ActualitéSécurité

Comment bloquer le ransomware Petya / NotPetya ?

Ça vient de tomber : une solution au ransomware qui sévit en ce moment a été découverte. Nous vous donnons ici la solution pour empêcher cette nouvelle attaque de toucher les parcs que vous administrez…

Le ransomware du moment a déjà été affublé de nombreux noms. NotPetya, Petna, SortaPetya, PetrWrap, Petya.B

WannaCry avait créé la panique, et alors que tout le monde (certains diront tous les crédules!) était sur que la menace était belle bien enterrée, voilà qu’on nous annonce qu’un nouveau ransomware sévit sur les mêmes failles

La Solution

Elle vient cette fois d’un chercheur chez Cybereason, société de sécurité. Comme pour Wannacry, les chercheurs en sécu ont tout de suite imaginé la présence d’un killswitch.

https://twitter.com/0xAmit/status/879778335286452224

Cette fois, la découverte est que le ransomware cherche en local le fichier « perfc » et qu’il abandonne son processus de chiffrement si ce fichier est déjà présent sur le disque. Il suffit donc de créer un fichier du nom « perfc », en lecture seule, dans le dossier C:\Windows

Il s’agit évidemment là d’une « vaccination« . Si vous savez que votre parc est concerné par les failles exploitées, ça peut être intéressant de déployer cette solution temporaire, afin d’éviter le drame d’une infection par ce ransomware.

On peut quand même d’ors et déjà imaginer que le processus sera modifié pour réagir autrement, notamment en utilisant un autre nom de fichier, et que d’autres ransomwares suivront autour de cette même faille.

Il faut donc penser, de manière urgente, à patcher vos machines !

Et si la production vous embête, parlez-leur de ce que dira la direction si des données sont perdues, ou des machines immobilisées brutalement pendant plusieurs jours!

Pour plus de facilité, créez le fichier en lecture seule directement en déployant ce script.

Télécharger NotPetyaVac

Contenu du fichier bat :

@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.
		
net session >nul 2>&1

if %errorLevel% == 0 (
	if exist C:\Windows\perfc (
		echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
		echo.
	) else (
		echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

		attrib +R C:\Windows\perfc
                attrib +R C:\Windows\perfc.dll
                attrib +R C:\Windows\perfc.dat

		echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
		echo.
	)
) else (
	echo Failure: You must run this batch file as Administrator.
)
  
pause

 

 

Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page