• Petya Ransomware - Petware

Petya Ransomware - Petware

28 juin 2017

Le 27 juin dernier, un nouveau virus (Petya/Petware), ou plus précisément une infection par un logiciel de rançon (« ransomware »), a commencé à se propager en Ukraine, où il a infecté quelque 12.500 machines. Il s’est rapidement étendu à la Russie et à des pays européens, tels que le Danemark, les Pays-Bas, l’Espagne, la France, le Royaume-Uni et la Belgique. Il s’est ensuite répandu dans le monde entier, notamment au Brésil et aux États-Unis. 

Le nouveau logiciel de rançon, dénommé Petya ou Petware, se serait propagé par le biais de deux vulnérabilités connues, dont un exploit SMB (EternalBlue/DoublePulsar), auquel le logiciel de rançon Wannacry (WannaCrypt0r 2.0) a également eu recours. De plus, il possède un code semblable à « Ransom : Win32/Petya », d’où son nom, mais est plus sophistiqué que son prédécesseur. Il peut se déplacer de façon latérale, ce qui signifie qu’il suffit d'un(e) seul(e) machine ou appareil infecté(e) pour affecter un réseau plus large. Il se propage par le biais d'un Windows toolkit interne (WMIC) et de l’alternative Telenet PsExec. 

Petware est entre autres en mesure de : 

  • voler des identifiants ou réutiliser des sessions actives existantes ;
  • utiliser des partages de fichiers pour transférer le fichier malveillant vers des machines du même réseau ;
  • utiliser des fonctionnalités légitimes existantes afin d’effectuer le payload ou abuser des vulnérabilités SMB pour les machines ne disposant pas des patchs nécessaires.

En général, un logiciel de rançon se propage par le biais de différents canaux, tels que des annexes d’e-mails infectées, des programmes non mis à jour, des téléchargements logiciels gratuits et des sites compromis. Le vecteur initial d’attaque de Petware est pour l'instant inconnu mais il semblerait que le virus ait été répandu par le biais d'un document Excel avec une fausse signature Windows (LokiBot).

Une fois activé, le logiciel de rançon crypte certains types de fichiers stockés sur un appareil et/ou un réseau. Le logiciel de rançon Petware crypte les extensions suivantes : « .3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd. kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.v di.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv .work.xls.xlsx.xvd.zip ». Dès que le logiciel de rançon est actif, il affiche un message proposant de décrypter les données si un paiement est effectué dans un certain délai. 

Les informations actuelles indiquent que les systèmes qui sont équipés d'un patch pour WannaCry ne sont pas protégés de Petware. À l’heure actuelle, plusieurs systèmes d’exploitation (Windows XP, 7 et 10) sont infectés. 

En tant qu’organisation, que pouvons-nous faire contre ce type de logiciels de rançon ? 

  • Ne payez pas, surtout pas pour Petware, car l’adresse e-mail qui propose la clé de décryptage est offline. Il y a d’autres méthodes pour se remettre d’une attaque menée à l’aide d’un logiciel de rançon. 
  • Faites des sauvegardes afin de vous assurer que vous pouvez restaurer votre système en limitant les conséquences au maximum.
  • Effectuez des mises à jour de vos systèmes à temps et faites en sorte qu'ils disposent des patchs nécessaires (serveurs, postes de travail, etc.). 
  • Mettez votre antivirus et vos systèmes de détection et de prévention d’intrusions (IDS/IPS) à jour et envisagez Advanced Endpoint Protection (AEP).
  • Ne donnez pas à vos employés les droits d’un administrateur local.
  • Cherchez la « scheduled task » suivante et supprimez « C:\Windows\system32\shutdown.exe /r /f ». 
  • Informez vos employés des menaces en matière de cybersécurité par le biais de campagnes de sensibilisation et de formations.