Virus alerte - Ransomware
Depuis quelques jours, une nouvelle attaque informatique mondiale fait parler d’elle. A l’aide d’un ransomware, elle tente de chiffrer les données d’un maximum d’ordinateur. L’objectif est de soutirer de l’argent à leurs propriétaires. L’attaque est virulente puisqu’un grand nombre d’entreprises et d’organisations ont été touchées en Europe.
Dans une analyse approfondie de l’infection, Microsoft explique que le logiciel malveillant incriminé est une version dérivée du ransomware Petya déjà connue. Selon Redmond, son système d’exploitation Windows est entièrement sécurisé pour le combattre.
Dans son intervention, le géant explique que nous avons affaire à une variante « moderne » du ransomware Win32 / Petya. Il a été identifié dans le processus de mise à jour de MEDoc. MEDoc est une suite logicielle de comptabilité fiscale développée par une entreprise ukrainienne appelée M.E.Doc. Les attaquants ont réussi à livrer le ransomware au cours du processus de mise à jour, ce qui explique pourquoi autant d’ordinateurs en Ukraine ont été touchés, y compris ceux des hôpitaux, des aéroports et même de l’usine de Tchernobyl.
Le processus « EzVit.exe » a été détecté en exécutant une ligne de commande malveillante le mardi 27 juin vers 10h30 GMT. Une fois qu’elle a atteint un système, l’application malveillante a tenté de compromettre tous les autres ordinateurs du réseau.
A la question de savoir si les ordinateurs Windows sont vulnérables, Microsoft indique que non. Windows est protégé à l’unique condition qu’il soit entièrement mis à jour. Cela comprend les patchs et les correctifs pour le système et les dernières définitions de virus pour Windows Defender.
Ce ransomware exploite, pour se propager, plusieurs méthodes dont celle utilisée par Wannacryt au nom de code « EternalBlue » et la méthode au nom de code EternalRomance. Les deux ont été corrigées par Microsoft au travers de la publication du patch « MS17-010 » disponible depuis le mois de mars dernier.
Les utilisateurs de Windows sont invités à vérifier si leur système est bien à jour en particulier avec la présence ou non de ce patch MS17-010. A cela s’ajoute la détection par Windows Defender de ce ransomware. Il est identifié sous le nom de “Win32 / Petya”. Il faut pour cela disposer de la définition de virus v1.247.197.0.
Sur les ordinateurs où le déploiement des derniers correctifs n’est pas encore possible, les utilisateurs sont invités à désactiver « SMBv1 ». A cela s’ajoute la mise en place d’une règle sur le routeur ou le pare-feu afin de bloquer le trafic SMB entrant sur le port 445.
Microsoft explique
“Étant donné que la menace cible les ports 139 et 445, vos clients peuvent bloquer tout le trafic sur ces ports afin d’éviter toute propagation à l’intérieur ou à l’extérieur des machines du réseau. Vous pouvez également désactiver le WMI distant et le partage de fichiers. L’impact négatif sur la capacité de votre réseau est importante, mais cela peut être suggéré pour une période assez courte, juste le temps d’avoir une évaluation des risques et procéder à l’installation des mises à jour nécessaires»
Aucune mise à jour d’urgence n’a été publiée par Microsoft cette fois. Contrairement à Wannacrypt, Windows semble donc armé.
Les problèmes d’instabilité en gaming des plateformes Core de 13 et 14ième génération ne sont… Lire d'avantage
Les fan de la série Tom Raider peuvent profiter de Tomb Raider : Definitive Edition… Lire d'avantage
Le MasterBox 600 est un boitier flux d’air. Signé Cooler Master il se décline en… Lire d'avantage
Gigabyte confirme le nom de la a prochaine génération de processeur Ryzen. Les Ryzen 9000… Lire d'avantage
Microsoft propose une nouvelle Preview de Windows 11, la build 22635.3566. Elle apporte 2 améliorations… Lire d'avantage
La mise à jour cumulative Windows 11 KB5036980 n’ajoute pas seulement de la publicité. Certaines… Lire d'avantage