Le malware Petya est détecté comme Win32/Diskcoder.C qui se répand rapidement

Solution

Pour tous les utilisateurs des produits ESET : Voici les bonnes pratiques pour se prémunir de cette attaque.

1. Si vous ne disposez pas d’une sauvegarde SysRescue existante de votre système, téléchargez ESET SysRescue Live et créez un disque de sauvegarde.
2. Eteignez tous les ordinateurs de votre réseau.

3. Démarrez les systèmes individuellement avec un support SysRescue Live et scannez chaque ordinateur avec d’activé les options applications dangereuses et applications potentiellement indésirables. Comment j’utilise ESET SysRescue Live pour nettoyez mes postes de travail ?

4. Dans le répertoire principal de Windows ("c :\Windows est utilisé dans cet exemple), ouvrez un éditeur de texte Linux et créez trois fichiers vierges avec les nom de fichiers et extensions suivants :
• C :\windows\perfc
• C :\windows\perfc.dat
• C :\windows\perfc.dll

5. Si possible, désactivez SMB version 1.
• Désactivez SMBv1 par GPO
• Désactivez SMBv1 sur un serveur

6. Si un compte administrateur local existe sur une machine, modifiez le mot de passe avec une complexité plus forte

7. Désactivez les comptes par défaut ADMIN$ et/ou la communication au partage Admin$

8. Si vos machines appartiennent à un domaine, modifiez le mot de passe admin du domaine sur l’ensemble de vos domaines si vous en avez plusieurs.

9. Évitez d’utiliser les mêmes informations d’identification d’administrateur sur les postes de travail et serveurs.

10. Assurez-vous que tous les correctifs disponibles pour le système d’exploitation sont installés. Si vous utilisez un système d’exploitation qui n’est plus pris en charge par Microsoft, envisagez de passer à une version supérieure.

11. Assurez-vous que la dernière version de votre produit ESET est installée et que les modules sont tous bien à jour.

12. Assurez-vous que seuls les machines nettoyées et patchées sont connectés au réseau.

13. Les meilleurs pratiques pour protéger vos machines contre le ransomware se trouvent ici.

Si vous voyez déjà des instructions de paiement :

1. Éteignez la machine

2. Démarrez le système avec un support SysRescue Live et scannez chaque ordinateur avec activez les options applications dangereuses et applications potentiellement indésirables. Comment j’utilise ESET SysRescue Live pour nettoyez mes postes de travail ?

3. Vérifiez si le disque n’a pas été chiffré. Il existe plusieurs façon de le faire :
a. Démarrez votre machine sur la console de récupération Windows à partir d’un CD d’installation.

b. Restaurez MBR en éxecutant la commande fixmbr

c. Démarrez votre machine sur un Linux Live CD/USB et utilisez TestDisk pour réparer MBR

Si vos fichiers ont déjà été chiffrés :

Si vous ne disposez pas de données importantes sur vos disques :
1. Faite une nouvelle image du système.
2. Suivez les meilleurs pratiques.

Si vous avez des données importantes sur votre disque déjà chiffrées :

1. Utilsez ESET Sysrescue Live pour créer une copie du disque
2. Faite une nouvelle image du système.
3. Follow the best practices.
4. Attendez les instructions futures des équipes ESET.