Ça vient de tomber : une solution au ransomware qui sévit en ce moment a été découverte. Nous vous donnons ici la solution pour empêcher cette nouvelle attaque de toucher les parcs que vous administrez…
Le ransomware du moment a déjà été affublé de nombreux noms. NotPetya, Petna, SortaPetya, PetrWrap, Petya.B…
WannaCry avait créé la panique, et alors que tout le monde (certains diront tous les crédules!) était sur que la menace était belle bien enterrée, voilà qu’on nous annonce qu’un nouveau ransomware sévit sur les mêmes failles…
La Solution
Elle vient cette fois d’un chercheur chez Cybereason, société de sécurité. Comme pour Wannacry, les chercheurs en sécu ont tout de suite imaginé la présence d’un killswitch.
https://twitter.com/0xAmit/status/879778335286452224
Cette fois, la découverte est que le ransomware cherche en local le fichier « perfc » et qu’il abandonne son processus de chiffrement si ce fichier est déjà présent sur le disque. Il suffit donc de créer un fichier du nom « perfc », en lecture seule, dans le dossier C:\Windows
Il s’agit évidemment là d’une « vaccination« . Si vous savez que votre parc est concerné par les failles exploitées, ça peut être intéressant de déployer cette solution temporaire, afin d’éviter le drame d’une infection par ce ransomware.
On peut quand même d’ors et déjà imaginer que le processus sera modifié pour réagir autrement, notamment en utilisant un autre nom de fichier, et que d’autres ransomwares suivront autour de cette même faille.
Il faut donc penser, de manière urgente, à patcher vos machines !
Et si la production vous embête, parlez-leur de ce que dira la direction si des données sont perdues, ou des machines immobilisées brutalement pendant plusieurs jours!
Pour plus de facilité, créez le fichier en lecture seule directement en déployant ce script.
Télécharger NotPetyaVacContenu du fichier bat :
@echo off REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224 REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams echo Administrative permissions required. Detecting permissions... echo. net session >nul 2>&1 if %errorLevel% == 0 ( if exist C:\Windows\perfc ( echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya. echo. ) else ( echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat attrib +R C:\Windows\perfc attrib +R C:\Windows\perfc.dll attrib +R C:\Windows\perfc.dat echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya. echo. ) ) else ( echo Failure: You must run this batch file as Administrator. ) pause