Bulletin d’alerte | PETYA/PETWRAP/ PETRWRAP

Bulletin d’alerte | PETYA/PETWRAP/ PETRWRAP

Bulletin d’alerte au 27 juin 2017

Une nouvelle variante du ransomware Petya se propage sous le nom de Petwrap/Petrwrap.

PetrWrap utilise le code source de Petya avec sa propre clé de chiffrement afin d’empêcher le paiement auprès des développeurs du ransomware initial. La technique utilisée pour la modification du malware est appelée « Wrapping », d’où le nom de PetrWrap.

Petya se différencie des autres ransomwares dans la mesure où il ne chiffre pas les fichiers un par un mais il bloque l’accès au MBR rendant les fichiers sur le système infecté illisibles.

Il est souvent envoyé en même temps que son ransomware jumeau « Mischa ».

De la même manière que Petya, il se propage entre autre à travers le phishing. Ces 2 ransomwares sont attribués au groupe appelé « Janus Cybercrime Solutions », connu pour avoir créé un programme de rétribution permettant aux pirates amateurs de récupérer 85% du montant de la rançon s’ils participent à sa distribution.

 

Recommandations
  1. Intégrer les IOC fournis en annexe
  2. Isoler les machines infectées
  3. Déployer le correctif Microsoft sur les postes de travail et serveurs vulnérables (MS17-010)
  4. Mettre à jour les protections antivirus (endpoints, messagerie…)
  5. Avertir et sensibiliser les employés sur l’attaque en cours
  6. Durcir la configuration Windows en désactivant la version 1 du protocole SMB
  7. Effectuer des sauvegardes régulières stockées séparément

 

IOCs

Adresses IP

  • 185.165.29.78
  • 84.200.16.242
  • 111.90.139.247

 

Domaines

  • COFFEINOFFICE.XYZ

 

Signatures de fichiers

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 71b6a493388e7d0b40c83ce903bc6b04
  • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
  • 3419e0d470f83569be0927128b3e5f992800ceb8f9019fc44763876ed6d8000c
  • 97644e485797ba20b7a60290f02057f4dffee4e6910f8a248541fc28cacd3719
  • bbcabea6c0a2609d50f8ec99a2925e93a6882f68652925627c0e26fa6158a3ca
  • a809a63bc5e31670ff117d838522dec433f74bee
  • bec678164cedea578a7aff4589018fa41551c27f
  • d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
  • aba7aa41057c8a6b184ba5776c20f7e8fc97c657
  • 0ff07caedad54c9b65e5873ac2d81b3126754aac
  • 51eafbb626103765d3aedfd098b94d0e77de1196
  • 078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
  • a809a63bc5e31670ff117d838522dec433f74bee
  • bec678164cedea578a7aff4589018fa41551c27f
  • d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
  • aba7aa41057c8a6b184ba5776c20f7e8fc97c657
  • 0ff07caedad54c9b65e5873ac2d81b3126754aac
  • 51eafbb626103765d3aedfd098b94d0e77de1196
  • 078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
  • A1D5895F85751DFE67D19CCCB51B051A
  • 9288FB8E96D419586FC8C595DD95353D48E8A060
  • 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF1FBD

 

Emails

  • wowsmith123456@posteo.net

 

Noms de fichiers

  • Order-20062017.doc
  • BCA9D6.exe
  • sysbin.exe
  • petwrap.exe
  • myguy.xls

 

Nos consultants restent à votre disposition pour toute question éventuelle : info@nes.fr – 01 53 38 57 00