Vaccination pour NotPetya/Petna/Petya

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 321
Inscription : 02 juin 2012 20:48

Vaccination pour NotPetya/Petna/Petya

Message par Parisien_entraide » 02 juil. 2017 08:07

Pour se protéger avec "LA SOUCHE ACTUELLE" de NotPetya/Petya/Petna qui outre le fait d'exploiter la faille MS17-010 , https://technet.microsoft.com/en-us/lib ... 7-010.aspx utilise d'autres vecteurs comme WMI, PsExec, il exisite une méthode facile d'accès
A_Not Peya 1.png
Lorsque NotPetya exécute PsExec, il utilise le commutateur -c pour s'installer / exécuter dans ADMIN $, car ce répertoire existe presque toujours sur des systèmes distants.

Il suffit de créer sous C:\windows un dossier "Perfc" et de le mettre en lecture seule (read only)

NotPetya recherche un fichier appelé perfc dans le répertoire C: \ Windows à l'aide d'un caractère générique, perfc. * lors de l'installation.

Remarque: vous pouvez créer un perfc.dll, perfc.dat et perfc.bin, etc., si vous voulez, mais actuellement rien ne suggère que cela procure un avantage supplémentaire.

Selon Microsoft, #NotPetya utilise 4 possibilités

- MeDoc auto update (infection initiale)
- EternalBlue exploit
- EternalRomance exploit
- Credential stealing (multiple methods)

A_Not Peya 2.png
On peut automatiser la chose avec un fichier .bat

LIEN DE TELECHARGEMENT :

https://download.bleepingcomputer.com/b ... tyavac.bat

Son auteur est Lawrence Adams, créateur du site bien connu BleepingComputer.com

Que contient ce fichier .bat ?
__________________
@echo off
REM Administrative check from here: https://stackoverflow.com/questions/405 ... min-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause
____________________

Pour ceux qui disposent de machines en réseau


https://www.pdq.com/blog/vaccinating-ne ... -notpetya/


INFORMATIONS COMPLEMENTAIRES :

https://blogs.technet.microsoft.com/mmp ... abilities/

Au 28 juin (fait suite à viewtopic.php?f=46&t=57701)
A_Not Peya 3.png
Eset Smart Security blocks the EternalRomance exploit
HitmanPro.Alert blocks any payloads started from DoublePulsar
Kaspersky Internet Security blocks the DoublePulsar install
Symantec Endpoint Protection blocks the network access to the DP backdoor
SentinelOne blocks any payloads started from DoublePulsar (Meterpreter, Peddlecheap tested)

POUR LECTURE : viewtopic.php?f=11&t=57653


Répondre

Revenir vers « Securite informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités