Actualité web & High tech sur Usine Digitale

Comment se protéger (en urgence) contre le ransomware NotPetya

mis à jour le 28 juin 2017 à 13H15
Twitter Facebook Linkedin Google + Email
×

Dans la lignée de WannaCry, un nouveau malware s'attaque à de nombreuses machines à travers le monde, qu'elles soient issues de petites ou grandes entreprises, ou même d'infrastructures critiques. S'il prend la forme d'un ransomware, le malware semble en réalité surtout conçu pour saboter ses victimes, purement et simplement. Dans l'urgence, un chercheur a découvert une parade simple mais efficace qui empêche l'infection sur une machine encore saine.

Comment se protéger (en urgence) contre le ransomware NotPetya
L'écran qu'affiche le ransomware au démarrage.

Un nouveau malware frappe actuallement un grand nombre d'infrastructures mondiales, touchant entre autres les entreprises Nivea, Maersk, Merck, Mondelez, Saint Gobain, WPP et (apparemment) Rosneft. L'Ukraine serait particulièrement touchée. Ses organes gouvernementaux, ses banques et de nombreux opérateurs d'importance vitale (notamment dans l'énergie) seraient atteints. Si l'Europe semble la plus concernée, les Etats-Unis ne sont pas épargnés. Des hôpitaux dans la région de Pittsburgh seraient paralysés, et l'entreprise DLA Piper aurait subi des dysfonctionnements. Au total, Kaspersky Lab estime qu'au moins 2000 entreprises sont été atteintes dans le monde à ce jour.

 

De multiples vecteurs de contagion

Le malware se fait passer pour Petya, un ransomware déjà connu, mais a été recréé en intégralité. Il s'appuie sur la même vulnérabilité que WannaCry, un ransomware datant de mai qui avait déjà causé des sueurs froides aux DSI du monde entier. Cette vulnérabilité, présente dans d'anciens systèmes d'exploitation Windows dont les mises à jour n'ont pas été faites, permet au malware de les infecter automatiquement dès lors qu'ils sont exposés à l'Internet, via le protocole SMB. Pis, NotPetya (ainsi baptisé par Kaspersky Lab) utilise un outil appelé LSADump ainsi que la ligne de commande de Windows (WMIC et PSEXEC) pour se répandre sur le réseau interne de l'entreprise. Des machines normalement protégées car mises à jour peuvent ainsi être infectées dès lors qu'elles sont en réseau avec un ordinateur vulnérable ou que le malware a été exécuté localement.

 

La rançon ne serait qu'un prétexte ?

Le cyber-gendarme ukrainien a notamment indiqué que les victimes gouvernementales dans ce pays ont été infectées via une version corrompue du logiciel de comptabilité ME Doc. A noter par ailleurs que s'il chiffre bien les machines infectées et demande une rançon en bitcoin (l'équivalent de 300 dollars) pour les débloquer, NotPetya n'est pas un ransomware très efficace. Il utilise une adresse bitcoin unique pour toutes les infections (les ransomwares génèrent habituellement une adresse pour chaque infection afin de réduire la traçabilité de l'argent) et propose aux victimes de communiquer avec les perpétrateurs par email si nécessaire, au lieu d'un moyen de communication moins facile à pister comme Tor (le réseau d'anonymisation que le grand public associe généralement avec le "dark web"). En conséquence, certains chercheurs, comme Kevin Beaumont, suspectent l'objectif de NotPetya de ne pas réellement être le gain financier, mais plutôt de créer la panique et de saboter certaines infrastructures. Payer la rançon n'aurait donc probablement aucun effet.

 

Il existe une parade en cas d'urgence

Pour se protéger, absolue nécessité en 2017 est d'utiliser une version récente de Windows (Windows 10) et de faire systématiquement les mises à jour de sécurité, puis de suivre les bonnes pratiques en matière d'hygiène informatique. Dans l'urgence, le chercheur Amit Serper a de plus trouvé une parade à l'infection, pour peu que les machines ne soient pas encore touchées. Si elles sont infectées, il est trop tard. Autrement, il a découvert qu'il suffit de créer un fichier appelé "perfc" dans le répertoire "c:\windows" et le mettre en "lecture seule" (ce qui empêche de l'écraser) pour bloquer l'attaque (car le malware cherche à créer ce même fichier). Il faut cependant bien garder en tête que ce remède n'est que temporaire et ne fait pas office de parade absolue.

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale