Après l’attaque massive du malware « WannaCry », une seconde menace pèse actuellement sur les utilisateurs du monde entier. Baptisé «Petya», ce nouveau ransomware exploite la fameuse faille de « Microsoft Server Message Block SMB – MS17-10 » et en profitant aussi des outils «WMIC» et «PSEXEC» pour infecter les ordinateurs Windows complètement à jour.
«Petya» force ainsi le redémarrage des machines victimes, crypte la table de fichiers principale (Master File Table – MFT -), rend la zone d’amorçage principale (Master Boot Record – MBR -) inopérante, restreint l’accès au système et change les informations sur les noms de fichiers, leurs tailles et leurs emplacements sur le disque physique.
Pour s’en protéger en Tunisie, l’Agence Nationale de la Sécurité Informatique (ANSI) vous conseille d’être vigilants et de suivre les mesures préventives suivantes :
- Mettre à jour immédiatement votre solution antivirale.
- Désactiver WMIC (Windows Management Instrumentation Command-line).
- Sauvegarder régulièrement vos données sensibles sur des disques durs externes.
- Créer chaque semaine des points de restauration pour récupérer les fichiers système en cas d’infection.
- Activer le composant Windows Defender Antivirus pour détecter les ransomwares.
- Appliquer des règles de filtrage au niveau de votre firewall pour bloquer les accès non autorisés au service SMB via les ports 445 et 139.
Tekiano