Petya (MBR Ransomware)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87316
Inscription : 10 sept. 2005 13:57
Contact :

Petya (MBR Ransomware)

Message par Malekal_morte » 24 mars 2016 23:21

Petya Ransomware est apparu fin mars 2016, il s'agit d'un rançongiciel qui écrase le MBR pour se charger à la place du système d'exploitation. Ce procédé de "bootkit-locker" n'est pas nouveau puisqu'en 2012 bootkitlock2.gen32 utilisait déjà ces pratiques.

Le message est sur fond rouge avec une tête de mort.

Image

Il y a un titre et des instructions: You became victim of the PETYA RANSOMWARE !

Petya clame avoir chiffré les fichiers et demande de payer une rançon pour les récupérer.

Image

Petya Ransomware en vidéo :


Si Petya n'a pas les permissions pour chiffrer le disque, il va installer un ransomware du nom de Mischa
mischa-ransomware_note.png
Mischa ransmware
Fonctionnement et récupération disque Petya Ransomware

La table des partitions est modifié par un chiffrement XOR, source : https://threatpost.com/researchers-lear ... re/117068/
Ceci a pour effet de rendre l'accès aux fichiers impossibles.

Le programme 010Editor permet de modifier le contenu de la table d'allocation des fichiers.
source : https://twitter.com/BleepinComputer/sta ... 0851531776

Vous avez aussi ce projet qui permet de récupérer un disque dont la table des partitions est chiffrée par Petya Ransomware : https://github.com/leo-stone/hack-petya

ou encore un CD Live contre Petya : https://hshrzd.wordpress.com/2016/03/31 ... y-decoder/



Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.

Liens connexes (ѠOOT):
https://threatpost.com/petya-ransomware ... le/117024/
http://blog.trendmicro.com/trendlabs-se ... computers/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 366
Inscription : 02 juin 2012 20:48

Ransomware Petya : Une solution

Message par Parisien_entraide » 11 avr. 2016 19:04

Les victimes peuvent souffler, le forum BleepingComputer a trouvé une solution. Par contre les explications sont en anglais alors si quelqu'un a le temps et l'envie de les traduire en français, ça serait gentil.

Lire http://www.bleepingcomputer.com/news/se ... -released/

Une méthode expliquée en français pour récupérer son MBR

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87316
Inscription : 10 sept. 2005 13:57
Contact :

Re: Petya Ransomware (MBR Ransomware)

Message par Malekal_morte » 13 mai 2016 16:15

Ajout d'une vidéo qui montre le ransomware Petya en action ainsi que la mention du Ransomware Mischa.

Ajout de ѠOOT : Janus Cybercrime Solutions - "Profit from Petya & Mischa!"
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87316
Inscription : 10 sept. 2005 13:57
Contact :

Re: Petya (MBR Ransomware)

Message par Malekal_morte » 28 juin 2017 00:35

Fin 2016, Petya fait son retour en utilisant la vulnérabilité SMB MS17-010 précédemment utilisées par Wana Decryptor (aka WannaCry).

Pas mal d'entreprises ont été touchées de par le monde qui fait penser qu'un autre vecteur a été utilisé pour apporter l'attaque au sein des entreprises pour ensuite utiliser la vulnérabilité pour se propager au sein des entreprises visées.
C'est en Ukraine et les pays de l'EST que l'attaque fait le plus mal.
Attaque-Ransomware-petya.jpg
L'attaque du Ransomware Petya en Juin 2016
Pas de quoi paniquer pour monsieur tout le monde.
source : https://blogs.technet.microsoft.com/mmp ... abilities/

L'analyse de Microsoft avec le mécanisme de Drop :
Petya-Ransomware-Worm.png
Le Ransomware Petya en version worm
Le schéma d'infection de Petya en version Worm :
Petya-Killchain.jpg
Le Ransomware Petya en version worm
source : https://blogs.technet.microsoft.com/mmp ... y-hygiene/

Le ransomware peut voler des comptes administrateurs du domaine pour infecter d'autres machines sur le réseau.

Lire la FAQ de l'attaque du Ransomware Petya pour tous les détails de l'attaque : FAQ - RAnsomware Petya

Quelques entreprises touchées par Petya :
Saint-Gobain. Le géant français des matériaux (170 000 salariés) a confirmé avoir été touché par « une cyberattaque », qui a notamment provoqué une panne de son système e-mail. Un porte-parole du groupe a affirmé que le problème était « en cours de résolution », après avoir mis à l’isolement une partie de son réseau informatique.

La SNCF. La compagnie feroviaire française a dit « subir l’attaque en cours » niant toutefois en être « victime », a insisté le porte-parole du groupe soulignant que les opérations de l’entreprise ferroviaire n’étaient pas affectées.

Merck. Le réseau informatique du géant de la pharamacie américain (68 000 salariés) a été « compromis, comme celui d’autres entreprises, dans le cadre d’un piratage global ».

Maersk. Le groupe de transport maritime (100 000 salariés), première entreprise du Danemark, a expliqué que ses systèmes informatiques étaient à l’arrêt dans plusieurs régions.

WPP Group. Le géant britannique de la publicité (180 000 salariés) a confirmé que les « systèmes informatiques dans plusieurs filiales » ont été touchés par « ce qui ressemble à une cyberattaque ».

Rosneft. Le groupe pétrolier russe Rosneft (260 000 salariés) a annoncé sur Twitter que ses serveurs avaient été touchés par une « cyberattaque de grande échelle » mais que sa production n’était pas affectée. Le site Internet de Rosneft était inaccessible.

Evraz. Le sidérurgiste russe (100 000 salariés) a aussi été visé mais a précisé que sa production n’avait pas été affectée.

DLA Piper. Le plus grand cabinet d’avocats au monde, basé à New York, a également été infecté – des messages d’employés sur les réseaux sociaux affirment que les salariés ont dû quitter les bureaux à Washington pour travailler de chez eux.

En Ukraine, le pays le plus touché, ce sont de très nombreuses entreprises et administrations de toutes tailles qui ont été paralysées par le virus. Parmi les principales victimes se trouvent notamment l’entreprise d’énergie Kyivenergo, qui a expliqué devoir couper tous ses ordinateurs, l’autre entreprise du secteur énergétique Ukrenergo, des aéroports et des administrations, y compris au plus haut niveau de l’Etat. Le distributeur français Auchan a également été touché dans le pays. Les services de plusieurs banques ukrainiennes, ainsi que des distributeurs de billets du métro de Kiev, étaient également hors service.
source : http://www.lemonde.fr/pixels/article/20 ... 08996.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités