Mon compte Devenir membre Newsletters

Un nouveau ransomware aux capacités de propagation multiples

Publié le par

L'Anssi a constaté le 27 juin 2017 l'apparition d'un nouveau ransomware aux capacités de propagations multiples. Des analyses techniques sont en cours, mais en l'état, "toutes les versions de Windows sont susceptibles d'être affectées", selon le communiqué.

Un nouveau ransomware aux capacités de propagation multiples

Depuis le 27 juin 2017, l'Agence nationale de la sécurité des systèmes d'information (Anssi) constate l'installation et la propagation d'un programme malveillant de type ransomware.

Selon le communiqué de l'Anssi, ce ransomware "dispose de plusieurs capacités pour se propager sur le réseau des victimes: en utilisant les identifiants (login, mot de passe) obtenus sur les machines infectées, ou en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010)."

Un code qui cible le partage réseau

Par ailleurs, ce ransomware cible également "le partage réseau via les deux techniques précédemment citées. Cette capacité de propagation multiple rend potentiellement vulnérables certains réseaux qui, malgré l'application de mises à jour, ne restreignent pas la propagation d'une machine à l'autre."

Au niveau du mode opératoire, l'Anssi indique que "sur chaque machine infectée, si le rançongiciel dispose des privilèges suffisants, il force un redémarrage et modifie le secteur de démarrage de Windows afin d'afficher le message de demande de rançon et rendre inaccessibles les données. Lorsque le rançongiciel ne dispose pas de privilèges élevés, il chiffre les fichiers de l'utilisateur en fonction de leur extension." Pour l'heure, des analyses techniques sont encore en cours, et en l'état actuel des connaissances, "il convient de considérer que toutes les versions de Windows sont susceptibles d'être affectées. Les serveurs ainsi que les postes de travail font partie du périmètre d'infection possible", précise l'Anssi.

En cas de découverte du code malveillant sur vos systèmes, déconnectez immédiatement du réseau les équipements compromis et sauvegardez les fichiers importants sur des supports amovibles isolés. Attention, ces fichiers sont aussi susceptibles d'être altérés et doivent donc faire l'objet d'un traitement particulier. Le RSSI doit être alerté au plus tôt. Retrouvez dans le communiqué de l'Anssi les recommandations de sécurité pour se prémunir de ce ransomware.

La rédaction