Il s’agit d’une annonce de service public  en raison de la nature répandue et sévère de cette attaque.
Une importante attaque de ransomware ciblant les systèmes Microsoft Windows affecte les entreprises et les systèmes, dont beaucoup sont critiques, à l’échelle mondiale.

Ce que nous savons

Une nouvelle variante de ransomware se répand rapidement dans le monde entier au moment de l’écriture. Il n’y a pas encore de consensus dans la communauté de la recherche sur la sécurité, de sorte que l’information suivante est provisoire:

Le ransomware a été baptisé «Petya». Il exploite une vulnérabilité dans Microsoft Office lors de la gestion des documents RTF (CVE-2017-0199). Il exploite également une vulnérabilité dans SMBv1 qui est le protocole de partage de fichiers Microsoft. Cette deuxième vulnérabilité est décrite dans le bulletin de sécurité Microsoft MS17-010.

Le ransomware a affecté un grand nombre d’entreprises, d’organisations et d’entités gouvernementales à l’échelle internationale.

Voici une capture d’écran de la page de ransomware dont vous êtes confronté une fois que vos fichiers sont cryptés:

petya

Colin Hardy a fourni une analyse comportementale de Petya, qui comprend une démonstration vidéo du malware en action:

Que faire ?

Si vous ne l’avez pas déjà fait, vous devez immédiatement installer le correctif MS17-010 patch from Microsoft.

Si vous exécutez actuellement un système Windows non programmé, il se peut que vous n’ayez pas le temps de le corriger avant d’être infecté. Envisagez d’arrêter votre machine, si possible, et de la laisser hors du réseau jusqu’à ce qu’il y ait un consensus dans la communauté de la recherche sur ce que cela exploite et sur la façon de la protéger.

Si vous êtes techniquement capable, nous vous recommandons de bloquer l’accès réseau au port 445 sur vos postes de travail Windows. Vous pouvez également surveiller le trafic vers ce port si vous êtes un professionnel de la sécurité.

Gardez un oeil sur le Centre de réponse de sécurité de Microsoft (Microsoft Security Response Center ) où ils afficheront rapidement des directives formelles.

Qui a été affecté jusqu’à présent

  • Une société d’électricité de l’Etat ukrainienne et l’aéroport principal de Kiev ont été parmi les premiers à signaler des problèmes.
  • La centrale nucléaire de Tchernobyl a dû surveiller manuellement les niveaux de rayonnement après avoir été obligé d’arrêter les systèmes Windows qu’ils utilisaient.
  • L’avion d’Antonov a signalé avoir été affecté.
  • La société d’expédition Maersk, basée à Copenhague, connaît des pannes dans de multiples systèmes informatiques et à travers plusieurs unités d’affaires.
  • Le géant de la nourriture Modelez, qui fait Oreo et Toblerone, a également été frappé.
  • La compagnie maritime néerlandaise TNT a également été touchée.
  • La société française de construction St. Gobain a été touchée.
  • La société pharmaceutique Merck affirme avoir des systèmes touchés.
  • Le cabinet d’avocats DLA Piper a été touché.
  • Heritage Valley Health System, un opérateur hospitalier américain, a également été frappé.
  • Le système de métro de Kiev a cessé d’accepter les cartes de paiement parce qu’ils ont été touchés.
    La liste est longue et croissante; Ci-dessus, juste un instantané.

Forte incitation aux attaquants

Beaucoup signalent la conviction que la société d’hébergement sud-coréenne qui a payé aux assaillants une rançon de 1 million de dollars il y a une semaine pour récupérer leurs données a créé une incitation majeure pour de futures crises de ransomware.

Cela a entraîné cette nouvelle série d’attaques affectant les systèmes à l’échelle mondiale.

Couverture de cette histoire

Les analystes de Symantec ont confirmé que Petya est similaire à WannaCry. (Petya is similar to WannaCry.)
La BBC fournit une excellente couverture.
Catalin Cimpanu est, comme d’habitude, offrant une excellente couverture. Il rapporte que Posteo, le fournisseur de messagerie où l’auteur de Petya héberge une boîte de réception pour gérer les réponses à la rançon, vient de fermer cette boîte de réception. Cela signifie que si vous avez été touché, vous ne pouvez plus contacter l’auteur de ransomware pour payer la rançon et vos données peuvent être perdues en permanence.
Dan Goodin à Ars Technica couvre également l’histoire.
L’information émerge en temps réel sur Twitter auprès de chercheurs en sécurité.
Merci à TruStar d’avoir fourni des analyses supplémentaires.

Annoncé par Wordfence