Une nouvelle épidémie de programme malveillant
Seulement le mois dernier, WannaCry a fait les manchettes partout dans le monde après qu’il a réussi à infecter plus de 200 000 ordinateurs répartis dans 150 pays utilisant une vulnérabilité dans Windows. Dans les deux derniers jours, nous avons vu une autre attaque généralisée qui a tout d’abord crue à une flambée de ransomware. Il a une variété de noms différents, mais est plus communément appelé Petya or NotPetya.
Société ukrainienne semble avoir été le point zéro
Les chercheurs dans différentes sociétés de sécurité pensent qu’un fournisseur de logiciels comptables basé en Ukraine, M.E.Doc, s’est propagé accidentellement le malware qui a conduit à l’infection de milliers d’ordinateurs. Bien que la société elle-même a nié ceci, malware spécialistes croient que la société a été piratée et leurs serveurs ont été compromises. Les pirates informatiques a publié une mise à jour de logiciels malveillants et les clients qui ont installé il a fini par infecter leur ordinateur avec NotPetya. Le malware décroche ensuite pouvoirs aux réseaux locaux et à l’aide de certains outils, il a réussi à se propager aux ordinateurs sur le même réseau. Il a également été signalé que l’exploit utilisé par WannaCry, EternalBlue, ainsi que Eternalromance est utilisé dans cette attaque ainsi. La bonne nouvelle est qu’il ne se propage pas par Internet, uniquement via LAN. Ceci, cependant, soulève la question de comment le logiciel malveillant a réussi à se propager à d’autres pays, où les compagnies infectés n’avaient aucun contact avec M.E.Doc.
Comment fonctionne NotPetya ?
À l’instar de l’original ransomware Petya, NotPetya ne crypte pas les fichiers un après l’autre. Ce qu’il fait est il redémarre l’ordinateur et crypte table du disque dur fichiers maîtres (MFT) et fait le master boot record (MBR) incapable de fonctionner correctement. Petya remplace la copie chiffrée de la MBR avec un code malveillant et votre ordinateur est incapable de démarrer. Au lieu de cela, il affiche la note de la rançon. C’est où NotPetya diffère de Petya. Chercheur de Technologies Comae Matt Suiche, affirme que l’original ransomware Petya crypte le disque de manière afin qu’il pourrait inverser les changements si nécessaire. NotPetya, en revanche, fait des dommages permanents et irréversibles sur le disque.
Spécialistes pense que NotPetya n’est pas destiné à faire de l’argent, il est censé détruire
Lorsque l’ensemble du processus est terminé, l’ordinateur infecté indique une note de rançon. Le message indique que les fichiers ont été chiffrées et que vous devez payer 300 $ d’une valeur de Bitcoin à l’adresse fournie. Quand la victime paie la rançon, ils sont censés pour envoyer leur paiement ID et la clé d’installation personnelle, qui est fournie dans la note, à wowsmith123456@posteo.net. Toutefois, le fournisseur de messagerie allemande a pris la décision de fermer ce compte, ce qui signifie que vous n’arrivez pas en contact avec les pirates. Même si vous payez, les criminels aurait aucun moyen de savoir qui a payé.
Ce n’est pas la seule raison pourquoi vous ne devez pas payer. Enquête plus approfondie sur le logiciel malveillant a découvert que les personnes derrière l’attaque n’ont pas l’intention de restaurer tous les fichiers. Il n’est simplement pas possible. ID de clé de l’installation mentionnée ci-dessus est un élément crucial du processus de déchiffrement. Il stocke des informations sur la victime et la clé de déchiffrement. L’ID d’installation vous voir dans la note de la rançon donnée juste au hasard, qui donne à penser que NotPetya n’était pas censée faire de l’argent.
Chercheurs de malware sont maintenant classer NotPetya pas comme ransomware mais comme un essuie-glace qui détruit essentiellement vos fichiers sans aucun moyen de les récupérer. Alors qu’elle ne supprime en fait pas tous les fichiers sur le système, une fois que vos fichiers sont cryptés, il n’y a aucun moyen de décrypter, qui les rend inutiles. Et c’est censé être intentionnelle. Qui va dans ce sens, les développeurs derrière l’infection ne visaient pas à gagner de l’argent.
L’Ukraine semble avoir la plus grande quantité de victimes. Il a signalé que la zone de la catastrophe de Tchernobyl gestion gouvernement organisation dû passer à la surveillance des rayonnements manuel parce qu’ils devaient arrêter tous les ordinateurs Windows. Les énergéticiens major ukrainien semblent ont également été touchés. Étant donné que l’Ukraine a pris les plus durement touchées et le fait que tout a commencé là, on croit le pays a été la cible dans ce que certains croient avoir été une attaque de l’Etat-nation.
Ce que vous auriez pu faire pour prévenir les résultats désastreux ?
Copie de sauvegarde. Si l’attaque de WannaCry a appris les utilisateurs individuels, d’affaires quelque chose, c’est l’importance de la sauvegarde. Car il est impossible de décrypter des fichiers, même si vous payez, la seule chose qui aurait pu vous sauver beaucoup de mal est fichiers stockés quelque part ailleurs. Nous vivons dans un monde où malware se cache à chaque coin sur l’Internet, mais les gens sont loin d’être prudent de sécurité. Ceci est prouvé tous les jours quand les utilisateurs signalent que leurs dossiers ont été chiffrées et il n’y a pas de sauvegarde.
Cyber menace est réelle. Peu importe qui étaient les principales cibles de cette attaque, il est important de comprendre que ce n’est pas quelque chose que vous ne pouvez pas arriver et donc vous n’avez pas besoin d’être prudent. Et jusqu’à ce que les gens réalisent qu’et veillez à ce qu’ils font tout que leur possible pour se protéger, il ne va s’aggraver.
Références