Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Ransomware Petrwrap/Petya : les recommandations de l'ANSSI

Patch ! Patch ! Patch !
Internet 1 min
Ransomware Petrwrap/Petya : les recommandations de l'ANSSI
Crédits : kaptnali/iStock

Depuis quelques heures, un ransomware semble faire de nombreuses victimes de par le monde et toucher de nombreuses entreprises, notamment en France : Petrwrap/Petya. La variante d'une attaque déjà vue il y a quelques temps.

Comme souvent dans ce genre de cas, tout n'est pas encore très clair pour le moment. Ce ransomware semble exploiter une faille similaire à WannaCrypt (voir notre analyse), la Police nationale évoquant de son côté l'utilisation du port 445 (celui de SMB) et le fait que toutes les versions de Windows sont concernées.

Dans tous les cas, le dispositif montre un fonctionnement différent, qui reproduit notamment l'apparence d'une vérification de la validité des données de Windows (chkdsk) alors que le chiffrement de vos données est en cours. Vous devrez ensuite payer une rançon (l'équivalent de 300 dollars en bitcoins) pour espérer les récupérer.

Comme toujours, il est recommandé de faire preuve de sang-froid et de patience. Ne payez pas la rançon. Vous devez aussi isoler les machines infectées et boucher les failles sur les autres système de votre réseau ou de votre entreprise qui pourraient être touchées.

En attendant notre analyse détaillée de cette campagne, vous pourrez retrouver les recommandations publiées par l'ANSSI.

75 commentaires
Avatar de Toorop2004 Abonné
Avatar de Toorop2004Toorop2004- 27/06/17 à 18:04:25

Lol, je viens de recevoir un mail de recommandation du service info de ma boite :) Sont réactifs !

Avatar de RaoulC INpactien
Avatar de RaoulCRaoulC- 27/06/17 à 18:21:08

Cela serait un ransomware différent de Petya, il emploierait juste le même bootloader.
 

Avatar de David_L Équipe
Avatar de David_LDavid_L- 27/06/17 à 18:22:37

RaoulC a écrit :

Cela serait un ransomware différent de Petya, il emploierait juste le même bootloader.
 

Oui j'ai vu des choses aussi dans ce sens, après comme dit, on reste encore relativement dans le flou, on verra pour être plus précis une fois que tout sera un peu plus décortiqué et qu'on aura un minimum de recul :chinois:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 27/06/17 à 18:29:54

C'est vraiment une plaie que "SMB server" soit activé par défaut sur les PC windows (workstation). C'est le genre de service qui devrait être désactivé par défaut, et activé seulement après confirmation des risques encourus à partager un répertoire.

J'en viens a regretter FTP/SFTP. Le mieux serait un port win32/win64 de Samba... mais c'est pas d'actualité.

Avatar de lansing Abonné
Avatar de lansinglansing- 27/06/17 à 18:31:22

En aparté du sujet, est ce qu'il y a un comparatif de IDS/IPS matériel quelque part à jour ? Ceci afin de bloquer des éventuels postes infectés qui se lancerait à crypter des partages réseaux.

Avatar de CUlater INpactien
Avatar de CUlaterCUlater- 27/06/17 à 18:34:16

Avec le bulletin CERT sur les ransomwares juste paru aujourd'hui. Quelle proactivité!:fumer:

Avatar de Arcy Abonné
Avatar de ArcyArcy- 27/06/17 à 18:35:18

D'ailleurs, il existe une méthode pour arrêter ce service ?
J'ai regardé dans ma liste, aucune mention d'un "serveur SMB".

Avatar de GrosBof Abonné
Avatar de GrosBofGrosBof- 27/06/17 à 18:35:20

"Et on remercie chaleureusement la NSA, sans qui rien n'aurait été possible"

Avatar de aldwyr Abonné
Avatar de aldwyraldwyr- 27/06/17 à 18:39:12

Bon, bien content d'être actuellement sur Linux (sauf pour cette sessions mais bon...)

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 27/06/17 à 18:39:58

Avec un AV à jour et les mises à jour Windows appliquées (sur un Win avec support, donc pas XP…) ça devrait être OK, non ?

(Je parle pour mes collègues, j'suis pas sous Win)

Il n'est plus possible de commenter cette actualité.
Page 1 / 8