Comment bloquer le ransomware Petya / NotPetya ?

Ça vient de tomber : une solution au ransomware qui sévit en ce moment a été découverte. Nous vous donnons ici la solution pour empêcher cette nouvelle attaque de toucher les parcs que vous administrez…

Le ransomware du moment a déjà été affublé de nombreux noms. NotPetya, Petna, SortaPetya, PetrWrap, Petya.B…

WannaCry avait créé la panique, et alors que tout le monde (certains diront tous les crédules!) était sûr que la menace était belle bien enterrée, voilà qu’on nous annonce qu’un nouveau ransomware sévit sur les mêmes failles…

La Solution

Elle vient cette fois d’un chercheur chez Cybereason, société de sécurité. Comme pour Wannacry, les chercheurs en sécu ont tout de suite imaginé la présence d’un killswitch.

98% sure that the name is is perfc.dll Create a file in c:windows called perfc with no extension and #petya
#Nopetya won’t run! SHARE!! https://t.co/0l14uwb0p9

— Amit Serper (@0xAmit) June 27, 2017

Cette fois, la découverte est que le ransomware cherche en local le fichier « perfc » et qu’il abandonne son processus de chiffrement si ce fichier est déjà présent sur le disque. Il suffit donc de créer un fichier du nom « perfc », en lecture seule, dans le dossier C:\Windows

Il s’agit évidemment là d’une « vaccination« . Si vous savez que votre parc est concerné par les failles exploitées, ça peut être intéressant de déployer cette solution temporaire, afin d’éviter le drame d’une infection par ce ransomware.

On peut quand même d’ors et déjà imaginer que le processus sera modifié pour réagir autrement, notamment en utilisant un autre nom de fichier, et que d’autres ransomwares suivront autour de cette même faille.

Il faut donc penser, de manière urgente, à patcher vos machines !

Et si la production vous embête, parlez-leur de ce que dira la direction si des données sont perdues, ou des machines immobilisées brutalement pendant plusieurs jours!

Pour plus de facilité, créez le fichier en lecture seule directement en déployant ce script.

Source