Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avira : Petya contre-attaque

juin 2017 par Avira

Cette fois-ci, il ne s’agit pas que d’Eternal Blue. Petya contre-attaque et le virus ne cible pas que ceux qui n’ont pas mis à jour leurs logiciels. Le géant du transport cargo Maersk et les systèmes de détection des radiations de Tchernobyl font déjà partie des victimes. Cette vague de rançongiciel semble être dirigée contre l’Ukraine, mais les nouvelles tactiques prouvent à tous les utilisateurs d’ordinateurs qu’il ne suffit plus de mettre à jour son système pour se défendre.

Vous êtes déjà protégé(e)

Ce rançongiciel est déjà détecté et bloqué par Avira. Le Laboratoire de protection Avira a détecté trois variantes du rançongiciel le 27 juin.

« Nous avons détecté tous les cas sans avoir besoin de mettre à jour le composant NightVision d’apprentissage automatique. » — Matthias Ollig, directeur technique d’Avira

Deux accès à votre ordinateur

Petya infecte les ordinateurs par deux moyens principaux.
Premièrement, Petya s’est diffusé en exploitant la vulnérabilité EternalBlue qui a fait connaître le rançongiciel WannaCry. Cet accès est risqué principalement pour les ordinateurs sur lesquels le correctif n’a pas été installé pour corriger la vulnérabilité. L’attaque EternalBlue fonctionne à la fois sur les connexions Internet et LAN.

Deuxièmement, le cheval de Troie recueille les identifiants de connexion Windows stockés au niveau local et les utilise au sein de l’outil PSEXEC. C’est un outil standard, utilisé généralement par les administrateurs système pour exécuter d’autres outils sur des machines distantes auxquelles ils ont accès ou doivent se connecter. Cette méthode fonctionne même si le système est entièrement corrigé, car PSEXEC n’est pas un exploit mais un outil standard de Microsoft et SysInternals.

« Après avoir déchiffré totalement le cheval de Troie, nous nous sommes rendu compte que non seulement il utilise l’exploit EternalBlue, mais qu’il contient également la porte dérobée DoublePulsar de la NSA. Nous sommes surpris de constater qu’après le fiasco de WannaCry, il y ait toujours autant de machines sans les dernières mises à jour de sécurité de Windows qui restent connectées à Internet, surtout dans des environnements vitaux. » — Matthias Ollig, directeur technique d’Avira

10 minutes pour un rançongiciel

L’exploit exécute l’échantillon de malware via RUNDLL32.EXE car le fichier est un fichier DLL. Puis le cheval de Troie écrit le code MBR malveillant et programme une tâche qui force le redémarrage de la machine au bout de 10 minutes. Suite à cela, un faux écran de réparation du système s’affiche, le voilà ci-dessous :

S’il a terminé, l’écran de verrouillage final s’affiche avec du texte en rouge.

Connexions inconnues

Les détections de Petya se concentrent sur certaines langues et certains systèmes d’exploitation. Au sein des détections cloud d’Avira, nous avons constaté la distribution suivante du paramètre de langue locale de Windows :
• ru 1 512
• uk 918
• pt 13
• en 7
• de 2
• fr 1

La majorité des utilisateurs avaient des paramètres de langue russe ou ukrainien et vivaient probablement dans les pays associés. Cependant, étant donné qu’il ne s’agit pas de la géolocalisation, il pourrait s’agir d’utilisateurs en Ukraine utilisant la langue russe sur leur machine. Les ordinateurs affectés par Petya étaient principalement de vieux systèmes Windows dotés de Windows 7 et 8 :
• Win7 SP1 2 139
• Win7 SPO 181
• Win 8.1 119
• Win Server 2003 14
• Win 8.2 2

La meilleure défense contre Petya

La première stratégie, et la plus importante, est d’installer toutes les mises à jour. Petya utilise un exploit du réseau, aussi l’utilisateur final n’a pas besoin d’ouvrir ou de cliquer sur un lien, la machine s’infecte seule sans interaction de l’utilisateur.

La mise à jour de vos logiciels et l’application des correctifs appropriés ne sont pas de simples améliorations de convenance. Elles sont absolument essentielles à votre sécurité en ligne compte tenu du nombre d’applications installées sur tout ordinateur, qui impliquent des centaines de mises à jour et de correctifs par an. Si certaines mises à jour sont automatiques, dans de nombreux cas l’utilisateur est contraint de rechercher et de télécharger par lui-même les éléments nécessaires. Et beaucoup s’agacent de l’affichage intempestif de fenêtres contextuelles ou ne sont pas sûrs de la fréquence idéale de mise à jour, et renoncent ainsi à des mises à jour régulières, au risque de s’exposer et d’exposer leurs ordinateurs aux menaces. Devant ce constat de haute vulnérabilité, Avira a lancé une version gratuite de Software Updater afin d’améliorer la sécurité des utilisateurs. La version premium est capable d’assurer l’intégralité du processus de mise à jour en mode de pilotage automatique.


* Toutes les statistiques de détection datent du 27 juin 2017.


Voir les articles précédents

    

Voir les articles suivants