Analyse à chaud: Campagnes malwares en cours

A

Bulletin de sécurité du CERT-OPMD:

 

Une campagne de ransomware est annoncée comme se propageant actuellement par la vulnérabilité Eternalblue (MS17-010). Ce mode de propagation est confirmépar nos équipes.

 

Ce ransomware est Petya, et chiffre la MBR et la MFT lorsqu’il a les droits suffisants. Sinon il chiffre les fichiers de type suivant :

  • 3ds 7z accdb as asp aspx avhd back bak c cfg conf cpp cs ctl dbf disk djvu doc docx dwg eml fdb gz h hdd kdbx mail mdb msg nrg ora ost ova ovf pdf php php pmf ppt pptx pst pvi py pyc rar rtf sln sql tar vbox vbs vcb vdi vfd vmc vmdk vmsd vmx vsdx vsv work xls xlsx xvd zip

Ce ransomware a une fonction de propagation similaire à celle de wannacry, donc via la vulnérabilité Eternalblue  (MS17-010).

 

Les hashs pour le moment récupérés par le CERT-OPMD sont :

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

 

Remédiations conseillées par le CERT-OPMD:

 

Nous conseillons de patcher la vulnérabilité MS17-010 : https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

 

Pour le moment, nous n’avons pas de confirmation concernant d’autres voies de propagations. Certaines sources font état d’une propagation par mail ainsi que de la CVE-2017-0199, mais pour l’instant rien ne permet d’affirmer que la campagne utilisant cette vulnérabilité est liée à cette campagne Petya.

 

Comme pour toute campagne similaire, le meilleur conseil reste malgré tout d’appliquer rapidement les patchs de sécurité pour Microsoft, ainsi que d’informer les utilisateurs sur les bonnes pratiques à avoir lors de l’ouverture de pièces jointes.

 

En cas d’incident avérés, vous pouvez nous contacter à l’adresse mail suivante : cert@opmd.fr

 

https://pgp.mit.edu/pks/lookup?search=cert+opmd&op=index