Au cours des dernières 48 heures, nous avons appris l'existence d'un ransomware Petya similaire au ransomware "Wanna Cry" . Les deux logiciels de ransomware chiffrent vos données et exigent 300 $ pour déverrouiller vos données. Toutefois, dans l’affaire Petya, l’Allemagne a fermé l’adresse électronique à laquelle vous souhaitez répondre afin que vous ne puissiez pas payer même si vous le vouliez.
Contrairement à "Wanna Cry" qui avait un kill-switch global activé par accident au bout de 72 heures, "Petya" exige que vous créiez un fichier local afin d'empêcher le cryptage de vos données, même si vous êtes toujours infecté et pouvez transmettre le ransomware. sur d'autres systèmes.
J'ai lu dans l'histoire le ransomware ‘Petya’ peut sembler être un écran de fumée pour une attaque potentiellement plus importante vous devez créer le fichier C:\Windows\perfc
et le marquer en lecture seule pour protéger votre système. Cela inclurait les utilisateurs de Linux utilisant wine
je présume. Toutefois:
dans la section commentaire, un utilisateur a posté le nom de fichier doit être C:\Windows\perfc.exe
.
in Ransomware Vaccine Now Available ils disent que le nom du fichier doit être C:\Windows\perfc.dll
.
Quelqu'un peut-il confirmer que les utilisateurs de Linux Wine sont des victimes potentielles et quel doit être le nom du fichier en lecture seule?
Je l'ai lancé ...
Comme je l’ai promis, j’ai installé wine sur une machine virtuelle Debian, j’ai eu un échantillon de Petya, je les ai directement exécutées sous: rundll32 path,#1
, avec un utilisateur normal et root et rien n’arrive à ma VM ou son MBR.
Comment se propage-t-il?
Petya utilise l'exploit Eternal Blue et les techniques classiques d'étalement de réseau SMB.
Le code CVE associé à cette vulnérabilité pour Linux est: "CVE-2017-7494" qui a déjà été corrigé:
Mon Ubuntu est-il vulnérable à SambaCry?
perfc et perfc.dat:
Symantec déclare que Petya crée un fichier "C:\Windows\perfc" pour indiquer que l'ordinateur a été infecté et que "perfc.dat" est celui qu'il utilise pour s'exécuter.
Pour arrêter petya, vous devez créer un fichier en lecture seule ici: "C:\Windows\perfc.dat" afin que petya ne puisse pas écrire et s'exécuter.
Et "C:\Windows\perfc" est une sorte de coupe-circuit si "Petya" est exécuté. Après avoir vu ce fichier, il considère votre ordinateur comme infecté et tente uniquement d'infecter d'autres périphériques réseau.
Cryptage et MBR :
Après l’infection, il essaie de changer le MBR. un MBR a trois sections: table de partition, code de démarrage, code magique. en changeant le code de démarrage, il peut pirater le processus de démarrage afin qu'au lieu de charger un chargeur de démarrage, un message s'affiche et derrière ce message, un cryptage intégral du disque sera lancé. Avant le dernier message, il semble que petya exécute le cryptage intégral du disque pendant l'affichage. un faux disque de contrôle.
Avec "wine", il ne peut pas changer votre MBR (sauf si vous utilisez le vin sous Sudo), il essaie simplement d'infecter d'autres périphériques.
Il effectue également un chiffrement utilisateur-mod. Après l’infection, il recherche des extensions spécifiques dans tous les lecteurs et commence à chiffrer leur premier Mo.
Donc , il semble que il n'y a rien à craindre sauf si vous l'exécutez vous-même en utilisant wine et un accès root.
source: symantec .