Depuis quelques jours, une nouvelle attaque informatique mondiale fait parler d’elle. A l’aide d’un ransomware, elle tente de chiffrer les données d’un maximum d’ordinateur. L’objectif est de soutirer de l’argent à leurs propriétaires. L’attaque est virulente puisqu’un grand nombre d’entreprises et d’organisations ont été touchées en Europe.
Dans une analyse approfondie de l’infection, Microsoft explique que le logiciel malveillant incriminé est une version dérivée du ransomware Petya déjà connue. Selon Redmond, son système d’exploitation Windows est entièrement sécurisé pour le combattre.
Dans son intervention, le géant explique que nous avons affaire à une variante « moderne » du ransomware Win32 / Petya. Il a été identifié dans le processus de mise à jour de MEDoc. MEDoc est une suite logicielle de comptabilité fiscale développée par une entreprise ukrainienne appelée M.E.Doc. Les attaquants ont réussi à livrer le ransomware au cours du processus de mise à jour, ce qui explique pourquoi autant d’ordinateurs en Ukraine ont été touchés, y compris ceux des hôpitaux, des aéroports et même de l’usine de Tchernobyl.
Le processus « EzVit.exe » a été détecté en exécutant une ligne de commande malveillante le mardi 27 juin vers 10h30 GMT. Une fois qu’elle a atteint un système, l’application malveillante a tenté de compromettre tous les autres ordinateurs du réseau.
A la question de savoir si les ordinateurs Windows sont vulnérables, Microsoft indique que non. Windows est protégé à l’unique condition qu’il soit entièrement mis à jour. Cela comprend les patchs et les correctifs pour le système et les dernières définitions de virus pour Windows Defender.
Ce ransomware exploite, pour se propager, plusieurs méthodes dont celle utilisée par Wannacryt au nom de code « EternalBlue » et la méthode au nom de code EternalRomance. Les deux ont été corrigées par Microsoft au travers de la publication du patch « MS17-010 » disponible depuis le mois de mars dernier.
Petya, mon PC Windows est-il protégé ?
Les utilisateurs de Windows sont invités à vérifier si leur système est bien à jour en particulier avec la présence ou non de ce patch MS17-010. A cela s’ajoute la détection par Windows Defender de ce ransomware. Il est identifié sous le nom de “Win32 / Petya”. Il faut pour cela disposer de la définition de virus v1.247.197.0.
Sur les ordinateurs où le déploiement des derniers correctifs n’est pas encore possible, les utilisateurs sont invités à désactiver « SMBv1 ». A cela s’ajoute la mise en place d’une règle sur le routeur ou le pare-feu afin de bloquer le trafic SMB entrant sur le port 445.
Microsoft explique
“Étant donné que la menace cible les ports 139 et 445, vos clients peuvent bloquer tout le trafic sur ces ports afin d’éviter toute propagation à l’intérieur ou à l’extérieur des machines du réseau. Vous pouvez également désactiver le WMI distant et le partage de fichiers. L’impact négatif sur la capacité de votre réseau est importante, mais cela peut être suggéré pour une période assez courte, juste le temps d’avoir une évaluation des risques et procéder à l’installation des mises à jour nécessaires»
Aucune mise à jour d’urgence n’a été publiée par Microsoft cette fois. Contrairement à Wannacrypt, Windows semble donc armé.
