Actualités de la sécurité

Un nouveau ransomware frappe le monde

Bastien Dubuc, 27 juin 2017

Une nouvelle cyberattaque mondiale frappe le monde et la France n'est pas épargnée.

Ce nouveau ransomware (rançongiciel en français) est communément appelé Petna mais c'est en réalité un ransomware qui est basé sur Petya. Il est apparu aujourd'hui en cours de journée.

Cette cyberattaque massive a commencé par frapper un certain nombre d'entreprises en Ukraine et en Russie, y compris les banques, les compagnies d'énergie, les services de transport et les services gouvernementaux.

Cependant, la France n'est pas epargnée et les premières victimes commencent à se faire connaître (comme l'es entreprises Saint-Gobain, Auchan et la SNCF par exemple).

Nous pensons que c'est un autre exemple de ransomware basé sur Petya, identifié pour la première fois en 2016. Il y a quelques mois, nous avons constaté que le ransomware Petya avait été corrigé et regroupé dans une souche de malware différente appelée PetrWrap.

L'attaque semble se propager avec des incidents signalés en Ukraine, en Russie, en Inde, en France, en Espagne, aux Pays-Bas et aux Etats-Unis. Les malfaiteurs derrière l'attaque demandent une rançon de 300 $ à payer en Bitcoin.

Sur le tweet d'Avast France ci-dessous, nous pouvons voir une capture d'écran avec le message du ransomware basé sur Petya une fois l'ordinateur bloqué : "Oups, vos fichiers importants ont été chiffrés".

Cette modification de Petya semble se propager à l'aide de la vulnérabilité EternalBlue, qui était la même vulnérabilité utilisée pour diffuser WannaCry. Nous avons vu 12 000 tentatives aujourd'hui par des logiciels malveillants pour exploiter EternalBlue, que nous avons détecté et bloqué.

Les données du Wi-Fi Inspector d'Avast, qui scanne les réseaux et peut détecter si un PC Avast ou un autre PC connecté au même réseau fonctionne avec la vulnérabilité EternalBlue, montre que 38 millions de PC numérisés la semaine dernière n'ont pas corrigé leurs systèmes et sont donc vulnérables. Le nombre réel de PC vulnérables est probablement beaucoup plus élevé. Les 4 principaux systèmes d'exploitation ciblés, selon nos données, sont (dans l'ordre): Windows 7 (78%), Windows XP (14%), Windows 10 (6%) et Windows 8.1 (2%).

petya-3.jpg


Nous recommandons vivement aux utilisateurs de Windows, peu importe s'ils sont particuliers ou professionnels, de mettre à jour leurs systèmes avec les correctifs disponibles dès que possible et de veiller à ce que leur logiciel antivirus soit également à jour.

Alors que nous ne savons pas qui est derrière cette cyberattaque particulière, nous savons que l'une des caractéristiques perfides du ransomware Petya est que ses créateurs l'offrent sur le darknet avec un modèle d'affiliation qui donne aux distributeurs une part de 85% du montant de la rente payée, tandis que 15% des auteurs de logiciels malveillants les conservent.

Les auteurs de logiciels malveillants fournissent l'infrastructure complète, les serveurs C&C et la méthode de transfert d'argent. Ce type de modèle s'appelle «Ransomware en tant que service (RaaS)», ce qui permet aux auteurs de logiciels malveillants de gagner des clients non spécialisés dans la technologie pour distribuer leur système de ransomware.

Si vous avez été touché par cette variante de Petya, nous vous recommendons fortement de ne pas payer de rançon car cela ne garantit absolument pas que l’accès aux données sera restauré. Le mieux pour vous protéger dans le futur est de faire des sauvegardes régulières de vos données personnelles, d'appliquer le patch correctif MS17-010 et de télécharger Avast sur votre ordinateur. 

Si votre PC est infecté par Petya, notre antivirus le détecte, le met en quarantaine et le détruit. Nous fournissons des mises à jour régulières pour vous protéger contre les éventuelles variantes futures.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.