Voici une FAQ pour répondre à toutes les questions concernant l’attaque du Ransomware Petya.
Le but est de répondre aux principales questions sur ce ransomware Petya et l’attaque mondiale.
Q – Qu’est-ce que le Ransomware Petya ?
Petya est un ransomware apparu débt 2016. Le ransomware Petya n’est donc pas nouveau (voir La fiche du ransomware Petya (MBR Ransomware)
Contrairement aux autres ransomwares, Petya ne s’attaque pas aux fichiers pour les chiffrer un par un en changeant l’extension mais s’attaque aux systèmes de fichiers.
Petya s’attaque au MTF pour rendre la partition de disque illisible puis inscrit dans le Master Boot Record, un petit logiciel qui va afficher les informations de paiements au démarrage de l’ordinateur.
Ainsi, même en démarrant sur un Live CD ou en branchant le disque dur sur un ordinateur tiers, les données ne sont plus lisibles.
Les ordinateurs en EFI (ordinateur récent) peuvent donc être épargné, à confirmer.
La vidéo suivante présente WannaCry et les implications de sécurité :
Q – On parle d’attaque du ransomware Petya, qu’en-est-il ?
Il s’agit du même type d’attaque que WannaCry.
Le vecteur utilisé et donc l’exploitation d’une vulnérabilité distante (Mars 2017) qui permettant de charger le ransomware Petya.
C’est le même principe que les vers informatiques, lire notre dossier sur les vers informatiques (worm) : vers informatiques (worms) : description et fonctionnement
Beaucoup d’entreprises de part le monde ont été touchées, il semblerait d’ailleurs que les auteurs, visent en premier les entreprises.
L’attaque utilisée n’a pas encore été complètement comprise, mais il semblerait qu’un premier vecteur de distribution (mail vérolé ?) soit utilisé pour faire lancer l’outil va ensuite attaquer tous le ordinateurs du réseau de l’entreprise.
Si des ordinateurs sont vulnérables, le ransomware est alors exécuté sur la machine.
A noter que les pays de l’Europe de l’Est et surtout l’Ukraine sont très touchés.
Q – Suis-je vulnérable ?
Si vous maintenez Windows à jour alors vous êtes protégé contre la vulnérabilité utilisée par Petya et WannaCry (lire la FAQ WannaCry).
De plus, en France, les particuliers se connectent derrière un routeur/box, les ordinateurs ne sont donc pas directement attaquables.
Afin de pouvoir infecter un ordinateur, il faut remplir plusieurs conditions :
- L’ordinateur doit être vulnérable, comprenez que Windows ne doit pas être à jour et que la vulnérabilité utilisée ne soit pas corrigée. Dans le cas de WannaCry, cela concerne la vulnérabilité MS17-010 dont les mises à jour Windows ont été mis en ligne en mars 2017.
- La vulnérabilité distante doit être accessible :
- Lors d’une connexion à internet, si vous êtes derrière un routeur/box, vous n’êtes pas concerné directement
- Depuis un réseau local (LAN), il faut qu’un ordinateur infecté soit actif et envoie des trames dans tout le réseau
- Le service réseau de Windows vulnérable, en l’occurrence SMB, qui est le serveur de partage de fichiers doit être accessible (non filtré par un pare-feu).
En clair donc, vous pouvez tomber su des alertes qui parlent d’attaques mondiales.
Même si cela peut paraître impressionnant, il ne faut pas paniquer.
L’article FAQ – Ransomware Petya est apparu en premier sur malekal's site.