{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Toutes les versions de Windows semblent pouvoir \u00eatre affect\u00e9es dans la mesure o\u00f9 des outils d'administration classiques sont utilis\u00e9s pour la lat\u00e9ralisation. Les serveurs ainsi que les postes de travail font donc partie du p\u00e9rim\u00e8tre d'infection possible.

","closed_at":"2017-08-03","content":"## Vecteurs du0027infection\n\nL'ANSSI ne dispose pas \u00e0 cette heure de preuves relatives au vecteur\ninitial d'infection. \nL'usage envisag\u00e9 de la vuln\u00e9rabilit\u00e9 CVE-2017-0199 semble d\u00e9sormais\nexclu. Microsoft indique que le logiciel de paiement de taxe MEDoc\npourrait \u00eatre l'un des vecteurs initiaux d'infection via une mise \u00e0 jour\nautomatique.\n\nLorsque le maliciel s'ex\u00e9cute, celui-ci commence par s'attribuer autant\nde droits que son niveau de privil\u00e8ges lui permet. Il v\u00e9rifie ensuite si\ncertains logiciels anti-virus sont pr\u00e9sents. S'il poss\u00e8de le privil\u00e8ge\nSeDebugPrivilege, il cherche la pr\u00e9sence d'un fichier avant de continuer\nson ex\u00e9cution. Dans ce cas, celui-ci fait office de ce que l'on appelle\ncommun\u00e9ment un killswitch. Le nom de ce fichier est d\u00e9termin\u00e9 \u00e0 partir\ndu nom de l'ex\u00e9cutable malveillant pour lequel l'extension a \u00e9t\u00e9\nretir\u00e9e. Sur les souches identifi\u00e9es actuellement, le nom constat\u00e9 du\nbinaire est C:\\\\Windows\\\\perfc.dat. Par cons\u00e9quent le fichier v\u00e9rifi\u00e9\navant ex\u00e9cution est C:\\\\Windows\\\\perfc. Sur ces souches, la pr\u00e9sence de\nce fichier arr\u00eatera l'ex\u00e9cution du maliciel avant toute action\ndestructrice.\n\nSi ce fichier n'est pas pr\u00e9sent, le maliciel va alors modifier le Master\nBoot Record (MBR) afin d'effectuer des actions destructrices au prochain\nd\u00e9marrage de la machine. S'il rencontre une erreur lors de cette\nop\u00e9ration, alors les dix premiers secteurs du disques seront r\u00e9\u00e9crits\navec des z\u00e9ros pour emp\u00eacher la machine de d\u00e9marrer. Ceci est par\nexemple le cas si le disque a une table de partition GPT (GUID Partition\nTable) au lieu de MBR. L'effet g\u00e9n\u00e9ralement constat\u00e9 est un \u00e9cran noir \u00e0\nla place du message de ran\u00e7on. Dans ce cas, le syst\u00e8me est r\u00e9cup\u00e9rable \u00e0\ncondition de reconstruire la table de partition.\n\nEnsuite, il tente de cr\u00e9er une t\u00e2che planifi\u00e9e r\u00e9alisant un red\u00e9marrage\nde la machine.\n\nLe maliciel va alors commencer \u00e0 \u00e9num\u00e9rer les \u00e9quipements pr\u00e9sents sur\nle r\u00e9seau interne afin de se propager.\n\nDes droits \u00e9lev\u00e9s permettent au maliciel de voler les mots de passe\nlocaux soit en utilisant un outil de type Mimikatz en version 32 ou 64\nbits, et en faisant appel \u00e0 l'API CredEnumerateW. Le logiciel\nmalveillant dispose de plusieurs capacit\u00e9s pour se propager sur le\nr\u00e9seau :\n\n- en utilisant les identifiants r\u00e9cup\u00e9r\u00e9s sur la machine ainsi que\n l'outil l\u00e9gitime d'administration PSExec et du protocole WMI\u00a0;\n- en exploitant des vuln\u00e9rabilit\u00e9s du protocole SMB (identifi\u00e9es dans\n le bulletin MS17-010).\n\nApr\u00e8s avoir tent\u00e9 de se propager, le maliciel chiffre les fichiers\nlocaux de l'utilisateur en les ciblant en fonction de leur extension.\nCette \u00e9tape est assez longue et d\u00e9pend du volume de donn\u00e9es pr\u00e9sentes\nsur le disque. Une fois le chiffrement termin\u00e9, le logiciel malveillant\ncherche \u00e0 red\u00e9marrer la machine. En fonction des versions de Windows,\ncela se fera soit par le d\u00e9clenchement de la t\u00e2che planifi\u00e9e, soit en\nprovoquant une erreur qui d\u00e9bouchera sur un \u00e9cran bleu dit \"de la mort\".\n\nSelon le r\u00e9sultat des actions pr\u00e9c\u00e9dentes, la machine :\n\n- red\u00e9marrera normalement mais les fichiers seront inaccessibles\u00a0;\n- ne red\u00e9marrera pas\u00a0;\n- red\u00e9marrera avec un message affich\u00e9 indiquant qu'une v\u00e9rification de\n l'int\u00e9grit\u00e9 des disques est en cours.\n\nDans ce dernier cas, le maliciel chiffre la MFT (Master File Table). Il\ns'agit d'un index des fichiers et r\u00e9pertoires pr\u00e9sents sur le disque.\nCela a pour cons\u00e9quence de rendre inaccessibles les fichiers pr\u00e9sents\nsur la machine. Enfin, le maliciel s'installe \u00e0 la place du secteur de\nd\u00e9marrage de Windows afin d'afficher le message de ran\u00e7on. La cl\u00e9\nutilis\u00e9e pour chiffrer la MFT \u00e9tant d\u00e9truite dans le processus, il est\nimpossible d'obtenir son d\u00e9chiffrement m\u00eame en \u00e9change du paiement de la\nran\u00e7on.\n\n## R\u00e9sum\u00e9 des actions du maliciel\n\nLes diff\u00e9rentes actions entreprisent par le maliciel sont conditionn\u00e9s\npar plusieurs v\u00e9rifications au cours de son \u00e9xecution. Le tableau\nci-apr\u00e8s synth\u00e9tise les \u00e9v\u00e9nements en fonction du contexte d'\u00e9xecution\ndu logiciel malveillant, notamment les privil\u00e8ges dont dispose le\nprocessus, le type de secteur d'amor\u00e7age ou la pr\u00e9sence de logiciel\nantivirus.\n\n\u00a0\n\n
\n\n**Tableau 2:** R\u00e9sum\u00e9 des actions du maliciel suivant ses privil\u00e8ges, le\ntype de secteur d'amor\u00e7age, ou la pr\u00e9sence de logiciel antivirus\n\n| | | | | | | | | |\n|:-------------------------------------------------------------------------------------------------------------------|:---------------------------------------------------------|:--------------------------------------:|:-----------------------------------------:|:----------------------------------:|:----------------------------------:|:----------------------------------------:|:----------------------------------------------:|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|\n| **Action** | **SeDebug** | **SeTcb** | **SeShutdown** | **MBR** | **GPT** | **Kaspersky** | **Symantec/Norton** | **Commentaires** |\n| V\u00e9rification du marqueur d'infection (MBR d\u00e9j\u00e0 infect\u00e9) | requis | | | | | | | Nom du fichier depuis lequel s'ex\u00e9cute le code plac\u00e9 dans le dossier C:\\\\Windows\\\\. Il est souvent observ\u00e9 le fichier C:\\\\Windows\\\\perfc |\n| Infection du MBR | requis | | | requis | | Si Absent | | |\n| Ecrasement des dix premiers secteurs du disque dur | requis | | | | | Si Pr\u00e9sent | | Seulement dans le cas ou l'infection du MBR \u00e9choue |\n| Planififation du red\u00e9marrage | | | | | | | | R\u00e9ussite selon le retour de la commande, qui elle-m\u00eame d\u00e9pend de la version de Windows |\n| Reconnaissance r\u00e9seau | | | | | | | | |\n| Ex\u00e9cution du d\u00e9robeur de mot de passe de type Mimikatz d\u00e9pos\u00e9 dans le r\u00e9pertoire %TEMP% | requis | | | | | | | |\n| Extraction de PsExec dans le r\u00e9pertoire %WINDIR% | Un des deux | Un des deux | | | | | | |\n| Extraction de PsExec dans le r\u00e9pertoire %APPDATA% | Absent | Absent | | | | | | |\n| Cr\u00e9ation d'un fil d'ex\u00e9cution d'envoi de commandes WMIC | | | | | | | | |\n| \u00c9l\u00e9vation locale de privil\u00e8ges (technique identique que le mouvement lat\u00e9ral) | Si absent et sous conditions | | | | | | | Si le syst\u00e8me d'exploitation est parmi : Windows versions 5.1, 5.2 -Windows XP et Windows Server 2003-, 6.0 (Vista, Windows Server 2008), ou 6.1 (Windows 7, Windows Server 2008 R2) |\n| Exploitation des vuln\u00e9rabilit\u00e9s EternalRomance/EternalBlue | | | | | | | Si absent | |\n| Chiffrement des fichiers sur le disque local | | | | | | | | |\n| Ecran bleu \\`\\`de la mort'' / Red\u00e9marrage forc\u00e9 | | | requis | | | | | |\n| Effacement des \u00e9v\u00e9nements windows (wevutil) et journal USN (fsutil) | Si pr\u00e9sent ou sous conditions | | | | | | | Si le syst\u00e8me est de type Windows 8 et post\u00e9rieures ou si l'\u00e9l\u00e9vation locale de privil\u00e8ges a r\u00e9ussie; R\u00e9ussite de la commande selon le retour du processus lanc\u00e9 |\n\n
\n\n\u00a0\n\n## Solution\n\n## Recommandations\n\nPour emp\u00eacher la propagation du maliciel, m\u00eame en cas d'infection\ninitiale, le CERT-FR recommande d'effectuer les actions suivantes :\n\n- Mettre le processus lsass.exe en PPL (protected process light) sur\n l'ensemble des postes de travail, des serveurs membres et des\n contr\u00f4leurs de domaine, mesure d\u00e9ployable par GPO via un mod\u00e8le\n d'administration r\u00e9cup\u00e9rable sur le site Web de Microsoft. Cette\n action rend plus difficile la r\u00e9cup\u00e9ration des empreintes en m\u00e9moire\n et n'est r\u00e9ellement efficace que depuis Windows 8.1 et 2012 R2 ;\n- Activer credential guard sur l'ensemble des postes de travail et des\n serveurs membres, ce qui rend impossible la r\u00e9cup\u00e9ration des\n empreintes en m\u00e9moire, sur Windows 10 et 2016 ;\n- Mettre les utilisateurs les plus privil\u00e9gi\u00e9s de l'AD dans le groupe\n protected users ce qui n\u00e9cessite une extension de sch\u00e9ma AD en 2012\n R2. Cette mesure emp\u00eache le stockage des empreintes des mots de\n passe en m\u00e9moire, y compris sur les postes Windows 7 s'ils sont \u00e0\n jour (ayant notamment le correctif KB2871997 appliqu\u00e9) ;\n- Ajouter le SID des utilisateurs locaux (S-1-5-114) dans le droit\n d'authentification interdire l'acc\u00e8s \u00e0 cet ordinateur par le r\u00e9seau.\n Cette mesure peut \u00eatre d\u00e9ploy\u00e9e par GPO et emp\u00eache la r\u00e9utilisation\n des mots de passe identiques des comptes locaux ;\n- Activer le contr\u00f4le de comptes utilisateur (UAC) pour le compte\n administrateur int\u00e9gr\u00e9 (par GPO) sur les serveurs et les postes de\n travail ;\n- S'assurer que les utilisateurs n'aient pas de privil\u00e8ges sur les\n postes de travail ou activer le contr\u00f4le de comptes utilisateur\n (UAC) en mode Demande de consentement sur le bureau s\u00e9curis\u00e9.\n\nDe mani\u00e8re plus g\u00e9n\u00e9rale, le CERT-FR recommande :\n\n- l'application imm\u00e9diate des mises \u00e0 jour de s\u00e9curit\u00e9 notamment la\n mise \u00e0 jour de s\u00e9curit\u00e9 Microsoft MS17-010 (cf. section\n Documentation) ;\n- le respect des recommandations g\u00e9n\u00e9riques relatives aux\n ran\u00e7ongiciels :\n ;\n- de limiter l'exposition du service SMB, en particulier sur internet\n ;\n- respecter le principe de moindre privil\u00e8ge pour les utilisateurs,\n afin de limiter l'\u00e9l\u00e9vation de privil\u00e8ges et la propagation lat\u00e9rale\n de l'attaquant ;\n- de ne pas payer la ran\u00e7on.\n\n## Pr\u00e9vention\n\nDe mani\u00e8re pr\u00e9ventive, s'il n'est pas possible de mettre \u00e0 jour une\nmachine, il est recommand\u00e9 de l'isoler logiquement, voire de l'\u00e9teindre\nle temps d'appliquer les mesures adapt\u00e9es de protection.\n\nLa d\u00e9sactivation du protocole SMBv1 peut \u00eatre un plus mais ne saurait\nremplacer l'installation des correctifs.\n\n## D\u00e9tection\n\nLes r\u00e8gles Yara suivantes sont fournies afin de permettre la d\u00e9tection\nd'un logiciel malveillant relatif \u00e0 la campagne en cours.\n\n rule MS17_010_RANSOMWARE_perfc_xor_strings {\n\nmeta: \nauthor = \"ANSSI\" \nversion = \"1.0\" \ndescription = \"Rule to detect MS17_010 ransomware\"\n\nstrings: \n// PC NETWORK PROGRAM 1.0 xor 0x72 \n\\$a = {70 22 31 52 3C 37 26 25 3D 20 39 52 22 20 3D 35 20 33 3F 52 43 5C\n42 \n72 70 3E 33 3C 3F 33 3C 43 5C 42 72 70 25 1B 1C 16 1D 05 01 52 14}\n\n// \\\\\\\\123.12.31.2\\\\IPC\\$ xor 0x75 \n\\$b = {75 29 75 29 75 44 75 47 75 46 75 5B 75 44 75 47 75 5B 75 46 75 44\n75 \n5B 75 47 75 29 75 3C 75 25 75 36 75 51 75 75 75 4A 4A 4A 4A 4A 75}\n\n// payload1 shellcode entrypoint xor 0x64 \n\\$c = {2C ED 84 02 E7 80 94 25 33 25 32 25 31 25 30 37 35 36 31 33 32 34\n34 \n8C D8 62 64 64 2C ED}\n\ncondition: \n1 of them \n}\n\n rule MS17_010_RANSOMWARE_Kaspersky_PetrWrap {\n meta:\n copyright = \"Kaspersky Lab\"\n description = \"Rule to detect PetrWrap ransomware samples\"\n last_modified = \"2017-06-27\"\n author = \"Kaspersky Lab\"\n hash = \"71B6A493388E7D0B40C83CE903BC6B04\"\n version = \"1.0\"\n\nstrings: \n\\$a1 =\n\"MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXE \njfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2Dt \nX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITD \nbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu\" fullword \nwide \n\\$a2 =\n\".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk. \ndjvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf. \nphp.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc. \nvmdk.vmsd.vmx.vsdx.vsv.work.xls\" fullword wide \n\\$a3 = \"DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS\nPLUGGED\" \nfullword ascii \n\\$a4 = \"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX\" fullword ascii \n\\$a5 = \"wowsmith123456@posteo.net.\" fullword wide\n\ncondition: \nuint16(0) == 0x5A4D and \nfilesize \\< 1000000 and any of them \n}\n\n rule MS17_010_RANSOMWARE_FireEye_perfc_clear_strings {\n meta:version=\"1.1\"\n //filetype=\"PE\"\n author=\"Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com\n @ItsReallyNick\"\n date=\"2017-06-27\"\n description=\"Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec\"\n strings:\n // DRIVE USAGE\n $dmap01 = \"\\\\\\\\.\\\\PhysicalDrive\" nocase ascii wide\n $dmap02 = \"\\\\\\\\.\\\\PhysicalDrive0\" nocase ascii wide\n $dmap03 = \"\\\\\\\\.\\\\C:\" nocase ascii wide\n $dmap04 = \"TERMSRV\" nocase ascii wide\n $dmap05 = \"\\\\admin$\" nocase ascii wide\n $dmap06 = \"GetLogicalDrives\" nocase ascii wide\n $dmap07 = \"GetDriveTypeW\" nocase ascii wide\n\n// RANSOMNOTE \n\\$msg01 = \"WARNING: DO NOT TURN OFF YOUR PC!\" nocase ascii wide \n\\$msg02 = \"IF YOU ABORT THIS PROCESS\" nocase ascii wide \n\\$msg03 = \"DESTROY ALL OF YOUR DATA!\" nocase ascii wide \n\\$msg04 = \"PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED\" nocase ascii\nwide \n\\$msg05 = \"your important files are encrypted\" ascii wide \n\\$msg06 = \"Your personal installation key\" nocase ascii wide \n\\$msg07 = \"worth of Bitcoin to following address\" nocase ascii wide \n\\$msg08 = \"CHKDSK is repairing sector\" nocase ascii wide \n\\$msg09 = \"Repairing file system on \" nocase ascii wide \n\\$msg10 = \"Bitcoin wallet ID\" nocase ascii wide \n\\$msg11 = \"wowsmith123456@posteo.net\" nocase ascii wide \n\\$msg12 = \"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX\" nocase ascii wide \n\\$msg_pcre = /(en\\|de)crypt(ion\\|ed\\\\.)/\n\n// FUNCTIONALITY, APIS \n\\$functions01 = \"need dictionary\" nocase ascii wide \n\\$functions02 = \"comspec\" nocase ascii wide \n\\$functions03 = \"OpenProcessToken\" nocase ascii wide \n\\$functions04 = \"CloseHandle\" nocase ascii wide \n\\$functions05 = \"EnterCriticalSection\" nocase ascii wide \n\\$functions06 = \"ExitProcess\" nocase ascii wide \n\\$functions07 = \"GetCurrentProcess\" nocase ascii wide \n\\$functions08 = \"GetProcAddress\" nocase ascii wide \n\\$functions09 = \"LeaveCriticalSection\" nocase ascii wide \n\\$functions10 = \"MultiByteToWideChar\" nocase ascii wide \n\\$functions11 = \"WideCharToMultiByte\" nocase ascii wide \n\\$functions12 = \"WriteFile\" nocase ascii wide \n\\$functions13 = \"CoTaskMemFree\" nocase ascii wide \n\\$functions14 = \"NamedPipe\" nocase ascii wide \n\\$functions15 = \"Sleep\" nocase ascii wide // imported, not in strings\n\n// COMMANDS \n// -- Clearing event logs & USNJrnl \n\\$cmd01 = \"wevtutil cl Setup\" ascii wide nocase \n\\$cmd02 = \"wevtutil cl System\" ascii wide nocase \n\\$cmd03 = \"wevtutil cl Security\" ascii wide nocase \n\\$cmd04 = \"wevtutil cl Application\" ascii wide nocase \n\\$cmd05 = \"fsutil usn deletejournal\" ascii wide nocase \n// -- Scheduled task \n\\$cmd06 = \"schtasks \" nocase ascii wide \n\\$cmd07 = \"/Create /SC \" nocase ascii wide \n\\$cmd08 = \" /TN \" nocase ascii wide \n\\$cmd09 = \"at %02d:%02d %ws\" nocase ascii wide \n\\$cmd10 = \"shutdown.exe /r /f\" nocase ascii wide \n// -- Sysinternals/PsExec and WMIC \n\\$cmd11 = \"-accepteula -s\" nocase ascii wide \n\\$cmd12 = \"wmic\" \n\\$cmd13 = \"/node:\" nocase ascii wide \n\\$cmd14 = \"process call create\" nocase ascii wide\n\ncondition: \n(uint16(0) == 0x5A4D) \nand 3 of (\\$dmap\\*) \nand 2 of (\\$msg\\*) \nand 9 of (\\$functions\\*) \nand 7 of (\\$cmd\\*) \n}\n\n## Marqueurs\n\nLes \u00e9l\u00e9ments suivants sont identifi\u00e9s en source ouverte comme \u00e9tant de\npossibles marqueurs de compromission.\n\n 71b6a493388e7d0b40c83ce903bc6b04\n 0df7179693755b810403a972f4466afb\n 42b2ff216d14c2c8387c8eabfb1ab7d0\n e285b6ce047015943e685e6638bd837e\n e595c02185d8e12be347915865270cca\n 3b7331b99da80dcb5a0f5c14d384b49c\n 3d451bcaa800833115abf90c0954ac3b\n 710bd936a07bd3b146bdb170c317438c\n 8a241cfcc23dc740e1fadc7f2df3965e\n 9ed3bdaeb95e1084db73f39414b4f2b9\n a92f13f3a1b3b39833d3cc336301b713\n af2379cc4d607a45ac44d62135fb7015\n b968c302c6fd56bbf7da3cc72bb31fa6\n d0a0e16f1f85db5dfac6969562923576\n e068ee33b5e9cb317c1af7cecc1bacb5\n f11998e3849632b67a45a7186523f682\n 0487382a4daf8eb9660f1c67e30f8b25\n 415fe69bf32634ca98fa07633f4118e1\n\nL'ANSSI confirme que les empreintes md5 suivantes sont li\u00e9es \u00e0 la\ncampagne en cours\u00a0:\n\n 71b6a493388e7d0b40c83ce903bc6b04\n 0df7179693755b810403a972f4466afb\n 42b2ff216d14c2c8387c8eabfb1ab7d0\n e285b6ce047015943e685e6638bd837e\n\nLe domaine et l'adresse IP suivante sont associ\u00e9s au serveur de mise \u00e0\njour du logiciel MeDoc identifi\u00e9 comme ayant distribu\u00e9 une version du\nmaliciel.\n\n upd.me-doc.com.ua\n 92.60.184.55\n\n## Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises, sans toutefois les \u00e9teindre. L'objectif\nest de bloquer la poursuite du chiffrement et la destruction des\ndocuments partag\u00e9s.\n\nLe CERT-FR recommande aussi d'alerter le responsable s\u00e9curit\u00e9 ou le\nservice informatique au plus t\u00f4t.\n\nAussi, le CERT-FR recommande de prendre le temps de sauvegarder les\nfichiers importants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers\npeuvent \u00eatre alt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les\ntraiter comme tels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre\npr\u00e9serv\u00e9es d'\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nComme le maliciel r\u00e9cup\u00e8re les mots de passe, il est donc n\u00e9cessaire de\nchanger les mots de passe des sauvegardes avant de les restaurer. Si\ncela n'est pas possible, on peut aussi changer le mot de passe apr\u00e8s la\nr\u00e9installation, mais imp\u00e9rativement avant de rebrancher la machine sur\nle r\u00e9seau.\n","cves":[{"name":"CVE-2017-0199","url":"https://www.cve.org/CVERecord?id=CVE-2017-0199"}],"links":[{"title":"disablesmb1","url":"https://aka.ms/disablesmb1"},{"title":"CERTFR-2015-ACT-004","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/index.html"},{"title":"new-ransomware-old-techniques-petya-adds-worm-capabilities","url":"https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/"},{"title":"MS17-010","url":"https://technet.microsoft.com/fr-fr/library/security/MS17-010"},{"title":"CERTFR-2017-ACT-019","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-019/index.html"},{"title":"CERTFR-2017-ACT-016","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-016/index.html"}],"reference":"CERTFR-2017-ALE-012","revisions":[{"description":"version initiale ;","revision_date":"2017-06-27T00:00:00.000000"},{"description":"mise \u00e0 jour ;","revision_date":"2017-06-28T00:00:00.000000"},{"description":"mise \u00e0 jour des informations sur le vecteur initial d'infection, ajout de marqueurs, modification des \u00e9l\u00e9ments limitant la propagation ;","revision_date":"2017-06-28T00:00:00.000000"},{"description":"mise \u00e0 jour, ajouts de recommandations ;","revision_date":"2017-06-28T00:00:00.000000"},{"description":"mise \u00e0 jour, ajouts de la chronologie de l'infection, retraits des marqueurs r\u00e9seau ;","revision_date":"2017-06-29T00:00:00.000000"},{"description":"mise \u00e0 jour, modification des mesures r\u00e9actives, correction d'erreurs, confirmation de la destruction de la cl\u00e9 servant \u00e0 chiffrer la MFT.","revision_date":"2017-06-29T00:00:00.000000"},{"description":"mise \u00e0 jour, ajout d'un tableau r\u00e9capitulant les actions du maliciel, ajout de marqueurs.","revision_date":"2017-06-30T00:00:00.000000"},{"description":"modifications mineures.","revision_date":"2017-07-04T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte.","revision_date":"2017-07-07T00:00:00.000000"},{"description":"correction du marqueur upd.me-doc.com.ua.","revision_date":"2017-08-03T00:00:00.000000"}],"risks":[{"description":"Non sp\u00e9cifi\u00e9 par l'\u00e9diteur"}],"summary":"Le CERT-FR constate une recrudescence d'activit\u00e9 de maliciel prenant\nl'apparence d'un ran\u00e7ongiciel poss\u00e9dant une forte capacit\u00e9 de\nr\u00e9plication. En particulier, plusieurs \u00e9chantillons poss\u00e8dent la\ncapacit\u00e9 de se propager en utilisant aussi bien des codes d'exploitation\ndu protocole SMB que des identifiants l\u00e9gitimes vol\u00e9s sur la machine\ncompromise (\u00e0 l'aide de PSExec et du protocole WMI).\n\nCette capacit\u00e9 de propagation multiple rend potentiellement vuln\u00e9rables\ncertains r\u00e9seaux qui, malgr\u00e9 l'application de mises \u00e0 jour, ne\nrestreignent pas la lat\u00e9ralisation et l'abus d'identifiants.\n","title":"Campagne de maliciels prenant l'apparence d'un ran\u00e7ongiciel \u00e0 multiples capacit\u00e9s de propagation","vendor_advisories":[]}