28 Juin 2017

New Petya / NotPetya / ExPetr : Nouvelle épidémie de ransomware

Actualité Menaces Sécurité

(Mis à jour à 13h30)

Il y a seulement quelques heures, une épidémie de ransomware internationale a fait son apparition et elle s’annonce aussi importante que celle de WannaCry qui a fait rage il n’y a pas très longtemps.

Ces quelques heures ont été suffisantes pour que plusieurs grandes entreprises originaires de pays différents soient infectées, la magnitude de l’épidémie ayant de grandes chances de prendre encore plus d’ampleur.

Nous ne sommes pas encore certains de ce qu’est le nouveau ransomware. Certains pensent qu’il pourrait s’agir d’une variation de Petya (telle que Petya.A, Petya.D ou PetrWrap), ou qu’il pourrait s’agir de WannaCry (mais ce n’est pas le cas). Les experts de Kaspersky Lab étudient actuellement la nouvelle menace : nous mettrons à jour cet article dès qu’ils auront des informations solides.

Cette attaque complexe semble impliquer plusieurs vecteurs d’attaque. Nous pouvons confirmer qu’une version modifiée de l’exploit EternalBlue est utilisée afin que le ransomware se propage, ne serait-ce que sur les réseaux d’entreprises. Plus d’informations techniques sur l’attaque ici (en anglais).

Pour le moment, sachez que les logiciels de Kaspersky Lab détectent le nouveau ransomware grâce au Kaspersky Security Network (KSN) avec le verdict suivant :

  • uds:dangerousobject.multi.generic.
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • PDM:Trojan.Win32.Generic (detected by the System Watcher feature)
  • PDM:Exploit.Win32.Generic (detected by the System Watcher feature)

Ce que nous recommandons à nos clients Entreprise :

  1. Assurez-vous que les fonctions Kaspersky Security Network et System Watcher sont activées.
  2. Mettez à jour manuellement les bases de données antivirus.
  3. Installez toutes les mises à jour de sécurité pour Windows. Celle qui corrige les failles exploitées par EternalBlue est particulièrement importante.
  4. En tant que moyen de protection supplémentaire, vous pouvez utiliser le contrôle de l’activité des applications, qui est un composant de Kaspersky Endpoint Security, pour refuser tout accès (et donc la possibilité d’interaction ou d’exécution) pour tous les groupes d’applications au fichier avec le Nom perfc.dat et empêcher l’utilisation de l’utilitaire PSExec (qui fait partie de la Suite Sysinternals).
  5. Sinon, utilisez le composant Contrôle du lancement des applications de Kaspersky Endpoint Security pour bloquer l’exécution de l’utilitaire PSExec, mais veuillez utiliser le contrôle de privilège d’application pour bloquer perfc.dat.
  6. Configurez et activez le mode Refus par Défaut dans le composant Contrôle du lancement des applications de Kaspersky Endpoint Security pour assurer une défense proactive contre cette attaque et d’autres.
  7. Vous pouvez également utiliser la fonction AppLocker pour désactiver l’exécution du fichier perfc.dat précité et de l’utilitaire PSExec.

Conseils pour les clients particuliers

Les utilisateurs particuliers semblent être moins affectés par cette menace; Les cybercriminels derrière elle ont ciblé les plus grandes entreprises. Cependant, une protection efficace ne fait jamais mal.

Voici ce que vous pouvez faire:

  1. Sauvegardez vos données. C’est toujours une bonne chose à faire peu importe la période.
  2. Si vous utilisez une de nos solutions de sécurité, assurez-vous que les composants Kaspersky Security Network et System Watcher sont activés.
  3. Mettez à jour manuellement les bases de données antivirus. Sérieusement, faites-le maintenant ! Cela ne prendra pas beaucoup de votre temps. Installez toutes les mises à jour de sécurité pour Windows. Celle qui corrige les failles exploitées par EternalBlue est particulièrement importante. Voici comment faire.

Ne payez pas la rançon

Selon une information publiée sur Motherboard, le service de messagerie allemand Posteo a désactivé l’adresse mail que les victimes étaient supposées contacter afin d’être en relation avec les cybercriminels, confirmer les transactions Bitcoin et recevoir les clés de déchiffrement. Ce qui signifie que les victimes qui étaient prêtes à payer les hackers ne peuvent plus récupérer leurs fichiers. Kaspersky Lab ne recommande pas de payer la rançon et dans ce cas, il semblerait que cela soit de toute façon en vain.

(Dernière mise à jour)

L’analyse de nos experts indique qu’il y avait peu d’espoir pour les victimes de récupérer leurs données.

Les chercheurs de Kaspersky Lab ont analysé le code de haut niveau de cryptage et ont déterminé qu’après le chiffrement du disque, l’auteur de la menace ne pouvait pas déchiffrer les disques des victimes. Pour décrypter, ils ont besoin de l’ID d’installation. Dans les versions antérieures des ransomware semblables tels que Petya / Mischa / GoldenEye, cette ID d’installation contenait les informations nécessaires à la récupération des clés de décryptage.

ExPetr (aka NotPetya) n’a pas cet ID d’installation, ce qui signifie que l’auteur de la menace ne peut pas extraire les informations nécessaires pour le décryptage. Bref, les victimes ne pourraient pas récupérer leurs données.

Ne payez pas la rançon. Cela ne vous aidera pas.