{"id":9696,"date":"2017-10-25T12:22:06","date_gmt":"2017-10-25T12:22:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9696"},"modified":"2017-10-25T12:29:57","modified_gmt":"2017-10-25T12:29:57","slug":"bad-rabbit-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/bad-rabbit-ransomware\/9696\/","title":{"rendered":"Bad Rabbit : une nouvelle \u00e9pid\u00e9mie de ransomware progresse"},"content":{"rendered":"

Cet article est mis \u00e0 jour au fur et \u00e0 mesure que nos experts trouvent de nouvelles donn\u00e9es sur le malware.<\/b><\/p>\n

Nous avons d\u00e9j\u00e0 vu deux grandes attaques de ransomwares \u00e0 grande \u00e9chelle cette ann\u00e9e : le tristement c\u00e9l\u00e8bre WannaCry et ExPetr (\u00e9galement connu comme Petya et NotPetya). Il semblerait qu’une nouvelle attaque soit en cours : le nouveau malware s’appelle Bad Rabbit – c’est tout du moins le nom indiqu\u00e9 sur le site internet du darknet mentionn\u00e9 sur le message de ran\u00e7on.<\/p>\n

\"\"<\/p>\n

Ce que nous savons pour le moment, c’est que le ransomware Bad Rabbit a infect\u00e9 plusieurs grands organes de presse russes dont l’agence d’information Interfax et Fontanka.ru. L’a\u00e9roport international d’Odessa a signal\u00e9 une cyberattaque sur son syst\u00e8me d’information, mais nous ne savons pas encore s’il s’agit de la m\u00eame attaque.<\/p>\n

Les criminels qui se cachent derri\u00e8re Bad Rabbit demandent 0,05 bitcoin en ran\u00e7on, ce qui revient \u00e0 280 dollars au taux de change actuel.<\/p>\n

\"\"<\/p>\n

Selon ce que nous avons trouv\u00e9, l’attaque n’utilise pas d’exploits. Il s’agit d’une attaque drive-by : les victimes t\u00e9l\u00e9chargent un faux installateur Adobe Flash de sites internet infect\u00e9s et lancent manuellement le fichier .exe, ce qui les infecte. Nos chercheurs ont d\u00e9tect\u00e9 un certain nombre de sites internet compromis ; ce sont tous des sites de m\u00e9dias ou d’information.<\/p>\n

Nous ne savons pas encore s’il est possible de r\u00e9cup\u00e9rer les fichiers chiffr\u00e9s par Bad Rabbit (en payant la ran\u00e7on ou en tirant parti d’un glitch dans le code du ransomware). Les experts en antivirus de Kaspersky Lab enqu\u00eatent sur cette attaque et nous mettrons \u00e0 jour cet article avec leurs r\u00e9sultats.<\/p>\n

Selon nos donn\u00e9es, la plupart des victimes de ces attaques se trouvent en Russie. Nous avons aussi vu des attaques similaires mais moins nombreuses en Ukraine, en Turquie et en Allemagne. Ce ransomware a infect\u00e9 des appareils \u00e0 travers un certain nombre de sites internet pirat\u00e9s de m\u00e9dias russes. Selon notre enqu\u00eate, il s’agit d’une attaque cibl\u00e9e contre les r\u00e9seaux d’entreprise en utilisant des m\u00e9thodes similaires \u00e0 celles utilis\u00e9es dans l’attaque ExPetr. Cependant, nous pouvons confirmer que cela est li\u00e9 \u00e0 ExPetr. Nous continuons \u00e0 enqu\u00eater. Pendant ce temps, vous pouvez trouver plus de d\u00e9tails sur cet article de Securelist.<\/p>\n

Les produits de Kaspersky Lab ont d\u00e9tect\u00e9 l’attaque avec les verdicts suivants : UDS:DangerousObject.Multi.Generic (d\u00e9tect\u00e9 par Kaspersky Security Network) et PDM:Trojan.Win32.Generic (d\u00e9tect\u00e9 par System Watcher).<\/p>\n\n

Pour \u00e9viter d’\u00eatre victime de Bad Rabbit :<\/p>\n

Utilisateurs des produits Kaspersky Lab :
\n– Assurez-vous que System Watcher et Kaspersky Security Network fonctionnent. Si ce n’est pas le cas, il est essentiel d’activer ces fonctionnalit\u00e9s.<\/p>\n

Autres utilisateurs :
\n– Bloquez l’ex\u00e9cution des fichiers c:\\windows\\infpub.dat et c:\\Windows\\cscc.dat.
\n– D\u00e9sactivez le service WMI (si cela est possible dans votre environnement) pour \u00e9viter que le malware ne se r\u00e9pande dans votre r\u00e9seau.<\/p>\n

Conseils pour tout le monde :
\n– Faites des sauvegardes de s\u00e9curit\u00e9 de vos donn\u00e9es.
\n– Ne payez pas la ran\u00e7on.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

CET ARTICLE EST MIS \u00c0 JOUR EN DIRECT. Le monde est touch\u00e9 par une nouvelle \u00e9pid\u00e9mie de ransomwares. Elle s’appelle Bad Rabbit et voici ce que nous en savons pour le moment.<\/p>\n","protected":false},"author":675,"featured_media":9704,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[2543,2542,161,2283,1474,353,2544],"class_list":{"0":"post-9696","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-bad-rabbit","9":"tag-badrabbit","10":"tag-cheval-de-troie","11":"tag-epidemie","12":"tag-petya","13":"tag-ransomware","14":"tag-wiper"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/bad-rabbit-ransomware\/9696\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/bad-rabbit-ransomware\/11663\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/bad-rabbit-ransomware\/9747\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/bad-rabbit-ransomware\/5456\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/bad-rabbit-ransomware\/13106\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/bad-rabbit-ransomware\/11993\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/bad-rabbit-ransomware\/11628\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/bad-rabbit-ransomware\/14652\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/bad-rabbit-ransomware\/14391\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/bad-rabbit-ransomware\/19072\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/bad-rabbit-ransomware\/4326\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/bad-rabbit-ransomware\/19887\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/bad-rabbit-ransomware\/8396\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/bad-rabbit-ransomware\/15081\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/bad-rabbit-ransomware\/18518\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/bad-rabbit-ransomware\/18986\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/bad-rabbit-ransomware\/18974\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=9696"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9696\/revisions"}],"predecessor-version":[{"id":9707,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9696\/revisions\/9707"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/9704"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=9696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=9696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=9696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}