FAQ – Ransomware Petya

Voici une FAQ pour répondre à toutes les questions concernant l’attaque du Ransomware Petya.
Le but est de répondre aux principales questions sur ce ransomware, Petya et l’attaque mondiale.

Petya peut être nommé par certains éditeurs d’antivirus en Goldeneye.

L’attaque du ransomware Petya

Q – Qu’est-ce que le Ransomware Petya ?

Petya est un ransomware apparu débt 2016. Le ransomware Petya n’est donc pas nouveau (voir La fiche du ransomware Petya (MBR Ransomware)

Comme les autres ransomwares, Petya s’attaque aux fichiers pour les chiffrer un par un en changeant l’extension mais en plus Petya attaque  les partitions de disque.
Petya rend ces partitions illisibles et modifient la zone de démarrage pour y un petit logiciel qui va afficher les informations de paiements au démarrage de l’ordinateur. Cette modification se fait à travers un faux scan chkdsk.
Ainsi, même en démarrant sur un Live CD ou en branchant le disque dur sur un ordinateur tiers, les données ne sont plus lisibles.

La vidéo suivante présente WannaCry et les implications de sécurité :

Q – On parle d’attaque du ransomware Petya, qu’en-est-il ?

Il s’agit du même type d’attaque que WannaCry.
Le vecteur utilisé et donc l’exploitation de deux vulnérabilités distantes :

  • CVE-2017-0144 utilisé par WannaCry à travers l’outil EternalBlue
  • CVE-2017-0145 grâce à l’outil EternalRomance

Ces deux vulnérabilités ont été corrigé par le bulletin Microsoft MS17-010 de Mars 2017.

C’est le même principe que les vers informatiques, lire notre dossier sur les vers informatiques (worm) : vers informatiques (worms) : description et fonctionnement. Si l’ordinateur est vulnérable, non à jour ou protégé par un pare-feu, ce dernier peut être infecté par le ransomware Petya.

Beaucoup d’entreprises de part le monde ont été touchées par le raçongiciel Petya, il semblerait d’ailleurs que les auteurs, visent en premier les entreprises.
WannaCry envoyait des trames par internet, il semblerait ici que des attaques plus spécifiques contre des entreprises aient été menés, même s’il est encore trop tôt pour être sûr.
Le vecteur initial utilisé est une mise à jour corrompue du logiciel Medoc qui a pu permettre d’infecter un ordinateur et donc entrer dans le réseau de l’entreprise.
A partir de là, les outils Eternal ont été lancé pour infecter les ordinateurs vulnérables de l’entreprise.
Si des ordinateurs sont vulnérables, le ransomware est alors exécuté sur la machine. Si le réseau possède des centaines d’ordinateurs et que des dizaines sont vulnérables, cela peut donc faire assez mal.

Il semblerait d’autre part que le rançongiciel soit aussi installé avec des outils pour voler des comptes de domaines réseaux afin d’infecter d’autres ordinateurs.
Ceci montrent, une nouvelle fois, que l’attaque a été pensée pour viser des entreprises.

A noter que les pays de l’Europe de l’Est et surtout l’Ukraine sont très touchés.

Q – Suis-je vulnérable ?

Si vous maintenez Windows à jour alors vous êtes protégé contre la vulnérabilité utilisée par Petya et WannaCry (lire la FAQ WannaCry).
De plus, en France, les particuliers se connectent derrière un routeur/box, les ordinateurs ne sont donc pas directement attaquables.

Afin de pouvoir infecter un ordinateur, il faut remplir plusieurs conditions :

  • L’ordinateur doit être vulnérable, comprenez que Windows ne doit pas être à jour et que la vulnérabilité utilisée ne soit pas corrigée. Dans le cas de WannaCry et Petya, cela concerne la vulnérabilité MS17-010 dont les mises à jour Windows ont été mis en ligne en mars 2017.
  • La vulnérabilité distante doit être accessible :
    • Lors d’une connexion à internet, si vous êtes derrière un routeur/box, vous n’êtes pas concerné directement
    • Depuis un réseau local (LAN), il faut qu’un ordinateur infecté soit actif et envoie des trames dans tout le réseau
    • Le service réseau de Windows vulnérable, en l’occurrence SMB, qui est le serveur de partage de fichiers doit être accessible (non filtré par un pare-feu).

En clair donc, vous pouvez tomber sur des alertes qui parlent d’attaques mondiales.
Même si cela peut paraître impressionnant, il ne faut pas paniquer.

Sécuriser Windows contre les attaques  du Ransomware Petya

Sauvegarde vos documents importants afin de prévenir toutes prises en otage des données ou perte suite à un problème matériel, plus d’informations : Sauvegarder ses données sur Windows.

Pour sécuriser Windows, vous pouvez suivre nos dossiers :

Parmi les actions recommandées en plus de maintenir Windows à jour :

  1. Comment se protéger des scripts malicieux sur Windows et limiter PowerShell : Les virus Powershell
  2. Firewall Windows : les bon régalges
Print Friendly, PDF & Email
(Visité 1 032 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet