Expert Semalt - Comment combattre Petya, NotPetya, GoldenEye et Petrwrp?

Forcepoint Security Labs l'a désigné comme une épidémie de Petya, mais d'autres fournisseurs utilisent des mots alternatifs et des noms supplémentaires pour cela. La bonne nouvelle est que cet exemple a effacé le test du canard, et maintenant les fichiers peuvent être cryptés sur des disques sans changer leurs extensions. Vous pouvez également essayer de chiffrer l'enregistrement d'amorçage principal et vérifier ses effets secondaires sur les périphériques de l'ordinateur.

Payer la demande de rançon de Petya

Igor Gamanenko, le Customer Success Manager de Semalt , vous suggère de ne pas payer la rançon à tout prix.

Il est préférable de désactiver votre identifiant de messagerie plutôt que de payer une rançon au pirate ou à l'attaquant. Leurs mécanismes de paiement sont généralement fragiles et non légitimes. Si vous devez payer la rançon via un portefeuille BitCoin, l'attaquant peut voler beaucoup plus d'argent sur votre compte sans vous en informer.

De nos jours, il est devenu très difficile d'obtenir des fichiers non cryptés, même si des outils de décryptage seront disponibles dans les mois à venir. Déclaration sur le vecteur d'infection et la protection Microsoft affirme que le fournisseur d'infection initial possède divers codes malveillants et mises à jour logicielles non légitimes. Dans de telles circonstances, ce fournisseur peut ne pas être en mesure de détecter le problème d'une meilleure manière.

L'itération actuelle de Petya vise à éviter les vecteurs de communication qui ont été enregistrés par les passerelles de sécurité de messagerie et de sécurité Web. De nombreux échantillons ont été analysés à l'aide de différentes informations d'identification pour trouver la solution du problème.

La combinaison des commandes WMIC et PSEXEC est bien meilleure que l'exploit SMBv1. Pour l'instant, il est difficile de savoir si une organisation qui fait confiance à des réseaux tiers comprendra ou non les règles et réglementations d'autres organisations.

Ainsi, nous pouvons dire que Petya n'apporte aucune surprise aux chercheurs de Forcepoint Security Labs. Depuis juin 2017, Forcepoint NGFW peut détecter et bloquer les exploits des PME par les attaquants et les pirates.

Déjà vu: Petya Ransomware et capacités de propagation SMB

L'épidémie de Petya a été enregistrée au cours de la quatrième semaine de juin 2017. Elle a eu un impact important sur diverses entreprises internationales, les sites d'information affirmant que les effets sont durables. Forcepoint Security Labs a analysé et examiné différents échantillons associés aux épidémies. Il semble que les rapports de Forcepoint Security Labs ne soient pas entièrement préparés, et la société a besoin de plus de temps avant de pouvoir tirer des conclusions. Ainsi, il y aura un délai important entre la procédure de cryptage et l'exécution du malware.

Étant donné que le virus et les logiciels malveillants redémarrent les machines, plusieurs jours peuvent être nécessaires avant que les résultats finaux ne soient révélés.

Conclusion et recommandations

Il est difficile de tirer la conclusion et l'évaluation d'une implication profonde des flambées à ce stade. Cependant, il semble que ce soit la dernière tentative de déploiement de rançongiciels auto-propagateurs. Désormais, Forcepoint Security Labs a pour objectif de poursuivre ses recherches sur les menaces possibles. La société pourrait bientôt présenter ses résultats finaux, mais cela demande beaucoup de temps. L'utilisation des exploits SMBvi sera révélée une fois que les Forcepoint Security Labs présenteront les résultats. Vous devez vous assurer que les mises à jour de sécurité sont installées sur vos systèmes informatiques. Conformément aux politiques de Microsoft, les clients doivent désactiver SMBv1 sur chaque système Windows où cela affecte négativement les fonctions et les performances du système.