des fichiers vérolés.
Là, j’ai pas l’impression que ce soit le cas mais je n’en suis pas sûr. De plus, est-ce que les patchs ont corrigé la faille exploitée?
Je suis un peu dans le flou pour dire ce qu’il y a ou pas à faire pour s’en prémunir…
#61
C’était le cas, mais il y a environ un an les DAB sont passé sous IP.
Par contre cette variante ne serait pas la même que Petya de 2016..donc on
risque de perdre plus que le MBR ?
#62
#63
Quel bordel encore.
#64
#65
C’est quand même flippant ce genre de délire… Depuis que l’argent est devenu roi sur internet j’ai jamais l’impression de me sentir en sécurité. En plus avec cette bouse qu’est le bitcoin c’est devenu bien trop facile de demander une rançon :/
J’ai une question con les mec à propos de ce genre de faille : Quid d’une installation en cours d’un windows ? A l’époque de blaster je me suis fait infecté environ 5 minutes après l’installation de windows, pas le temps d’installer les mise à jours. J’ai du formater puis réinstaller offline avant d’installer un firewall puis de faire les mise à jours. Ce genre de connerie peut également fonctionner ici ?
#66
#67
donc MeDoc, c’est de la mauvaise médecine
#68
#69
#70
Merci de ton explication.
#71
Du coup, c’est beaucoup plus clair. Merci !
" />
#72
je valide aussi
" />
#73
Patch ?!
Anssi soit il….
#74