Dans l’après-midi du 27 juin, une nouvelle campagne d’infection par un ransomware a fait son apparition. A l’heure actuelle, la campagne apparaît en effet massive et a fait des victimes en Ukraine, en Russie, en Espagne, en Grande-Bretagne et aussi en France.

Selon différentes sources, la campagne en cours serait orchestrée avec une variante du ransomware PETYA, aussi connu sous le nom de PETWRAP, une souche connue depuis le début 2016.

Selon l’éditeur BitDefender, il s’agirait plutôt d’une variante de GoldenEye, un ransomware ayant le même fonctionnement que Petya.

Cette nouvelle version de ransomware alliée aux vulnérabilités smbv1 lui permet, comme Wannacry, d’infecter les machines présentent sur le même réseau.
La vulnérabilité utilisée n’est pas encore officiellement connu, possiblement Eternalblue, ou un 0-day sur SMBv1.

Le ransomeware redémarre la machine de la victime et chiffre-le contenue de la table MFT (Master File Table), rendant le MBR inopérant. Une demande de payement par Bitcoint vous ai demandé pour récupérer vos données.

Recommandation du CS2 AntemetA face à petya :

  • Désactivez le protocole SMBv1 si possible, sinon :
    • Appliquer la mise à jour de sécurité Microsoft MS17-010.
    • Ne pas exposer le service SMB sur internet.
  • N’ouvrez que les pièces jointes émanant d’un émetteur connu.

Si votre ordinateur redémarre tout seul :

  • Débranchez immédiatement votre poste du réseau de votre entreprise.
  • Prévenez votre IT interne ou votre prestataire cybersécurité.

En cas d’infection :

  • Ne jamais payer la rançon.
  • Isoler la machine infectée du réseau.