ALERTE : Attaque en cours: PetrWrap

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Attaque en cours: PetrWrap

Messagede bellafago » 27 06 2017

ALERTE : Attaque en cours: PetrWrap


Un malware qui exploite le module de base du ransomware Petya :
Les chercheurs en sécurité de Kaspersky, à leur tour, nous font un résumé technique de la situation en présentant les objectifs visés par le ransomware PetrWrap. Ces derniers se présentent comme suit :

1/ PetrWrap permet de verrouiller la machine de la victime, cela tout en assurant un fort chiffrement du MFT (Master File Table) des partitions NTFS (New Technology File System) ;

2/ PetrWrap permet de rendre plus difficile l'évaluation de la situation afin de déterminer l'étendue des dommages causés, cela parce que lorsque l'écran est verrouillé, l'alerte relative au crâne clignotant n'apparaît pas. L'écran n'affiche pas
également d'informations relatives à Petya ;

3/ les développeurs de PetrWrap n'auront pas besoin d'écrire le code du bootloader, au risque de faire des erreurs similaires à celles observées dans les versions antérieures de Petya. À titre d'information, un bootloader ou chargeur d'amorçage
est un logiciel permettant de lancer un ou plusieurs systèmes d'exploitation (multi-boot), c'est-à-dire qu'il permet d'utiliser plusieurs systèmes, à des moments différents, sur la même machine.



Source et suite: Devellopez.com , Global security Mag, Kaspersky Lab.
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005

ALERTE : Attaque en cours: PetrWrap

Messagede bellafago » 27 06 2017

Les spécialistes de Kaspersky préconisent les mesures suivantes:

Afin de protéger les entreprises contre ce type d’attaques, les experts en sécurité de Kaspersky Lab préconisent les mesures suivantes :

• Sauvegardez soigneusement et régulièrement vos données de façon à pouvoir revenir aux fichiers originaux en cas d’attaque.

• Installez une solution de sécurité dotée de technologies de détection comportementale. Celles-ci sont capables d’intercepter un malware, notamment un ransomware, en surveillant comment il opère sur le système attaqué afin de repérer les échantillons malveillants nouveaux et encore inconnus.

• Procédez à une évaluation de sécurité du réseau de contrôle (audit de sécurité, test de pénétration, analyse des lacunes) afin d’identifier et d’éliminer toute faille de sécurité. Passez en revue les règles de sécurité des fournisseurs et prestataires externes dans l’éventualité où ceux-ci ont un accès direct au réseau de contrôle.

• Sollicitez des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques à leur encontre.

• Formez votre personnel, en particulier dans le domaine opérationnel et technique, afin de le sensibiliser aux menaces et attaques récentes.

• Assurez une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques.



Source et suite: Global security Mag. et, Bleepingcomputer.com Telécharger: PetyaExtractor; (zip).et, IBM
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005

ALERTE : Attaque en cours: PetrWrap

Messagede bellafago » 27 06 2017

Recommandations :
  • Application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010. Cette mise à jour de sécurité réagissait contre la faille qui a permis les attaques du ransomware WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (le 12 mai 2017) ( voir http://assiste.forum.free.fr/viewtopic.php?f=173&t=31988 )
    https://technet.microsoft.com/fr-fr/library/security/MS17-010
  • Respect des recommandations génériques relatives aux Ransomwares et leurs variantes les Cryptowares
  • Limiter l'exposition du service SMB, en particulier sur internet
  • Ne jamais payer la rançon (ce qui encouragerait les cybercriminels).
  • Toujours avoir plusieurs sauvegardes (avant l'attaque) et ne jamais brancher une unité de sauvegarde sur une machine infectée sinon tous les fichiers de sauvegarde seraient immédiatement affecté par l'attaque

Prévention
  • De manière préventive, s'il n'est pas possible de mettre à jour une machine, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.
  • La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005


Re: ALERTE : Attaque en cours: PetrWrap

Messagede bellafago » 28 06 2017

Bonjour Pierre,

Pas de soucis. :D
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005

Petya : plutôt killer que ransonware..

Messagede bellafago » 30 06 2017

MFT irrécupérable et un maigre butin récolté:


En complément de l’analyse de Kaspersky, Matt Suiche, chercheur de Comae Technologies, a trouvé un autre élément aboutissant à la même conclusion. Dans son rapport, il montre que la récupération du fichier MFT original est impossible, malgré différentes opérations de recouvrement. Ce fichier gère l’emplacement des fichiers sur le disque dur, mais en restant chiffré, il n’y a aucun moyen de connaître où chaque fichier est situé sur un PC. « La version originale de Petya modifiait le disque d’une façon à revenir sur ces changements. Le Petya actuel provoque des dommages permanents et irréversibles sur le disque », indique Matt Suiche.



Source et suite: Silicon.fret, Securelist.com
Dernière édition par bellafago le 30 06 2017, édité 1 fois.
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005

Un vaccin pour enrayer Petya

Messagede bellafago » 30 06 2017

Un chercheur en sécurité a trouvé un moyen pour éviter l’infection du ransomware Petya, en plaçant un simple fichier dans Windows:

Créer un fichier « perfc » dans Windows

La réponse est venue d’une autre voie découverte par Amit Serper, chercheur chez Cybereason, société de sécurité. Il a analysé le fonctionnement du ransomware et a découvert qu’il cherchait en local le fichier « perfc » et qu’il abandonnait son processus de chiffrement si ce fichier était déjà présent sur le disque. Cette trouvaille a été validée par d’autres éditeurs de sécurité, comme PT Security, TrustedSec et Emsisoft, rapporte nos confrères de Bleepingcomputer. Ces derniers ont même mis en ligne un fichier bat pour faciliter la mise en place de procédé (à condition d’avoir les droits administrateurs).


Source et suite: Silicon.fr
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005

Re: ALERTE : Attaque en cours: PetrWrap

Messagede Vazkor » 30 06 2017

Salut,

Ce fichier de commandes (batch) peut être trouvé ici : https://download.bleepingcomputer.com/bats/nopetyavac.bat

En fait, il ne crée pas un, mais trois fichiers en lecture seule dans le dossier C:\WINDOWS : perfc, perfc.dat et perfc.dll

Lire la discussion sur Bleeping Computer (en anglais) :
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9735
Inscription: 05 11 2002
Localisation: Ans, BE

Re: ALERTE : Attaque en cours: PetrWrap

Messagede bellafago » 01 07 2017

Bonjour,



Merci pour cette vaccination Vazkor.
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005

Re: ALERTE : Attaque en cours: PetrWrap

Messagede piratebab » 01 07 2017

Merci,
je cherchai justement une synthèse de cette attaque.
Comme toujours, il suffit de chercher sur Assiste.fr!
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5556
Inscription: 30 08 2004

Suivante

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités