Petya/Petrwap : un nouveau ransomware en balade

Petya/Petrwap fait couler beaucoup d’encre depuis hier soir et cela n’a rien de surprenant. Ce nouveau ransomware est en train de se répandre à travers le monde. Il aurait touché de nombreuses entreprises en Europe, notamment en France.

L’attaque a été lancée hier en fin d’après-midi. Le ransomware exploiterait une faille similaire à celle de WannaCrypt et il toucherait toutes les versions de Windows, macOS et Linux étant pour leur part épargnés.

Petya

Le virus semble prendre plusieurs formes différentes. Dans certains cas, il se cachera derrière une interface similaire à celle du fameux chkdsk pour tromper la vigilance des utilisateurs.

Petya/Petrwap : une nouvelle menace pèse sur nos entreprises

Une fois les données chiffrées, le malware affichera un message sur l’écran de l’ordinateur infecté pour réclamer une rançon en bitcoins en échange de la clé de chiffrement, une rançon dont le montant avoisine les 300 dollars. Les autorités conseillent cependant de ne pas la payer.

Rien ne dit en effet que les hackers responsables de l’attaque respecteront leur promesse.

Si l’on en croit le bulletin d’alerte publié par le CERT, alors le vecteur d’infection initial utiliserait des techniques de phishing. Le virus serait donc transmis sous la forme de pièces jointes par courrier électronique.

En attendant d’en savoir plus, il sera donc préférable de ne pas ouvrir les documents envoyés par courriers électroniques, et ce même s’ils proviennent de contacts identifiés.

Petya/Petrwap ne se limite évidemment pas aux postes clients. Il s’attaque aussi aux serveurs et il a fait pas mal de dégâts depuis hier soir.

Les premiers cas ont ainsi été signalés en Ukraine et le pays a été durement touché puisque le ransomware a réussi à infecter l’aéroport de Kiev, la banque centrale et l’opérateur national d’énergie. Volodymyr Hroïsman, l’actuel premier ministre du gouvernement, a évoqué pour sa part une attaque sans précédent tout en cherchant à se montrer rassurant.

Un virus venu d’Ukraine

Les systèmes vitaux du pays n’auraient effectivement pas été touchés.

Toutefois, le virus ne s’est pas cantonné au territoire ukrainien et il s’est ainsi répandu à travers l’Europe dans les heures suivantes. La France a notamment été touchée et plusieurs entreprises comme Saint-Gobain ou la SNCF ont pris des mesures pour éviter que l’infection ne se propage sur leur réseau. Auchan a lui aussi été touché.

Pour le moment, aucun correctif n’a été proposé. Toutefois, de nombreux chercheurs en sécurité travaillent sur une solution.

En attendant, le CERT recommande aux utilisateurs de mettre à jour leur ordinateur et d’installer notamment la mise à jour de sécurité Microsoft MS17-010 sur leur machine. Il est également conseillé de limiter l’exposition du service SMB et d’empêcher l’exécution de PSExec et de perfc.dat sur les ordinateurs tout en empêchant la création de processus à distance par WMI, sans oublier de bloquer la diffusion des fichiers RTF par les serveurs de messagerie. Le virus utilise en effet ce format de fichiers pour se répandre à travers le monde.

Si une de vos machines est touchée, alors il est impératif de la débrancher immédiatement du réseau pour éviter que l’infection ne se propage aux autres appareils connectés.