Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sophos revient sur l’attaque ransomware Petrwrap

juin 2017 par Michel Lanaspèze, Head of Marketing Western Europe

L’attaque a infecté les compagnies aériennes, les banques et les fournisseurs à travers l’Europe et spécifiquement à l’intérieur du gouvernement, des banques, fournisseurs publics ukrainiens et l’aéroport et le système de métro de Kiev. Les experts de la technologie ont identifié le virus comme étant Petrwrap une extension du ransomware Petya. L’attaque affecte les serveurs Windows, les PCs et les ordinateurs portable.

Michel Lanaspèze, Head of Marketing Western Europe, commente : « La nouveauté avec cette nouvelle menace, est qu’elle intègre à présent l’exploit EternalBlue comme moyen de se propager au sein d’un réseau ciblé. L’exploit en question attaque le service Windows Server Message Block (SMB), qui sert à partager des fichiers et des imprimantes sur les réseaux locaux.

Le ransomware Petya tente également de se diffuser en interne en cassant les mots de passe administrateurs et en infectant d’autres ordinateurs sur le réseau par le biais d’outils d’administration à distance. Il peut également se propager en interne en infectant les partages de réseau sur d’autres ordinateurs. Il fonctionne en utilisant un code pour voler des identifiants et forcer l’accès à des comptes utilisateur en cassant les mots de passe et déployant ensuite le ransomware. Pour infecter les ordinateurs distants, il se diffuse avec un outil d’administration distant officiel intégré, appelé PsExec, provenant de la suite SysInternals de Microsoft.

Pour se protéger au mieux dès maintenant, il faut s’assurer que les systèmes ont reçu les derniers correctifs, y compris celui en provenance du bulletin MS17-010 de Microsoft, et envisager de bloquer l’utilisation de l’outil Microsoft PsExec sur les ordinateurs des utilisateurs. Une version de cet outil est utilisée dans le cadre d’une autre technique d’attaque utilisée par Petya pour se propager automatiquement. Les entreprises et les particuliers doivent sauvegarder régulièrement et gardez une copie récente hors ligne ; par ailleurs, chiffrer ses sauvegardes permet de se protéger si celles-ci tombent entre de mauvaises mains. Il faut éviter d’ouvrir des pièces jointes envoyées par email et en provenance de destinataires inconnus. Enfin, de nombreuses solutions existent pour se protéger contre les ransomwares en bloquant le chiffrement non autorisé des fichiers et des secteurs sur le disque dur. »




Voir les articles précédents

    

Voir les articles suivants