Kaspersky: New Petya / NotPetya / ExPetr : Nouvelle épidémie de ransomware

Il y a seulement quelques heures, une épidémie de ransomware internationale a fait son apparition et elle s’annonce aussi importante que celle de WannaCry qui a fait rage il n’y a pas très longtemps.

Ces quelques heures ont été suffisantes pour que plusieurs grandes entreprises originaires de pays différents soient infectées, la magnitude de l’épidémie ayant de grandes chances de prendre encore plus d’ampleur.

Nous ne sommes pas encore certains de ce qu’est le nouveau ransomware. Certains pensent qu’il pourrait s’agir d’une variation de Petya (telle que Petya.A, Petya.D ou PetrWrap), ou qu’il pourrait s’agir de WannaCry (mais ce n’est pas le cas). Les experts de Kaspersky Lab étudient actuellement la nouvelle menace : nous mettrons à jour cet article dès qu’ils auront des informations solides.

Cette attaque complexe semble impliquer plusieurs vecteurs d’attaque. Nous pouvons confirmer qu’une version modifiée de l’exploit EternalBlue est utilisée afin que le ransomware se propage, ne serait-ce que sur les réseaux d’entreprises. Plus d’informations techniques sur l’attaque ici (en anglais).

Pour le moment, sachez que les logiciels de Kaspersky Lab détectent le nouveau ransomware grâce au Kaspersky Security Network (KSN) avec le verdict suivant : uds:dangerousobject.multi.generic. Voici les consignes que nous recommandons à nos clients :

  1. Assurez-vous que le Kaspersky Security Network et le System Watcher sont actifs.
  2. Mettez à jour manuellement les bases de données antivirus immédiatement. Nous vous conseillons également d’actualiser de nouveau les bases de données plusieurs fois dans les prochaines heures.
  3. Afin de vous protéger davantage, vous pouvez également utiliser la fonctionnalité AppLocker afin de désactiver l’exécution d’un fichier intitulé dat ainsi que l’utilitaire PSEcex de la suite Sysinternals.
  4. Installez toutes les mises à jour de Windows. Celle qui corrige tous les bugs exploités par EternalBlue est particulièrement importante. Nous expliquons comment faire ici.

Selon une information publiée sur Motherboard, le service de messagerie allemand Posteo a désactivé l’adresse mail que les victimes étaient supposées contacter afin d’être en relation avec les cybercriminels, confirmer les transactions Bitcoin et recevoir les clés de déchiffrement. Ce qui signifie que les victimes qui étaient prêtes à payer les hackers ne peuvent plus récupérer leurs fichiers. Kaspersky Lab ne recommande pas de payer la rançon et dans ce cas, il semblerait que cela soit de toute façon en vain.

Kaspersky

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:16+00:00

Laisser un commentaire