Assiste.Forums

[bellafago]

ALERTE : Attaque en cours: PetrWrap


Un malware qui exploite le module de base du ransomware Petya :

Les chercheurs en sécurité de Kaspersky, à leur tour, nous font un résumé technique de la situation en présentant les objectifs visés par le ransomware PetrWrap. Ces derniers se présentent comme suit :

1/ PetrWrap permet de verrouiller la machine de la victime, cela tout en assurant un fort chiffrement du MFT (Master File Table) des partitions NTFS (New Technology File System) ;

2/ PetrWrap permet de rendre plus difficile l'évaluation de la situation afin de déterminer l'étendue des dommages causés, cela parce que lorsque l'écran est verrouillé, l'alerte relative au crâne clignotant n'apparaît pas. L'écran n'affiche pas
également d'informations relatives à Petya ;

3/ les développeurs de PetrWrap n'auront pas besoin d'écrire le code du bootloader, au risque de faire des erreurs similaires à celles observées dans les versions antérieures de Petya. À titre d'information, un bootloader ou chargeur d'amorçage
est un logiciel permettant de lancer un ou plusieurs systèmes d'exploitation (multi-boot), c'est-à-dire qu'il permet d'utiliser plusieurs systèmes, à des moments différents, sur la même machine.

Source et suite: Devellopez.com , Global security Mag, Kaspersky Lab.

[bellafago]

Les spécialistes de Kaspersky préconisent les mesures suivantes:

Afin de protéger les entreprises contre ce type d’attaques, les experts en sécurité de Kaspersky Lab préconisent les mesures suivantes :

• Sauvegardez soigneusement et régulièrement vos données de façon à pouvoir revenir aux fichiers originaux en cas d’attaque.

• Installez une solution de sécurité dotée de technologies de détection comportementale. Celles-ci sont capables d’intercepter un malware, notamment un ransomware, en surveillant comment il opère sur le système attaqué afin de repérer les échantillons malveillants nouveaux et encore inconnus.

• Procédez à une évaluation de sécurité du réseau de contrôle (audit de sécurité, test de pénétration, analyse des lacunes) afin d’identifier et d’éliminer toute faille de sécurité. Passez en revue les règles de sécurité des fournisseurs et prestataires externes dans l’éventualité où ceux-ci ont un accès direct au réseau de contrôle.

• Sollicitez des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques à leur encontre.

• Formez votre personnel, en particulier dans le domaine opérationnel et technique, afin de le sensibiliser aux menaces et attaques récentes.

• Assurez une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques.

Source et suite: Global security Mag. et, Bleepingcomputer.com Telécharger: PetyaExtractor; (zip).et, IBM

[bellafago]

Recommandations :

• Application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010. Cette mise à jour de sécurité réagissait contre la faille qui a permis les attaques du ransomware WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (le 12 mai 2017) ( voir http://assiste.forum.free.fr/viewtopic.php?f=173&t=31988 )
  https://technet.microsoft.com/fr-fr/library/security/MS17-010
• Respect des recommandations génériques relatives aux Ransomwares et leurs variantes les Cryptowares
• Limiter l'exposition du service SMB, en particulier sur internet
• Ne jamais payer la rançon (ce qui encouragerait les cybercriminels).
• Toujours avoir plusieurs sauvegardes (avant l'attaque) et ne jamais brancher une unité de sauvegarde sur une machine infectée sinon tous les fichiers de sauvegarde seraient immédiatement affecté par l'attaque

Prévention

• De manière préventive, s'il n'est pas possible de mettre à jour une machine, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.
• La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs

[pierre]

Merci Bellafago

[bellafago]

Bonjour Pierre,

Pas de soucis.

[bellafago]

MFT irrécupérable et un maigre butin récolté:

En complément de l’analyse de Kaspersky, Matt Suiche, chercheur de Comae Technologies, a trouvé un autre élément aboutissant à la même conclusion. Dans son rapport, il montre que la récupération du fichier MFT original est impossible, malgré différentes opérations de recouvrement. Ce fichier gère l’emplacement des fichiers sur le disque dur, mais en restant chiffré, il n’y a aucun moyen de connaître où chaque fichier est situé sur un PC. « La version originale de Petya modifiait le disque d’une façon à revenir sur ces changements. Le Petya actuel provoque des dommages permanents et irréversibles sur le disque », indique Matt Suiche.

Source et suite: Silicon.fret, Securelist.com

[bellafago]

Un chercheur en sécurité a trouvé un moyen pour éviter l’infection du ransomware Petya, en plaçant un simple fichier dans Windows:

Créer un fichier « perfc » dans Windows

La réponse est venue d’une autre voie découverte par Amit Serper, chercheur chez Cybereason, société de sécurité. Il a analysé le fonctionnement du ransomware et a découvert qu’il cherchait en local le fichier « perfc » et qu’il abandonnait son processus de chiffrement si ce fichier était déjà présent sur le disque. Cette trouvaille a été validée par d’autres éditeurs de sécurité, comme PT Security, TrustedSec et Emsisoft, rapporte nos confrères de Bleepingcomputer. Ces derniers ont même mis en ligne un fichier bat pour faciliter la mise en place de procédé (à condition d’avoir les droits administrateurs).

Source et suite: Silicon.fr

[Vazkor]

Salut,

Ce fichier de commandes (batch) peut être trouvé ici : https://download.bleepingcomputer.com/bats/nopetyavac.bat

En fait, il ne crée pas un, mais trois fichiers en lecture seule dans le dossier C:\WINDOWS : perfc, perfc.dat et perfc.dll

Lire la discussion sur Bleeping Computer (en anglais) :
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

@+

[bellafago]

Bonjour,



Merci pour cette vaccination Vazkor.

[piratebab]

Merci,
je cherchai justement une synthèse de cette attaque.
Comme toujours, il suffit de chercher sur Assiste.fr!