[Info] Ransomware : Nouvelle attaque informatique d’ampleur visant les entreprises en Europe

[mwonex]

Bonjour et merci PatrciaG,

Je me doutais un peu de ce risque, je testerai donc sur le réseau résidentiel sous modem routeur Netgear avec smb1 désactivé sur les 3 PC .
Je rendrai compte un peu plus tard du résultat .
@+

[mwonex]

Bonjour,

Pour le ransomware petya et dérivés, ne jamais payer:
https://blog.malwarebytes.com/threat-an ... lsa20-key/

Au cours des deux derniers jours, d'autres sociétés de sécurité informatique ont confirmé les résultats initiaux. Par exemple, c'est la conclusion d'un rapport Malwarebytes publié hier:
Selon nos connaissances actuelles, les logiciels malveillants sont intentionnellement corrompus, de sorte que la clé Salsa n'a jamais été rétablie. Néanmoins, il est encore efficace pour amener les gens à payer la rançon. [...] Si vous êtes victime de ce malware et que vous envisagez de payer la rançon, nous vous prévenons: ne faites pas cela. C'est une arnaque et vous n'obtiendrez probablement jamais vos données

Selon Bleeping computer:
https://www.bleepingcomputer.com/news/s ... mpossible/

@+

[Patriciag]

Bonjour,

D'une manière générale, je pense qu'il ne faut jamais payer les rançons, en informatique du moins.

La prévention passe par la sauvegarde de ses données et la résolution par l'isolement des machines infectées.

UN article de ZDNet du 14 février 2017 conseille aux entreprises d'anticiper en disposant d'un compte bitcoin, de sauvegarder ses données et d'envisager la souscription d'une assurance.
Cet article conclut en prévoyant une forte augmentation des ransomwares.

Lisez les petits caractères de votre cyber-assurance
Une projection prévoit que le marché du ransomware passera de 8,16 milliards de dollars en 2016 à 17,36 milliards de dollars d'ici 2021. Pour les petites organisations, l'assurance est certainement une considération intéressante. Assurez-vous simplement de "lire les petits caractères" commente Shpantzer.

Source : http://www.zdnet.fr/actualites/ransomwa ... 848522.htm

@+

[chantal11]

Bonjour,

Un article technique MMPC qui détaille comment Windows 10 résiste mieux à ce type d'attaque

Windows 10 platform resilience against the Petya ransomware attack – Windows Security

@+

[Patriciag]

Bonjour,

Merci pour cet article.

Les experts en sécurité de Microsoft et du monde entier sont sur le pont.

Les pirates aussi, hélas.

Protection against ransomware attacks
The new Petya ransomware variant we saw this week is significantly more complex than the original. It also improved on WannaCrypt‘s spreading mechanisms by using a second exploit and adding more propagation methods

Les attaques deviennent très vite plus complexes et les protections doivent suivre.

Ce n'est sans doute que le début.

@+

[mwonex]

Bonjour,

Ooops..C'est malheureusement vrai:
http://www.zdnet.fr/actualites/clone-wa ... xtor=RSS-1
plus tout à fait l'Europe selon les uns, bref:

XData, PSCrypt, NotPetya,...

Le nouveau venu, qui n'a pas encore de nom spécifique, est donc un clone de WannaCry qui utilise l'interface graphique de la version originale et ses deux fameuses fonctionnalités : la demande de rançon et le compte à rebours

------------------------------------------

Dans tous les cas, la forme de rançongiciel semble n'être qu'une apparence : le but de ces logiciels n'est pas d'extorquer de l'argent mais bel et bien de générer une pagaille systémique.

De quoi désorganiser l'économie et abattre les infrastructures critiques de l'Ukraine à force d'insister.

et le "darknet" n'arrange rien:

Il est piloté depuis un serveur qui utilise le réseau d’anonymisation Tor.

https://www.bleepingcomputer.com/news/s ... cry-clone/
On attend les objets connectés
@+

[Patriciag]

Bonjour,

TheWindowsClub vient de publier un article sur le sujet.

Petya Ransomware / Le modus operandi de Wiper est un vin ancien dans une nouvelle bouteille.
http://www.thewindowsclub.com/petya-ran ... new-bottle

@+

[Patriciag]

Bonjour,

Il pleut des parades à Petya à ne plus savoir quoi en faire.

CyberGhost Immunizer est un nouvel outil présenté par TheWindowsClub, d'une manière très succincte, car l'éditeur n'a pas communiqué les détails de son fonctionnement
http://www.thewindowsclub.com/cyberghos ... -immunizer

En l'absence d'information plus précise, il est préférable de s'abstenir, selon moi.

Pour les personnes inquiètes, il vaut mieux utiliser la méthode présentée par Mwonex et Chantal plus haut dans ce topic.

@+

[mwonex]

Bonjour,

J'avais dit il plus haut que je testerais le réseau avec SMB 1.0 désactivé.

Je me doutais un peu de ce risque, je testerai donc sur le réseau résidentiel sous modem routeur Netgear avec smb1 désactivé sur les 3 PC .
Je rendrai compte un peu plus tard du résultat .

Eh bien je ne peux plus atteindre le portable "désactivé" de la sorte depuis le PC de bureau, mais j'ai pu l'atteindre depuis l'autre portable pour imprimer sur le PC de bureau, bizarre, mais instructif, la procédure de désactivation à "coupé" le réseau (une vue unique sur media?)

Situation immédiatement réversible en activant smb 1 dans le panneau/
securite-firewall-antivirus-f14/topic4176.html#p22503

@+

[Patriciag]

Bonjour,

Les dysfonctionnements suite à la désactivation de SMB1 n'affectent pas tous les utilisateurs de la même façon, c'est assez sibyllin.

Les trois PC sont-ils sont W10 ?

J'ai désactivé la semaine dernière SMB1 sur un réseau de 4 PC sous W10 avec une imprimante partagée et je l'ai constaté aucun dysfonctionnement, mais je sais que beaucoup sont obligés à réactiver SMB1 à cause d'une perte au moins partielle de leur réseau.

@+