Petya (MBR Ransomware)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 116682
Inscription : 10 sept. 2005 13:57

Petya (MBR Ransomware)

par Malekal_morte »

Petya Ransomware est apparu fin mars 2016, il s'agit d'un rançongiciel qui écrase le MBR pour se charger à la place du système d'exploitation. Ce procédé de "bootkit-locker" n'est pas nouveau puisqu'en 2012 bootkitlock2.gen32 utilisait déjà ces pratiques.

Le message est sur fond rouge avec une tête de mort.

Image

Il y a un titre et des instructions: You became victim of the PETYA RANSOMWARE !

Petya clame avoir chiffré les fichiers et demande de payer une rançon pour les récupérer.

Image

Petya Ransomware en vidéo :


Si Petya n'a pas les permissions pour chiffrer le disque, il va installer un ransomware du nom de Mischa
mischa-ransomware_note.png
Fonctionnement et récupération disque Petya Ransomware

La table des partitions est modifié par un chiffrement XOR, source : https://threatpost.com/researchers-lear ... re/117068/
Ceci a pour effet de rendre l'accès aux fichiers impossibles.

Le programme 010Editor permet de modifier le contenu de la table d'allocation des fichiers.
source : https://twitter.com/BleepinComputer/sta ... 0851531776

Vous avez aussi ce projet qui permet de récupérer un disque dont la table des partitions est chiffrée par Petya Ransomware : https://github.com/leo-stone/hack-petya

ou encore un CD Live contre Petya : https://hshrzd.wordpress.com/2016/03/31 ... y-decoder/



Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.

Liens connexes (ѠOOT):
https://threatpost.com/petya-ransomware ... le/117024/
http://blog.trendmicro.com/trendlabs-se ... computers/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20902
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Ransomware Petya : Une solution

par Parisien_entraide »

Les victimes peuvent souffler, le forum BleepingComputer a trouvé une solution. Par contre les explications sont en anglais alors si quelqu'un a le temps et l'envie de les traduire en français, ça serait gentil.

Lire http://www.bleepingcomputer.com/news/se ... -released/

Une méthode expliquée en français pour récupérer son MBR
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116682
Inscription : 10 sept. 2005 13:57

Re: Petya Ransomware (MBR Ransomware)

par Malekal_morte »

Ajout d'une vidéo qui montre le ransomware Petya en action ainsi que la mention du Ransomware Mischa.

Ajout de ѠOOT : Janus Cybercrime Solutions - "Profit from Petya & Mischa!"
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116682
Inscription : 10 sept. 2005 13:57

Re: Petya (MBR Ransomware)

par Malekal_morte »

Fin 2016, Petya fait son retour en utilisant la vulnérabilité SMB MS17-010 précédemment utilisées par Wana Decryptor (aka WannaCry).

Pas mal d'entreprises ont été touchées de par le monde qui fait penser qu'un autre vecteur a été utilisé pour apporter l'attaque au sein des entreprises pour ensuite utiliser la vulnérabilité pour se propager au sein des entreprises visées.
C'est en Ukraine et les pays de l'EST que l'attaque fait le plus mal.
Attaque-Ransomware-petya.jpg
Pas de quoi paniquer pour monsieur tout le monde.
source : https://blogs.technet.microsoft.com/mmp ... abilities/

L'analyse de Microsoft avec le mécanisme de Drop :
Petya-Ransomware-Worm.png
Le schéma d'infection de Petya en version Worm :
Petya-Killchain.jpg
source : https://blogs.technet.microsoft.com/mmp ... y-hygiene/

Le ransomware peut voler des comptes administrateurs du domaine pour infecter d'autres machines sur le réseau.

Lire la FAQ de l'attaque du Ransomware Petya pour tous les détails de l'attaque : FAQ - RAnsomware Petya

Quelques entreprises touchées par Petya :
Saint-Gobain. Le géant français des matériaux (170 000 salariés) a confirmé avoir été touché par « une cyberattaque », qui a notamment provoqué une panne de son système e-mail. Un porte-parole du groupe a affirmé que le problème était « en cours de résolution », après avoir mis à l’isolement une partie de son réseau informatique.

La SNCF. La compagnie feroviaire française a dit « subir l’attaque en cours » niant toutefois en être « victime », a insisté le porte-parole du groupe soulignant que les opérations de l’entreprise ferroviaire n’étaient pas affectées.

Merck. Le réseau informatique du géant de la pharamacie américain (68 000 salariés) a été « compromis, comme celui d’autres entreprises, dans le cadre d’un piratage global ».

Maersk. Le groupe de transport maritime (100 000 salariés), première entreprise du Danemark, a expliqué que ses systèmes informatiques étaient à l’arrêt dans plusieurs régions.

WPP Group. Le géant britannique de la publicité (180 000 salariés) a confirmé que les « systèmes informatiques dans plusieurs filiales » ont été touchés par « ce qui ressemble à une cyberattaque ».

Rosneft. Le groupe pétrolier russe Rosneft (260 000 salariés) a annoncé sur Twitter que ses serveurs avaient été touchés par une « cyberattaque de grande échelle » mais que sa production n’était pas affectée. Le site Internet de Rosneft était inaccessible.

Evraz. Le sidérurgiste russe (100 000 salariés) a aussi été visé mais a précisé que sa production n’avait pas été affectée.

DLA Piper. Le plus grand cabinet d’avocats au monde, basé à New York, a également été infecté – des messages d’employés sur les réseaux sociaux affirment que les salariés ont dû quitter les bureaux à Washington pour travailler de chez eux.

En Ukraine, le pays le plus touché, ce sont de très nombreuses entreprises et administrations de toutes tailles qui ont été paralysées par le virus. Parmi les principales victimes se trouvent notamment l’entreprise d’énergie Kyivenergo, qui a expliqué devoir couper tous ses ordinateurs, l’autre entreprise du secteur énergétique Ukrenergo, des aéroports et des administrations, y compris au plus haut niveau de l’Etat. Le distributeur français Auchan a également été touché dans le pays. Les services de plusieurs banques ukrainiennes, ainsi que des distributeurs de billets du métro de Kiev, étaient également hors service.
source : http://www.lemonde.fr/pixels/article/20 ... 08996.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »