0
La dernière Petya ransomware a été décrite pour être plus vicieux que son prédécesseur, mais son impact à Singapour reste très incertain pour le moment car il n’y a eu aucun rapport de perturbations majeures.
Singapour (Computer Emergency Response Team SingCERT) a émis un avis mercredi avertissement les entreprises locales et les utilisateurs qui Petya, bien qu’inspiré par WannaCry, a été “plus dangereux et intrusif”.
“Son comportement est de chiffrer le Maître de l’Arborescence de Fichiers (MFT) tables de partitions NTFS et remplace le MBR (Master Boot Record) avec un boot-loader pour afficher une demande de rançon et empêche les victimes de démarrage,” SingCERT dit.
En un mot, Petya non seulement crypte les fichiers ciblés, il verrouille également la totalité du disque dur à l’aide de certains des plus avancées des algorithmes cryptographiques à prendre le contrôle du maître de redémarrage du secteur, Il arrête l’ordinateur à partir du chargement de l’OS, le rendant inutilisable. Il est aussi appelé PetrWrap est une variante de la Petya de la famille.
Mike Sentonas, CrowdStrike, vice-président de la stratégie en matière de technologie, a expliqué que PetrWrap était “notable”, car il est combiné traditionnel ransomware comportement furtif, les techniques de propagation.
“PetrWrap a la capacité de se déplacer latéralement pour chiffrer d’autres systèmes de l’organisation en tirant parti de la même EternalBlue vulnérabilité qui a été popularisé par WannaCry le mois dernier,” Sentonas dit. “Il utilise alors une autre propagation technique qui commence par le vol d’informations d’identification, puis utilise ces légitimes des informations d’identification d’infecter d’autres systèmes sur le réseau via des outils de Microsoft–WMI et PSEXEC-même si un machine a été corrigé.”
SingCERT ajouté que le ransomware se propager via e-mail camouflage dans des documents Microsoft Office, ce qui irait à l’Petya programme d’installation lors de l’ouverture et de l’exécution de la SMB ver. Il a dit des différentes versions de Microsoft Windows ont été pensé pour être vulnérables inclus de Windows 10, Windows 8.1 et Windows Server 2016.
SingCERT consultatif fait écho à celle de la protection des données et de la cybersécurité fournisseurs, y compris Acronis qui dit que les banques, les Multinationales, les critiques et les propriétaires d’infrastructures à Singapour être les principales cibles de la ransomware. Lorsque demandé, cependant, il a dit qu’il était pas au courant de toute l’organisation locale, qui avaient été touchés par Petya.
Eugène Aseev, Acronis à la tête de la recherche et du développement à Singapour, a expliqué: “La Petya ransomware est plus dangereux que Wannacry, principalement parce qu’il infecte à rapiécés et les systèmes, alors que WannaCry ciblées de l’onu-systèmes patché.
“Petya a également des répercussions sur le MBR, ce qui signifie que l’ordinateur est compromise, même avant que Windows ne peut être chargé. Il tente également de voler les identifiants de l’utilisateur à partir de la machines infectées et utilise ces informations d’identification pour plus d’infecter d’autres machines qui partagent les mêmes informations d’identification,” Aseev dit.
Il a dit aux entreprises touchées par le ransomware serait en mesure de restaurer leurs systèmes, s’ils avaient une sauvegarde d’image, mais aurait besoin de réinstaller leurs Systèmes d’exploitation s’ils avaient eu seulement au niveau des fichiers de sauvegarde pour récupérer leurs fichiers. Et parce qu’ils perdraient leur configuration et les paramètres du logiciel, le temps de récupération serait plus long, at-il ajouté.
Sentonas a dit il ya actuellement a pas de mécanisme pour déchiffrer les fichiers qui ont été chiffrés par le ransomware. “Si d’un point de terminaison est crypté, la seule solution pour le moment est de nettoyer et reconstruire la machine et restaurer des données sur l’appareil,” dit-il.
Aamir Lakhani, Fortinet haute sécurité stratège, dit-il permet également de lancer un redémarrage du système à une heure de cycle, qui a ajouté un déni de service (DoS) de l’élément de l’attaque. Et tandis que WannaCry n’était pas particulièrement réussi à générer un avantage financier pour les hackers, en partie en raison de la tuer-commutateur créé pour elle, Lakhani de noter que Petya de la charge utile serait “plus sophistiqué”. Il a ajouté, cependant, qu’il était encore trop tôt pour dire si il serait financièrement plus lucrative que les WannaCry.
Selon Ryan Flores, Trend Micro pour l’Asie-Pacifique gestionnaire principal de prospective de recherche sur les menaces, les quelques 7 500$US ont été versés dans le Bitcoin adresse utilisée par les attaquants.
Flores a exhorté ceux qui affectaient de ne pas débourser le prix de la rançon, ajoutant que plusieurs organisations en Europe et en Asie, ont été touchés par le ransomware.
De la Production à Cadbury la célèbre fabrique de chocolat, en Tasmanie, en Australie, a été forcée à l’arrêt mardi en fin de journée après que la compagnie a été frappé par Petya. Le site a été détenue par la cuisine espagnole opérateur, Mondelez, et produit 50 000 tonnes de chocolat par an.
Des organisations mondiales seraient touchés par le ransomware inclus la Banque Nationale de l’Ukraine, agence de publicité Britannique WPP, danois compagnie de transport Maersk, et NOUS, la société pharmaceutique Merck.
Naveen Bhat, Ixia de l’Asie-Pacifique directeur général a indiqué que même si elle n’était pas au courant de toutes les sociétés à Singapour frappé par Petya, ce serait “une hypothèse sûre que les machines ont été affectés à Singapour, même si aucune n’a été signalé jusqu’à présent.” “Petya ne connaissent pas de frontières nationales. Les entreprises n’ayant pas mis à jour les derniers correctifs de Windows sont vulnérables”, Bhat a dit.
0