La nouvelle ne vous aura pas échappé… une nouvelle variante de Petya est à l’origine du chiffrement de nombreux systèmes.
La famille de malwares Petya n’est pas nouvelle et l’un de nos chercheurs a déjà réalisé un post de blog concernant ce malware par le passé. Il s’agit d’un ransomware disponible sous forme de service et qui épargne aux cybercriminels de développer leur propre malware.
Le ransomware fait en sorte que l’utilisateur infecté ne puisse récupérer ses données qu’après le paiement d’une rançon équivalant à 300 dollars en bitcoins. Il est important de noter qu’aucun paiement jusqu’à présent n’a abouti à un décryptage réussi.
La manière dont le malware se propage :
Cette dernière variante utilise trois principaux moyens d’attaque pour se propager :
CVE-017-0199 ( Microsoft Office / WordPad Remote Code Execution Vulnerability w / Windows API) – un vecteur basé sur le poste client qui se diffuse par courrier électronique. (Très probablement en pièce jointe – le vecteur initial se dissimulait dans un fichier nommé Order-20062017.doc.)
Impact de l’infection :
Il semble que ce ransomware visait initialement des cibles en Ukraine, via un logiciel de comptabilité, bien que des rapports plus récents semblent confirmer que l’attaque affecte également des systèmes en Espagne, en France, en Russie et en Inde. En effet, un plus grand nombre d’organisations de par le monde pourraient bien être affectées au fur et à mesure que les gouvernements et les entreprises du monde entier se retrouvent exclus de leurs propres machines.
Ce malware est plus malveillant que la plupart des variétés de ransomware. En effet, Petya ne crypte pas uniquement les fichiers sur un système ciblé un par un – il crypte également la table de fichiers maîtres du disque dur (MFT), ce qui qui rend le secteur d’amorçage (MBR) inutilisable et empêche le système de démarrer.
Lors du redémarrage du système infecté, le ransomware affiche une fausse erreur de CHKDSK, ên même temps qu’il procède au chiffrement du système.
Le processus CHKDSK qui s’affiche est en fait l’opération de chiffrement du système.
Cependant, le ransomware Petya a en réalité remplacé le MBR du système par un code malveillant qui affiche une demande de rançon, rendant le périphérique incapable de démarrer :
Pour les clients qui possèdent Juniper SRX et IDP, MS17-010 est couvert par plusieurs CVE et leurs signatures correspondantes.
Petya ayant été distribué par le passé via des campagnes de spam, les techniques d’inspection de courrier électronique embarquées dans Juniper Networks SkyATP sont en mesure d’identifier ce malware.
Plus d’informations disponibles à cette adresse : https://forums.juniper.net/t5/Secur…
http://www.globalsecuritymag.fr/Nouvelle-variante-de-Petya-l,20170628,72226.html