Dans le même esprit que wanacryptor, petya utilise une vulnérabilité Microsoft Windows affectant les systèmes de XP à 2008 sur le port TCP 445.
Le patch existe : MS17-010
Son exploitation est facilitée par la fuite de la boite à outil de la NSA il y a quelques mois. C’est ici encore l’exploit ETERNALBLUE modifié qui est utilisé, mais pas seulement !
Petya embarque un outil du type mimikatz lui permettant de récupérer les identifiants/passes locaux de la machine puis les transmet à PsExec ou WMIC pour se propager au sein du réseau.
Vous comprendrez aisément qu’une unique machine ayant des droits d’administration sur le réseau, permet dès lors l’infection complète et massive de l’ensemble des systèmes qu’elle peut administrer.
Une fois installé, le ransomware attend entre 10 et 60 minutes pour rebooter la machine infectée, via schtasks ou simplement shutdown.exe.
Au boot, il chiffre la table MFT des partitions NTFS puis réécrit le MBR avec une note particulière sur l’infection et le moyen de payer la rançon.
Peut-on déchiffrer les fichiers ?
Je crains fort que non, le malware utilisant les standards de chiffrement fort :
– Une clé AES de 128b est générée de manière unique pour chiffrer les fichiers.
– Cette clé est elle-même chiffrée par une clé publique RSA 2048b.
Quelques recommandations pour se prémunir de ce type d’attaques:
- Utilisez un antivirus robuste intégrant une technologie de sandboxing (Sophos, Trend Micro, Kaspersky)
- Configurez vos environnements Microsoft avec les mises à jour automatiques. A défaut, patchez la vulnérabilité MS17-010.
- N’ouvrez pas les pièces jointes d’expéditeurs inconnus
- Assurez vos sauvegardes en ayant une copie offline
Pour les experts sécurité, les patterns YARA pour cette version de ransomware sont les suivantes :
$a1 = “MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu” fullword wide
$a2 = “.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls” fullword wide
$a3 = “DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED” fullword ascii
$a4 = “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” fullword ascii
$a5 = “wowsmith123456@posteo.net.” fullword wide
condition:
(uint16(0) == 0x5A4D) and
(filesize<1000000) and
(any of them)
}


- Comment fonctionne le ransomware utilisé dans l’attaque en cours depuis quelques heures ? Comment s’en prémunir ? - 28 juin 2017
- CRYPTOLOCKER : MENACE INCONTOURNABLE OU INDICATEUR DU MANQUE D’ORGANISATION DES ENTREPRISES ? - 2 novembre 2016
- L’INGÉNIERIE SOCIALE OU L’EXPLOITATION DU POTENTIEL HUMAIN - 2 novembre 2016
- ISO 27001 – EST-IL INDISPENSABLE DE SE FAIRE CERTIFIER ? - 2 novembre 2016