Publicité en cours de chargement...

Publicité en cours de chargement...

Nouvelle alerte : Petya revient en force, empruntant les traces de Wannacry

28 juin 2017 - 10:30,
Tribune - Charles Blanc-Rolin
Si le département du cantal est en alerte à cause des orages, c’est une bonne partie des RSSI et DSI de la planète qui retiennent leur souffle à l’heure qu’il est.

En effet depuis le milieu d’après-midi ce mardi, la presse mondiale parle de cette nouvelle attaque numérique planétaire ! 

En France l’ANSSI a lancé une alerte mardi 27 juin à 16H30 ! Aux Etats-Unis, le CERT-US a suivi le mouvement quelques heures après.

Comme pour Wannacry, cette nouvelle version du rançongiciel Petya (aussi appelée Petwrap, ou encore GoldenEye) a rapidement fait le tour de la planète, Russie, Ukraine, Espagne, Grande Bretagne, Etats-Unis…
Et de nombreux ordinateurs et serveurs Windows affichent d’ores et déjà ce message sur leurs écrans :

petya boot

En France, plusieurs entreprises ont été touchées dont Auchan et le groupe Saint-Gobain comme le précise Damien Bancal sur Zataz. A noter que les filiales britannique et hollandaise de Saint-Gobain ont aussi été impactées.

Alors comment ce nouveau rançongiciel a-t-il pu se propager aussi rapidement ? 

Même si personne ne s’est encore prononcé sur le vecteur d’infection initial (il semblerait qu’il y en ait plusieurs), de nombreux chercheurs et éditeurs d’antivirus ont annoncé que, comme Wannacry ce rançongiciel utilise la vulnérabilité SMB V1 de Windows (MS17-010).
Selon le chercheur @hackerfantastic elle serait également combinée à la vulnérabilité Office / Wordpad (CVE-2017-0199) récemment utilisée dans un « dropper » au format RTF détecté par Fortinet.
Ce qui laisse donc deux voies d’infection possibles, des ports SMB ouverts depuis l’extérieur et un bon vieux mail de phishing avec une pièce jointe malicieuse. 

Ces vulnérabilités ont été corrigées par Microsoft, alors il est nécessaire de patcher !

Si j’ai patché, je ne risque rien ?

Apparemment ça ne serait pas le cas. Ce logiciel malveillant en a encore sous le coude.
En effet, il serait capable d’infecter des machines à jours des correctifs de sécurité en s’appuyant sur l’utilitaire PSEXEC de Sysinternals et l’outil WMIC de Windows.

Quelles sont les conséquences de l’infection ?

Une fois la charge utile exécutée, il chiffre les fichiers, chiffre les tables MFT des partitions NTFS, écrase la MBR avec un « boot loader » personnalisé et redémarre la machine 1 heure après l’infection.
Pour le coup la machine est totalement inutilisable, plus d’accès au système d’exploitation Windows, il faut donc utiliser un autre terminal pour pouvoir prétendre acheter la clé de déchiffrement pour la modique somme de 300$.

Si, aux dernières nouvelles une trentaine de victimes auraient déjà payé la rançon, il vaut mieux désormais s’abstenir définitivement, car en effet le fournisseur de messagerie Allemand, Posteo a désormais bloqué l’accès à la messagerie [email protected] utilisée par le « ravisseur ». Ce qui rend toute communication impossible avec ce dernier, et donc aucun espoir d’obtenir la clé de déchiffrement de se part.

Comment se protéger alors ?

En ayant des systèmes à jour pour commencer, éviter d’avoir le port SMB accessible depuis Internet et désactiver WMIC sur les machines qui n’en n’ont pas besoin.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.