{"id":9226,"date":"2017-06-28T08:05:42","date_gmt":"2017-06-28T08:05:42","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9226"},"modified":"2019-11-22T09:04:32","modified_gmt":"2019-11-22T09:04:32","slug":"new-ransomware-epidemics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/new-ransomware-epidemics\/9226\/","title":{"rendered":"New Petya \/ NotPetya \/ ExPetr : Nouvelle \u00e9pid\u00e9mie de ransomware"},"content":{"rendered":"<p>(Mis \u00e0 jour \u00e0 13h30)<\/p>\n<p>Il y a seulement quelques heures, une \u00e9pid\u00e9mie de ransomware internationale a fait son apparition et elle s\u2019annonce aussi importante que celle de <a href=\"https:\/\/www.kaspersky.fr\/blog\/wannacry-are-you-safe\/6982\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a> qui a fait rage il n\u2019y a pas tr\u00e8s longtemps.<\/p>\n<p>Ces quelques heures ont \u00e9t\u00e9 suffisantes pour que plusieurs grandes entreprises originaires de pays diff\u00e9rents soient infect\u00e9es, la magnitude de l\u2019\u00e9pid\u00e9mie ayant de grandes chances de prendre encore plus d\u2019ampleur.<\/p>\n<p>Nous ne sommes pas encore certains de ce qu\u2019est le nouveau ransomware. Certains pensent qu\u2019il pourrait s\u2019agir d\u2019une variation de <a href=\"https:\/\/www.kaspersky.fr\/blog\/petya-ransomware\/5481\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a> (telle que Petya.A, Petya.D ou PetrWrap), ou qu\u2019il pourrait s\u2019agir de <a href=\"https:\/\/www.kaspersky.fr\/blog\/wannacry-are-you-safe\/6982\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a> (mais ce n\u2019est pas le cas). Les experts de Kaspersky Lab \u00e9tudient actuellement la nouvelle menace : nous mettrons \u00e0 jour cet article d\u00e8s qu\u2019ils auront des informations solides.<\/p>\n<p>Cette attaque complexe semble impliquer plusieurs vecteurs d\u2019attaque. Nous pouvons confirmer qu\u2019une version modifi\u00e9e de l\u2019exploit EternalBlue est utilis\u00e9e afin que le ransomware se propage, ne serait-ce que sur les r\u00e9seaux d\u2019entreprises. <a href=\"https:\/\/securelist.com\/schroedingers-petya\/78870\/\" target=\"_blank\" rel=\"noopener\">Plus d\u2019informations techniques sur l\u2019attaque ici<\/a> (en anglais).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-9228\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/06\/28080525\/wannamore-ransomware-screenshot.jpg\" alt=\"\" width=\"1280\" height=\"745\"><\/p>\n<p>Pour le moment, sachez que les logiciels de Kaspersky Lab d\u00e9tectent le nouveau ransomware gr\u00e2ce au Kaspersky Security Network (KSN) avec le verdict suivant :<\/p>\n<ul>\n<li>uds:dangerousobject.multi.generic.<\/li>\n<li>Trojan-Ransom.Win32.ExPetr.a<\/li>\n<li>HEUR:Trojan-Ransom.Win32.ExPetr.gen<\/li>\n<li>PDM:Trojan.Win32.Generic (detected by the System Watcher feature)<\/li>\n<li>PDM:Exploit.Win32.Generic (detected by the System Watcher feature)<\/li>\n<\/ul>\n<h3>Ce que nous recommandons \u00e0 nos clients Entreprise :<\/h3>\n<ol>\n<li>Assurez-vous que les fonctions Kaspersky Security Network et System Watcher sont activ\u00e9es.<\/li>\n<li>Mettez \u00e0 jour manuellement les bases de donn\u00e9es antivirus.<\/li>\n<li>Installez toutes les mises \u00e0 jour de s\u00e9curit\u00e9 pour Windows. Celle qui corrige les failles exploit\u00e9es par EternalBlue est particuli\u00e8rement importante.<\/li>\n<li>En tant que moyen de protection suppl\u00e9mentaire, vous pouvez utiliser le <a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/fr-FR\/39265.htm\" target=\"_blank\" rel=\"noopener nofollow\">contr\u00f4le de l\u2019activit\u00e9 des applications<\/a>, qui est un composant de Kaspersky Endpoint Security, pour <a href=\"http:\/\/support.kaspersky.com\/fr\/10905#block1\" target=\"_blank\" rel=\"noopener\">refuser tout acc\u00e8s<\/a> (et donc la possibilit\u00e9 d\u2019interaction ou d\u2019ex\u00e9cution) pour tous les groupes d\u2019applications au fichier avec le Nom <em>perfc.dat<\/em> et emp\u00eacher l\u2019utilisation de l\u2019utilitaire PSExec (qui fait partie de la Suite Sysinternals).<\/li>\n<li>Sinon, utilisez le composant <a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/fr-FR\/129102.htm\" target=\"_blank\" rel=\"noopener nofollow\">Contr\u00f4le du lancement des applications<\/a> de Kaspersky Endpoint Security pour bloquer l\u2019ex\u00e9cution de l\u2019utilitaire PSExec, mais veuillez utiliser le contr\u00f4le de privil\u00e8ge d\u2019application pour bloquer <em>perfc.dat<\/em>.<\/li>\n<li>Configurez et activez le mode Refus par D\u00e9faut dans le composant Contr\u00f4le du lancement des applications de Kaspersky Endpoint Security pour assurer une d\u00e9fense proactive contre cette attaque et d\u2019autres.<\/li>\n<li>Vous pouvez \u00e9galement utiliser la fonction AppLocker pour d\u00e9sactiver l\u2019ex\u00e9cution du fichier <em>perfc.dat<\/em> pr\u00e9cit\u00e9 et de l\u2019utilitaire PSExec.<\/li>\n<\/ol>\n<h3>Conseils pour les clients particuliers<\/h3>\n<p>Les utilisateurs particuliers semblent \u00eatre moins affect\u00e9s par cette menace; Les cybercriminels derri\u00e8re elle ont cibl\u00e9 les plus grandes entreprises. Cependant, une protection efficace ne fait jamais mal.<\/p>\n<p>Voici ce que vous pouvez faire:<\/p>\n<ol>\n<li>Sauvegardez vos donn\u00e9es. C\u2019est toujours une bonne chose \u00e0 faire peu importe la p\u00e9riode.<\/li>\n<li>Si vous utilisez une de nos solutions de s\u00e9curit\u00e9, assurez-vous que les composants Kaspersky Security Network et System Watcher sont activ\u00e9s.<\/li>\n<li>Mettez \u00e0 jour manuellement les bases de donn\u00e9es antivirus. <strong>S\u00e9rieusement, faites-le maintenant !<\/strong>\u00a0Cela ne prendra pas beaucoup de votre temps. Installez toutes les mises \u00e0 jour de s\u00e9curit\u00e9 pour Windows. Celle qui corrige les failles exploit\u00e9es par EternalBlue est particuli\u00e8rement importante. <a href=\"https:\/\/www.kaspersky.fr\/blog\/wannacry-windows-update\/7680\/\" target=\"_blank\" rel=\"noopener\">Voici comment faire.<\/a><\/li>\n<\/ol>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n<h3>Ne payez pas la ran\u00e7on<\/h3>\n<p>Selon une information publi\u00e9e sur <a href=\"https:\/\/motherboard.vice.com\/en_us\/article\/new8xw\/hacker-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid\" target=\"_blank\" rel=\"noopener nofollow\">Motherboard<\/a>, le service de messagerie allemand Posteo a d\u00e9sactiv\u00e9 l\u2019adresse mail que les victimes \u00e9taient suppos\u00e9es contacter afin d\u2019\u00eatre en relation avec les cybercriminels, confirmer les transactions Bitcoin et recevoir les cl\u00e9s de d\u00e9chiffrement. Ce qui signifie que les victimes qui \u00e9taient pr\u00eates \u00e0 payer les hackers ne peuvent plus r\u00e9cup\u00e9rer leurs fichiers. Kaspersky Lab ne recommande pas de payer la ran\u00e7on et dans ce cas, il semblerait que cela soit de toute fa\u00e7on en vain.<\/p>\n<p>(Derni\u00e8re mise \u00e0 jour)<\/p>\n<p>L\u2019analyse de nos experts indique qu\u2019il y avait peu d\u2019espoir pour les victimes de r\u00e9cup\u00e9rer leurs donn\u00e9es.<\/p>\n<p>Les chercheurs de Kaspersky Lab ont analys\u00e9 le code de haut niveau de cryptage et ont d\u00e9termin\u00e9 qu\u2019apr\u00e8s le chiffrement du disque, l\u2019auteur de la menace ne pouvait pas d\u00e9chiffrer les disques des victimes. Pour d\u00e9crypter, ils ont besoin de l\u2019ID d\u2019installation. Dans les versions ant\u00e9rieures des ransomware semblables tels que Petya \/ Mischa \/ GoldenEye, cette ID d\u2019installation contenait les informations n\u00e9cessaires \u00e0 la r\u00e9cup\u00e9ration des cl\u00e9s de d\u00e9cryptage.<\/p>\n<p>ExPetr (aka NotPetya) n\u2019a pas cet ID d\u2019installation, ce qui signifie que l\u2019auteur de la menace ne peut pas extraire les informations n\u00e9cessaires pour le d\u00e9cryptage. Bref, les victimes ne pourraient pas r\u00e9cup\u00e9rer leurs donn\u00e9es.<\/p>\n<p>Ne payez pas la ran\u00e7on. Cela ne vous aidera pas.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle \u00e9pid\u00e9mie de ransomware se r\u00e9pand en ce moment. Voici ce que nous savons pour l\u2019instant et ce que vous pouvez faire pour vous prot\u00e9ger de cette menace. <\/p>\n","protected":false},"author":235,"featured_media":9227,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[424,1681,522,2197,2283,204,1474,353,2184],"class_list":{"0":"post-9226","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-actualite","10":"tag-bloqueurs","11":"tag-chevaux-de-troie","12":"tag-crypteurs","13":"tag-epidemie","14":"tag-menaces","15":"tag-petya","16":"tag-ransomware","17":"tag-wannacry"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-ransomware-epidemics\/9226\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-ransomware-epidemics\/8698\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-ransomware-epidemics\/4712\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/new-ransomware-epidemics\/11710\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-ransomware-epidemics\/11249\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-ransomware-epidemics\/10732\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-ransomware-epidemics\/13581\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-ransomware-epidemics\/13641\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-ransomware-epidemics\/17855\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-ransomware-epidemics\/3319\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-ransomware-epidemics\/9204\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/new-ransomware-epidemics\/6963\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/new-ransomware-epidemics\/16631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-ransomware-epidemics\/17314\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/menaces\/","name":"menaces"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/235"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=9226"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9226\/revisions"}],"predecessor-version":[{"id":12898,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9226\/revisions\/12898"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/9227"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=9226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=9226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=9226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}