[CERT CYBERPROTECT] Campagne Rançongiciel Petya/NotPetya/Petrwrap

Une campagne d’infection par un rançongiciel est en cours.  Cette menace est connue sous les noms Petya/NotPetya/Petrwrap

Comme pour Wannacry, il a la capacité à se propager comme un ver informatique en exploitant une vulnérabilité SMB sur les systèmes d’exploitation Microsoft Windows.

La vulnérabilité en question est déjà corrigée par les derniers correctifs de sécurité.

Cependant, les vecteurs initiaux d’infection restent classiques : les courriels malveillants et l’exploit d’une vulnérabilité SMB.

Aussi, ce rançongiciel à la particularité de redémarrer la machine une fois le chiffrement terminé et la rendre inutilisable en changeant un paramètre dans le Master Boot Record (MBR).

Vos postes et serveurs

– Mettre à jour tous les systèmes (XP, Win 7, Win8, WinServer 2003, etc.) fonctionnant sous Windows en appliquant le correctif sorti par Microsoft le 14 mars 2017 : https://support.microsoft.com/fr-fr/help/4013389/title

La liste des systèmes vulnérables est présente sur ce lien (https://technet.microsoft.com/fr-fr/library/security/MS17-010) et sur le lien précédant.

– Mettre à jour Microsoft Office dont une vulnérabilité d’avril 2017 est fortement exploitée via l’ouverture de pièce jointe (https://support.microsoft.com/en-us/help/3178703/description-of-the-security-update-for-office-2016-april-11-2017)

– Désactiver le protocole SMBv1 sur vos machines

– Limiter l’exposition des services SMB sur Internet

– Nous vous recommandons de procéder à des sauvegardes régulières de vos serveurs et de vos données.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

.exe, .pif, .application, .gadget, .msi, .msp, .com, .scr, .hta, .cpl, .msc, .jar
.bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml
.scf, .lnk, .inf , .reg, .dll
.wax, .wm, .wma, .wmd, .wmv, .wmx, .wmz, .wvx
.docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu\’on les ouvre :
.zip, .rar, .ace, .gz, .tar, .7z, .z, .bz2, .xz, .iso
.htm, .html
.pdf, .doc, .rtf, .ppt, .xls, .docx, .rtfx, .pptx, .xlsx ,.odt

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

Enfin nous vous recommandons de sensibiliser les utilisateurs à ne pas ouvrir de courriel et de pièces jointes qui leur semble suspect

En cas de doute, n’hésitez pas à nous solliciter.

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.