Depuis quelques heures, un ransomware semble faire de nombreuses victimes de par le monde et toucher de nombreuses entreprises, notamment en France : Petrwrap/Petya. La variante d'une attaque déjà vue il y a quelques temps.
Comme souvent dans ce genre de cas, tout n'est pas encore très clair pour le moment. Ce ransomware semble exploiter une faille similaire à WannaCrypt (voir notre analyse), la Police nationale évoquant de son côté l'utilisation du port 445 (celui de SMB) et le fait que toutes les versions de Windows sont concernées.
Dans tous les cas, le dispositif montre un fonctionnement différent, qui reproduit notamment l'apparence d'une vérification de la validité des données de Windows (chkdsk) alors que le chiffrement de vos données est en cours. Vous devrez ensuite payer une rançon (l'équivalent de 300 dollars en bitcoins) pour espérer les récupérer.
Comme toujours, il est recommandé de faire preuve de sang-froid et de patience. Ne payez pas la rançon. Vous devez aussi isoler les machines infectées et boucher les failles sur les autres système de votre réseau ou de votre entreprise qui pourraient être touchées.
En attendant notre analyse détaillée de cette campagne, vous pourrez retrouver les recommandations publiées par l'ANSSI.
Posted by the Deputy Prime Minister of #Ukraine, Pavlo Rozenko,
— Christian Borys (@ItsBorys) 27 juin 2017
This is what's happening to government computers right now. pic.twitter.com/SxCudRt0AD