Loading...

Knowledge Center


Protection contre la variante modifiée du ransomware Petya (juin 2017)
Technical Articles ID:   KB89540
Last Modified:  05/09/2017
Rated:


Environment

Produits McAfee qui utilisent des fichiers DAT

REMARQUE : cet article s'applique uniquement aux produits McAfee destinés aux entreprises. Si vous avez besoin d'informations ou d'un support technique pour les produits McAfee grand public ou destinés aux petites entreprises, rendez-vous sur https://service.mcafee.com.
Article client sur Petya : TS102703.

Summary

McAfee sait qu'une variante modifiée du ransomware Petya (également appelé PetrWrap, PetWrap, Petya.A, Petja) a été détectée dans des environnements professionnels.

  • McAfee a publié un fichier Extra.DAT (joint à cet article) pour couvrir cette menace.
     
  • McAfee a également publié un fichier DAT d'urgence pour inclure une couverture pour Petya. Les fichiers DAT ultérieurs incluront également cette couverture.
    Fichier DAT minimaux pour la couverture :
     
    • VSE (8574) ou version ultérieure
    • ENS (3025) ou version ultérieure
       
  • Le fichier Extra.DAT joint à cet article est inclus dans les fichiers DAT présentés ci-dessus. Si vous n'avez pas mis à jour les DAT indiqués ci-dessus, vous devez continuer à utiliser le fichier Extra.DAT joint à cet article.
     
  • Cette menace peut également être détectée par la fonction de réputation des fichiers de Global Threat Intelligence (GTI) (avec la valeur Faible).
 

Vous pouvez consulter les observations et analyses de McAfee ici : https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire.

Cet article sera mis à jour dès que nous aurons plus d'informations. Consultez ce document fréquemment pour vérifier s'il a été actualisé.

Mises à jour récentes apportées à cet article

Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.

Date Mise à jour
lundi 20 juillet 2017 Ajout de synonymes que les clients recherchaient également.
mercredi 19 juillet 2017 Correction des informations concernant PSExec.
lundi 3 juillet 2017 Mise à jour des règles de protection de l'accès recommandées pour VirusScan Enterprise et Endpoint Security afin de cibler plus efficacement cette variante spécifique de Petya.
28 juin 2017, 17 h 30 GMT Ajout d'informations sur les DAT ENS (3025).
28 juin 2017, 12 h 45 GMT Ajout d'informations sur le DAT d'urgence 8574.
28 juin 2017, 12 h 10 GMT Ajout d'un lien aux observations et analyses de McAfee.
28 juin 2017, 01 h 55 GMT Ajout d'informations sur la signature définie par l'utilisateur de Network Security (NSP) avec une couverture actualisée.
28 juin 2017, 00 h 40 GMT Mise à jour des signatures existantes afin d'ajouter la signature 0x43c0bd00- NETBIOS-SS : MS17-010 - Vulnérabilité d'exécution de code à distance sur serveur SMB (Eternal Tools et ransomware WannaCry)
27 juin 2017, 22 h 40 GMT
  • Ajout de règles de protection de l'accès pour VSE et ENS.
  • Ajout de ressources dans la section Informations connexes.
27 juin 2017, 21 h 30 GMT
  • Il nous a été rapporté que certains utilisateurs ne voyaient pas le fichier Extra.DAT mis à jour. Nous l'avons donc joint de nouveau sous un autre nom. Le nom correct du fichier est normalement EXTRADAT.zip.
  • Ajout de couverture pour Petya dans McAfee NSP.
!27 juin 2017, 20 h 23 GMT Mise à jour avec le nouveau fichier Extra.DAT.


Cette menace présente les symptômes suivants :

  • La propagation semble être effectuée via les protocoles Remote Desktop Protocol (RDP) et/ou Server Message Block (SMB).
     
  • Le ransomware peut afficher le message suivant sur un PC infecté :

    Repairing file system on C:

    The type of the file system is NTFS.
    One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.

    WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)
    [Réparation du système de fichiers sur C: Le système de fichiers est de type NTFS. L'un de vos disques contient des erreurs et doit être réparé. Ce processus peut prendre plusieurs heures. Il est fortement recommandé de le laisser se terminer. AVERTISSEMENT : N'ÉTEIGNEZ PAS VOTRE PC ! SI VOUS METTEZ FIN À L'OPÉRATION, VOUS RISQUEZ DE DÉTRUIRE TOUTES VOS DONNÉES ! VEUILLEZ VOUS ASSURER QUE VOTRE CÂBLE D'ALIMENTATION EST BRANCHÉ ! CHKDSK répare le secteur xxxxx de xxxxxxxx (x%)]

     
  • Après le chiffrement, les systèmes touchés peuvent demander à l'utilisateur de redémarrer le système. Après le redémarrage, un écran de rançon semblable à celui-ci s'affiche :



     
  • Les extensions actuellement touchées sont les suivantes :
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost,. ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Solution

En tant qu'action de prévention prioritaire, mettez à jour tous les systèmes conformément aux recommandations du bulletin de sécurité MS17-010s'ils ne contiennent pas encore le patch.  
 

Couverture McAfee NSP pour le ransomware Petya
Signatures existantes :
  • 0x43c0bd00- NETBIOS-SS : MS17-010 - Vulnérabilité d'exécution de code à distance sur serveur SMB (Eternal Tools et ransomware WannaCry)
  • 0x43c0b800- NETBIOS-SS : Vulnérabilité de confusion des types MID et FID identiques dans SMB v1 (CVE-2017-0143)
  • 0x43c0b400- NETBIOS-SS : Vulnérabilité d'exécution de code à distance sur serveur SMB (CVE-2017-0144)   
  • 0x43c0b500- NETBIOS-SS : Vulnérabilité d'exécution de code à distance sur serveur SMB (CVE-2017-0145) 
  • 0x43c0b300- NETBIOS-SS : Vulnérabilité d'écriture hors limites sur Microsoft Windows SMB (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS : Vulnérabilité de divulgation des informations Windows SMBv1 (CVE-2017-0147)  
  • 0x451e3300- HTTP : Vulnérabilité d'exécution de code arbitraire OLE dans Microsoft Office (CVE-2017-0199)
L'équipe de recherche NSP a créé une signature définie par l'utilisateur avec une couverture actualisée. Cette signature définie par l'utilisateur peut être téléchargée à partir de l'article KB55447.

L'article référencé ci-dessus n'est disponible que pour les utilisateurs enregistrés du ServicePortal.

Pour voir les articles enregistrés :
  1. Connectez-vous à ServicePortal à l'adresse http://support.mcafee.com.
  2. Saisissez l'identifiant de l'article dans le champ Consulter le Knowledge Center sur la page d'accueil.
  3. Cliquez sur Rechercher ou appuyez sur la touche ENTREE.


Règles de protection de l'accès pour VirusScan Enterprise (VSE) et Endpoint Security (ENS)
Les règles de protection de l'accès suivantes pour VSE et ENS peuvent aider à combattre les logiciels malveillants (malware).  McAfee a mis à jour les règles de protection de l'accès recommandées pour cibler plus efficacement cette variante spécifique de Petya.

REMARQUE : ces règles de protection de l'accès ne changent rien à la nécessité d'implémenter le fichier Extra.DAT. Elles sont destinées à lutter contre les logiciels malveillants (malware), mais n'empêcheront pas la création ou l'exécution de la charge active de ces logiciels malveillants sur un système.  Ces deux règles de protection de l'accès empêcheront le fichier rundll32.exe de démarrer la moindre instance de cmd.exe et empêcheront également la création de l'utilitaire PSExec de Microsoft Technet.  Elles n'empêcheront pas le téléchargement et/ou l'enregistrement du nom de fichier original pour PSExec, afin qu'un administrateur puisse encore utiliser cet utilitaire si nécessaire.
  
Règles de protection de l'accès VSE
Processus à inclure : rundll32.exe
Processus à exclure :
Fichier/dossier à bloquer : cmd.exe
Actions : Bloquer l'exécution

REMARQUE : cette opération empêche le processus rundll32.exe d'exécuter la moindre instance de cmd.exe, ce qui est le comportement caractéristique du logiciel malveillant.  Cela inclut tout logiciel légitime qui pourrait avoir le même comportement, avec des scripts personnalisés à titre d'exemple.
 
Processus à inclure : *
Processus à exclure :
Fichier/dossier à bloquer : **\PSEXESVC.EXE
Actions : Bloquer la création

REMARQUE : cette opération empêche tout processus de créer le service à distance PSExec. Le fait d'empêcher cette création de fichier contribue à empêcher la réplication de PSExec, un composant utilisé dans la réplication de la charge active des logiciels malveillants. Cela n'empêche pas un administrateur de sauvegarder toutes les nouvelles copies de PSExec vers les systèmes où cette règle est appliquée, mais empêchera PSEXESVC.EXE d'être créé sur le système cible, empêchant ainsi l'utilisation de PSExec (qu'il soit utilisé dans un but malveillant ou pour effectuer des tâches administratives normales à distance).
 
 
Règles de protection de l'accès ENS
Créez une nouvelle règle en définissant le statut d'inclusion sur « Inclure » et en indiquant rundll32.exe comme nom ou chemin d'accès du fichier
Créez une sous-règle de type de « fichiers », avec cmd.exe pour cible
Sélectionnez l'action permettant d'empêcher l'exécution
 
Créez une nouvelle règle en définissant le statut d'inclusion sur « Inclure » et en indiquant * comme nom ou chemin d'accès du fichier
Créez une sous-règle de type de « fichiers », avec **\PSEXESVC.EXE pour cible
Sélectionnez l'action permettant d'empêcher la création

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.