Comment protéger votre PC contre NotPetya Ransomware

Rançongiciel NotPetya
Tendance Micro
Le 26 juin 2017, un nouveau type de ransomware appelé NotPetya a commencé à attaquer les systèmes informatiques à travers le monde. À l’origine, il ciblait les principaux systèmes ukrainiens, notamment les banques, les services postaux, les aéroports, les compagnies d’électricité, etc. Mais il s’est rapidement propagé hors de sa zone ciblée, s’étendant dans 64 pays, dont le Brésil, l’Allemagne, la Russie et même les États-Unis. Nous examinons ce qu'est ce ransomware NotPetya, quels systèmes sont concernés et comment vous pouvez vous protéger contre cette attaque spécifique.

Contenu

  • Qu'est-ce que le rançongiciel NotPetya ?
  • De qui vous protégez-vous ?

Qu'est-ce que le rançongiciel NotPetya ?

NotPetya (ou Emballage pour animaux de compagnie) est basé sur une ancienne version de le rançongiciel Petya, qui a été initialement conçu pour prendre en otage des fichiers et des appareils à leur tour pour le paiement Bitcoin. Cependant, malgré La tentative de NotPetya de collecter de l'argent

dans son attaque mondiale rapide, il ne semble pas être strictement à court d’argent. Au lieu de cela, NotPetya chiffre les systèmes de fichiers des machines pour nuire aux entreprises. L’aspect ransomware n’est apparemment qu’une couverture.

Vidéos recommandées

Ce qui rend NotPetya dangereux, c'est que sous le front basé sur un ransomware se cache un exploit appelé Bleu éternel, prétendument conçu par la National Security Administration des États-Unis (alias la NSA). Il cible un protocole réseau spécifique et vulnérable appelé Bloc de messages du serveur (version 1) utilisé pour partager des imprimantes, des fichiers et des ports série entre des PC Windows en réseau. Ainsi, la vulnérabilité permet à des attaquants distants d'envoyer et d'exécuter du code malveillant sur une cible. ordinateur. Le groupe de hackers Shadow Brokers divulgué EternalBlue en avril 2017.

Le ransomware NotPetya comprend également un composant « ver ». En règle générale, les victimes deviennent la proie d'un ransomware en téléchargeant et en exécutant un logiciel malveillant déguisé en fichier légitime joint à un e-mail. À son tour, le malware crypte des fichiers spécifiques et affiche une fenêtre contextuelle sur l'écran, exigeant un paiement en Bitcoins pour déverrouiller ces fichiers.

Cependant, le rançongiciel Petya, apparu début 2016, a poussé cette attaque encore plus loin en chiffrant l’intégralité du disque dur du PC. lecteur ou disque SSD en infectant l'enregistrement de démarrage principal, écrasant ainsi le programme qui démarre le démarrage de Windows séquence. Cela a abouti à un cryptage de la table utilisée pour suivre tous fichiers locaux (NTFS), empêchant Windows de localiser tout ce qui est stocké localement.

Malgré sa capacité à chiffrer un disque entier, Petya n’était capable d’infecter qu’un seul PC cible. Cependant, comme on le voit avec la récente épidémie de WannaCry, les ransomwares ont désormais la capacité de se déplacer d'un PC à l'autre sur un réseau local sans aucune intervention de l'utilisateur. Le nouveau ransomware NotPetya est capable de la même infestation latérale du réseau, contrairement à la version originale de Petya.

Selon Microsoft, l’un des vecteurs d’attaque de NotPetya est sa capacité à voler des identifiants ou à réutiliser une session active.

"Parce que les utilisateurs se connectent fréquemment en utilisant des comptes dotés de privilèges d'administrateur local et ont des sessions actives ouvertes sur plusieurs machines, les informations d'identification volées sont susceptibles de fournir le même niveau d'accès que l'utilisateur a sur d'autres Machines," la société rapporte. "Une fois que le ransomware dispose d'informations d'identification valides, il analyse le réseau local pour établir des connexions valides."

Le ransomware NotPetya peut également utiliser des partages de fichiers pour se multiplier sur le réseau local et infester les machines qui ne sont pas corrigées contre la vulnérabilité EternalBlue. Microsoft mentionne même Romance éternelle, un autre exploit utilisé contre le protocole Server Message Block prétendument inventé par la NSA.

"Il s'agit d'un excellent exemple de deux composants malveillants réunis pour générer des logiciels malveillants plus pernicieux et plus résilients", a déclaré Phil Richards, responsable de la sécurité des informations chez Ivanti.

En plus de l’attaque rapide et généralisée de NotPetya, il existe un autre problème: le paiement. Le ransomware fournit une fenêtre contextuelle exigeant aux victimes de payer 300 $ en Bitcoins en utilisant une adresse Bitcoin spécifique, un identifiant de portefeuille Bitcoin et un numéro d'installation personnel. Les victimes envoient ces informations à une adresse e-mail fournie qui répond avec une clé de déverrouillage. Cette adresse e-mail a été rapidement fermée une fois que le fournisseur de messagerie allemand Posteo a découvert ses mauvaises intentions.

« Nous avons pris conscience que les maîtres chanteurs du ransomware utilisent actuellement une adresse Posteo comme moyen de contact. Notre équipe anti-abus a immédiatement vérifié cela et a immédiatement bloqué le compte. la société a dit. "Nous ne tolérons pas l'utilisation abusive de notre plateforme: le blocage immédiat des comptes de messagerie utilisés à mauvais escient est la démarche nécessaire des fournisseurs dans de tels cas."

Cela signifie que toute tentative de paiement n’aboutira jamais, même si le paiement était l’objectif du malware.

Enfin, Microsoft indique que l'attaque émane de la société ukrainienne M.E.Doc, développeur du logiciel de comptabilité fiscale MEDoc. Microsoft ne semble pas pointer du doigt, mais déclare plutôt avoir la preuve que « quelques infections actives du le ransomware a initialement démarré à partir du processus légitime de mise à jour MEDoc. Ce type d'infection, note Microsoft, est en croissance s'orienter.

Quels systèmes sont à risque ?

Pour l’instant, le ransomware NotPetya semble se concentrer sur les attaques contre les PC Windows dans les organisations. Par exemple, l'ensemble du système de surveillance des radiations situé dans la centrale nucléaire de Tchernobyl a été mis hors ligne lors de l'attaque. Ici aux États-Unis, l'attaque frappé l’ensemble du système de santé d’Heritage Valley, affectant tous les établissements qui dépendent du réseau, y compris les hôpitaux Beaver et Sewickley en Pennsylvanie. L'aéroport de Kiev Boryspil en Ukraine horaire de vol souffert des retards et son site Web a été mis hors ligne en raison de l’attaque.

Malheureusement, il n’existe aucune information indiquant les versions exactes de Windows ciblées par le ransomware NotPetya. Le rapport de sécurité de Microsoft ne répertorie pas les versions spécifiques de Windows, même si, pour des raisons de sécurité, les clients doivent le supposer. que toutes les versions commerciales et grand public de Windows, de Windows XP à Windows 10, relèvent de l'attaque fenêtre. Après tout, même Machines ciblées par WannaCry sur lesquelles Windows XP est installé.

De qui vous protégez-vous ?

Microsoft a déjà publié des mises à jour bloquant les exploits EternalBlue et EternalRomance utilisés par cette dernière épidémie de malware. Microsoft a résolu ces deux problèmes le 14 mars 2017, avec la sortie de mise à jour de sécurité MS17-010. C'était il y a plus de trois mois, ce qui signifie que les entreprises attaquées par NotPetya via cet exploit n'ont pas encore mis à jour leur système. leurs PC. Microsoft suggère aux clients d'installer immédiatement la mise à jour de sécurité MS17-010, s'ils ne l'ont pas encore fait. déjà.

L'installation de la mise à jour de sécurité est le moyen le plus efficace de protéger votre PC

Pour les organisations qui ne peuvent pas encore appliquer la mise à jour de sécurité, il existe deux méthodes qui empêcheront la propagation du ransomware NotPetya: désactiver complètement la version 1 de Server Message Block, et/ou créer une règle dans le routeur ou le pare-feu qui bloque le trafic entrant du bloc de messages du serveur sur le port 445.

Il y en a un autre un moyen simple de prévenir l'infection. Commence par ouverture de l'explorateur de fichiers et en chargeant le dossier du répertoire Windows, qui est généralement « C:\Windows ». Là, vous devrez créer un fichier nommé « perfc » (oui sans extension) et définissez ses autorisations sur « Lecture seule » (via Général/Attributs).

Bien sûr, il n’existe pas d’option réelle pour créer un nouveau fichier dans le répertoire Windows, juste l’option Nouveau dossier. La meilleure façon de créer ce fichier est d'ouvrir le Bloc-notes et d'enregistrer un fichier « perfc.txt » vierge dans le dossier Windows. Après cela, supprimez simplement l'extension « .txt » dans le nom, acceptez l'avertissement contextuel de Windows et cliquez avec le bouton droit sur le fichier pour modifier ses autorisations en « Lecture seule ».

Ainsi, lorsque NotPetya infecte un PC, il analyse le dossier Windows à la recherche de ce fichier spécifique, qui est en fait l'un de ses propres noms de fichier. Si le fichier perfc est déjà présent, NotPetya suppose que le système est déjà infecté et devient dormant. Cependant, ce secret étant désormais public, les pirates pourraient revenir à la planche à dessin et réviser le ransomware NotPetya pour qu'il dépende d'un fichier différent.

Recommandations des rédacteurs

  • Ce jeu permet aux pirates d'attaquer votre PC, et vous n'avez même pas besoin d'y jouer
  • Soyez plus productif avec ces trucs et astuces Slack