Ransomware NotPetya : pas de « killswitch », mais des mesures préventives existent

Sécurité : Le nouveau ransomware NotPetya touche plusieurs entreprises et les éditeurs d’antivirus avancent chacun leurs solutions afin de s’en protéger. Une méthode a été découverte permettant de bloquer la fonctionnalité de chiffrement du ransomware.

Lors de l’épidémie WannaCry, la majorité des dégâts avaient pu être évités grâce à la découverte d’un chercheur en sécurité, connu sous le pseudonyme de MalwareTech. En analysant le comportement de WannaCry, ce dernier était parvenu à identifier un nom de domaine que le malware contactait avant de s’attaquer aux fichiers de la cible. Curieux, le chercheur a donc enregistré le nom de domaine, et découvert que celui-ci agissait en fait comme un « kill switch » : une fois le nom de domaine enregistré et mis en ligne, l’ensemble des installations existantes de WannaCry se mettait en veille et ne chiffrait pas les données.

 

Et on aurait presque pu croire à un nouveau miracle pour la nouvelle campagne de ransomware qui frappe l’Europe depuis hier, mais la solution trouvée par un chercheur de la société israélienne Cybereason n’est pas la panacée. Lors des phases initiales d’infections, NotPetya va en effet automatiquement rechercher la présence d’un fichier sur la machine, « perfc.dll ». Celui-ci est créé par le ransomware sur les machines déjà infectées, et lui permet de savoir si la machine a déjà été victime du ransomware. Si le virus détecte ce fichier sur la machine, il bloquera la fonctionnalité de chiffrement des données.

Mieux vaut prévenir que guérir… Surtout avec un ransomware

Pour protéger une machine, il convient donc de créer soit même ce fichier perfc.dll et de le placer à la racine de Windows, afin de perturber le fonctionnement du ransomware. Une méthode confirmée par plusieurs sociétés de sécurité, ainsi que par l’Anssi elle-même, qui mentionne cette technique dans son alerte consacrée à la campagne de ransomware.

Pour autant, il convient de rester prudent à l’égard de cette méthode, qui n’est pas un « nouveau killswitch » comparable à celui ayant enrayé la propagation de WannaCry. Comme l’explique MalwareTech sur son blog, cette solution n’en est pas une. « Certaines entreprises ont annoncé avoir découvert un killswitch, mais ce n’est rien de plus qu’un coup de communication. Ce fameux « killswitch » ne s’active qu’en modifiant les fichiers sur votre machine et n’est pas activable à distance comme l’était celui de WannaCry. »

L’appellation Killswitch semble donc largement galvaudée pour cette technique, qui se présente au mieux comme une mesure de protection ad-hoc. De plus, comme le rappelle MalwareTech, au vu des caractéristiques de propagation de ce ransomware, l’essentiel du mal est fait et les infections devraient ralentir. Le site BleepingComputer propose un tutoriel détaillé permettant d’activer cette protection sur une machine.

On rappellera néanmoins que cette méthode présente plusieurs défauts : d’une part, elle nécessite d’être appliquée manuellement sur les différentes machines du système. D’autre part, elle bloque le mécanisme de chiffrement des fichiers, mais ne bloque pas le mécanisme de propagation du ransomware, qui tentera quand même de scanner le réseau local à la recherche d’autres machines vulnérables.

La solution est donc viable pour les systèmes ne pouvant pas appliquer les correctifs ou désactiver les utilitaires et protocoles utilisés par cette variante de Petya pour se propager sur le réseau local, mais guère plus. Outre la création de ce fichier, l’Anssi recommande ainsi la désactivation de la création de processus à distance WMI et de PSExec sur les machines susceptibles d’être visées.

Ransomware NotPetya : pas de « killswitch », mais des mesures préventives existent

Source : L’article << Ransomware NotPetya : pas de « killswitch », mais des mesures préventives existent >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
Par | 2017-09-18T18:29:15+00:00 juillet 1st, 2017|Actualité|0 commentaire

Laisser un commentaire