Annonce officielle de Kaspersky Lab concernant l’attaque de ransomware « ExPetr » du 27 juin
Les chercheurs de Kaspersky Lab travaillent actuellement sur la nouvelle vague de ransomwares qui cible les entreprises à travers le monde. Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya ainsi que cela a été annoncé mais d’un nouveau ransomware, inconnu à ce jour. Bien qu’il ait quelques similitudes avec Petya, il a des fonctionnalités totalement différentes. Nous l’avons appelé ExPetr.
Nos indicateurs révèlent environ 2000 entités attaquées jusqu’ici. Des entreprises russes et ukrainiennes sont les plus touchées et nous avons également vu des attaques en Pologne, en Italie, au Royaume-Uni, en France aux Etats-Unis et dans plusieurs autres pays.
Cette attaque se révèle complexe avec plusieurs vecteurs de compromission. Nous pouvons confirmer que des versions modifiées de l’exploit EternalBlue et d’EternalRomance sont utilisées pour la propagation au sein des réseaux d’entreprises.
Kaspersky Lab détecte la menace ainsi :
- UDS:DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.ExPetr.a
- HEUR:Trojan-Ransom.Win32.ExPetr.gen
Notre moteur de détection comportementale System Watcher détecte la menace ainsi :
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
Dans la plupart des cas, Kaspersky Lab détecte proactivement le vecteur initial d’infection grâce à son moteur de détection comportementale, System Watcher. Nous travaillons également à des améliorations de la détection comportementale des ransomwares pour détecter proactivement d’éventuelles futures versions.
Les experts de Kaspersky Lab continuent d’étudier l’attaque pour déterminer s’il est possible de déchiffrer les données bloquées par l’attaque dans le but de développer un outil de déchiffrement au plus vite.
Nous conseillons à toutes les entreprises de mettre à jour leurs systèmes Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le patch de sécurité MS17-010
Nous conseillons également à toutes les entreprises de s’assurer qu’elles ont une sauvegarde. Une sauvegarde à jour permet de restaurer les fichiers originaux après un incident de ce type.
Les clients de Kaspersky Lab sont invités à :
- Vérifier que les mécanismes de protection recommandés sont activés et que les composants KSN et System Watcher (activés par défaut) ne sont pas désactivés.
- Pour rajouter une mesure de sécurié, utiliser Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm), un composant de Kaspersky Endpoint Security pour empêcher l’exécution du fichier nommé perfc.dat et bloquer l’exécution de l’utilitaire PSExec (qui fait partie de la suite Sysinternals)
- Configurer et activer le mode “Default Deny” du composant Application Startup Control de Kaspersky Endpoint Security pour s’assurer d’une protection proactive contre cette attaque et d’autres.
Si vous n’avez pas les produits de Kaspersky Lab sur votre appareil, utilisez la fonctionnalité AppLocker de Windows pour empêcher l’exécution de n’importe quel fichier qui porterait le nom “perfc.dat” ou l’utilitaire PSExec de la suite Sysinternals.
Pour des informations détaillées, nous vous invitons à vous rendre sur le post de nos chercheurs du GReAT : https://securelist.com/schroedingers-petya/78870/
Cet article comporte les indicateurs de compromission, les règles Yara ainsi que des verdicts supplémentaires.