Vaccination pour NotPetya/Petna/Petya

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 10576
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Vaccination pour NotPetya/Petna/Petya

par Parisien_entraide »

Pour se protéger avec "LA SOUCHE ACTUELLE" de NotPetya/Petya/Petna qui outre le fait d'exploiter la faille MS17-010 , https://technet.microsoft.com/en-us/lib ... 7-010.aspx utilise d'autres vecteurs comme WMI, PsExec, il exisite une méthode facile d'accès
A_Not Peya 1.png
Lorsque NotPetya exécute PsExec, il utilise le commutateur -c pour s'installer / exécuter dans ADMIN $, car ce répertoire existe presque toujours sur des systèmes distants.

Il suffit de créer sous C:\windows un dossier "Perfc" et de le mettre en lecture seule (read only)

NotPetya recherche un fichier appelé perfc dans le répertoire C: \ Windows à l'aide d'un caractère générique, perfc. * lors de l'installation.

Remarque: vous pouvez créer un perfc.dll, perfc.dat et perfc.bin, etc., si vous voulez, mais actuellement rien ne suggère que cela procure un avantage supplémentaire.

Selon Microsoft, #NotPetya utilise 4 possibilités

- MeDoc auto update (infection initiale)
- EternalBlue exploit
- EternalRomance exploit
- Credential stealing (multiple methods)

A_Not Peya 2.png
On peut automatiser la chose avec un fichier .bat

LIEN DE TELECHARGEMENT :

https://download.bleepingcomputer.com/b ... tyavac.bat

Son auteur est Lawrence Adams, créateur du site bien connu BleepingComputer.com

Que contient ce fichier .bat ?
__________________
@echo off
REM Administrative check from here: https://stackoverflow.com/questions/405 ... min-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause
____________________

Pour ceux qui disposent de machines en réseau

https://www.pdq.com/blog/vaccinating-ne ... -notpetya/


INFORMATIONS COMPLEMENTAIRES :

https://blogs.technet.microsoft.com/mmp ... abilities/

Au 28 juin (fait suite à viewtopic.php?f=46&t=57701)
A_Not Peya 3.png
Eset Smart Security blocks the EternalRomance exploit
HitmanPro.Alert blocks any payloads started from DoublePulsar
Kaspersky Internet Security blocks the DoublePulsar install
Symantec Endpoint Protection blocks the network access to the DP backdoor
SentinelOne blocks any payloads started from DoublePulsar (Meterpreter, Peddlecheap tested)

POUR LECTURE : https://forum.malekal.com/viewtopic.php?f=11&t=57653
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Haut

Revenir à « Securite informatique »