Le CERT-FR constate un nouveau mode de propagation du rançongiciel Petya. Le CERT-FR ne dispose pas de plus d'information à cette date (27 juin 2017 à 16h30).

Suite au premiers retours, il est possible que le code malveillant se propage via le réseau. En cas d'infection, la machine redémarre et affiche un message demandant un paiement de 300 bitcoins et de contacter l'adresse électronique wowsmith123456@posteo.net.

.../...

Le CERT-FR recommande :

l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation); le respect des recommandations génériques relatives aux rançongiciels ; de limiter l'exposition du service SMB, en particulier sur internet ; de ne pas payer la rançon.

.../...


Alert (TA17-181A) Petya Ransomware


MAJ CERT.BE

CERT.be a appris par des partenaires fiables que les autorités ukrainiennes, des entreprises russes et une compagnie danoise qui opère des terminaux de containers sont victimes d’une nouvelle attaque par ransomware. Peu après des sociétés inscrites aux Pays-Bas, en Espagne, en France, en Grande-Bretagne et en Belgique ont allongé la liste des victimes. Il semblerait qu’elles aient affaire à une nouvelle variante du ransomware « Petya ». Celle-ci semble se propager sur les réseaux (locaux) grâce à l’exploit « EternalBlue/DoublePulsar » pour le service SMB, qui a a fait fureur le mois passé grâce à ‘Wannacry’. Une fois qu’un système est infcté, le ransomware tente de se propager grâce à un outil interne à Windows (WMIC) et l’outil de gestion à distance PsExec. Le vecteur d’infection initial n’a pas encore été identifié, mais on soupçonne une propagation par un document excel présentant une fausse signature Windows (LokiBot).

Une fois le système infecté par le ransomware, celui-ci tente de chiffrer le disque dur en faisant usage de privilèges administrateur. En cas d’échec, il utilise un exploit sysème et s’injecte dans le MBR4 du disque dur et enregistre une tâche planifiée qui redémarre la machine une heure plus tard. Après le redémarrage du système, le ransomware s’exécute en mémoire et commence le chiffrement.

Il n’y a pas de « killswitch » et le ransomware ne communique pas avec un quelconque serveur de commande.

Le fichiers ayant les extensions suivantes sont chiffrés :

  • .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc .docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf .ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd .vmx.vsdx.vsv.work.xls.xlsx.xvd.zip

.../...


Une cyberattaque mondiale vise des institutions et des entreprises, dont Saint-Gobain et Auchan

Des attaques informatiques se sont multipliées dans le monde ce mardi. Le virus a contaminé des banques et des entreprises ukrainiennes, le français Saint-Gobain et la filiale ukrainienne d'Auchan, le pétrolier russe Rosneft, le transporteur danois Maersk, le port de Rotterdam, mais aussi la centrale de Tchernobyl.

.../...

Mais le spécialiste russe Kaspersky Labs, lui, estime que ce n'est pas Petya qui est en cause. "Notre analyse préliminaire suggère qu'il ne s'agit pas d'une variante du ransomware Petya, comme suggéré jusqu'ici, mais d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici. C'est la raison pour laquelle nous l'avons surnommé NotPetya", a expliqué l'entreprise dans son communiqué. "Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées", a détaillé Kaspersky Labs. Afin d'empêcher la propagation, l'entreprise de cybersécurité recommande aux groupes visés de mettre à jour les versions de Windows utilisées en interne.


Schroedinger’s Pet(ya)

Kaspersky Lab solutions successfully stop the attack through the System Watcher component. This technology protects against ransomware attacks by monitoring system changes and rolling back any potentially destructive actions.

At this time, our telemetry indicates more than 2,000 attacks: .../..


Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin


New ransomware, old techniques: Petya adds worm capabilities


01/07/1/ - Alert (TA17-181A) Petya Ransomware