Catégories
Sécurité

Virus Petya : comment s’en protéger

Le mode opératoire est identique que l’attaque de mai dernier du ransomware WannaCry. Le virus s’attrape généralement par une pièce-jointe dans un mail en apparence propre. Cela peut être un faux message de votre banque, une livraison de colis UPS ou un document scanné et envoyé d’un copieur d’entreprise. Ensuite, le code malicieux va verrouiller tous les fichiers de votre ordinateur et ceux du réseau, si le PC a accès à des partages sur des serveurs. C’est ainsi qu’en entreprise, écoles et administrations, la menace se propage très rapidement et cause des dégâts considérables, rendant inopérant tout le parc du système informatique.

Ensuite, un message s’affiche indiquant que vous êtes la cible d’un rançongiciel et qu’il faut payer 300$ pour récupérer ses fichiers. D’une, il n’est pas certain que payer la rançon permette de récupérer vos fichiers. Deuxièmement, les pirates ne vont pas se gêner pour vous extorquer davantage de bitcoin, puisque vous avez bien payé une fois donc pourquoi pas une seconde. De plus, cela encouragerait d’autres hackers, il est donc éthiquement déconseillé de payer, d’autant plus que les retours d’expériences prouvent que la récupération des fichiers sains ne se fait quasiment jamais, même après avoir payé la rançon dans les règles.

 

La bonne protection contre Petya et autres menaces équivalentes

[checklist]

  • Ne pas ouvrir des e-mails d’expéditeurs inconnus
  • Etre sensibilisé au risque de phishing
  • Installer les dernières mises à jour Windows
  • Vérifier que le logiciel antivirus soit régulièrement mis à jour
  • Installer les dernières versions et les mises à jour des logiciels (Office, Acrobat Reader…)
  • Faire des sauvegardes régulières de ses documents, photos, travail…

[/checklist]

Catégories
Expert Réseau Sécurité

Désactiver le protocole Windows SMB

Pour se protéger contre la faille de sécurité exploitée par les ransomware WannaCry, Petya, EternalBlue et pour éviter d’autres attaques du même style, on peut désactiver le partage SMB de Windows dans sa version la plus ancienne. Et Microsoft recommande même de désactiver SMBv1 pour utiliser SMBv2 ou SMBv3.

Ce tutoriel explique comment désactiver la version 1 du partage SMB / CIFS de Windows 10 et Windows Server. Les autres versions de Windows sont également concernées puisque SMB v1 est activé par défaut sur tous les systèmes d’exploitation Windows, la procédure est sensiblement la même que celle décrite ci-dessous.

Le protocole SMB v1.0 n’est pas protégé contre les attaques de type man-in-the-middle pour ne citer que cet exemple. La sécurité est donc faible et les performances sont inférieures à l’utilisation d’un SMB plus récent. Cependant, ce protocole activé par défaut est apparu avec Windows 2000 et nécessite de le laisser actif s’il reste des postes Windows XP et des serveurs Windows 2003 dans le parc.

 

Désactiver le partage SMB v1

1. Ouvrir une console Exécuter (touche Windows + R).

2. Taper : optionalfeatures

3. Dans la liste, chercher et décocher la ligne « Support de partage de fichiers SMB 1.0 / CIFS » :

4. Valider par OK et redémarrer l’ordinateur. Le partage SMB version 1 est maintenant désactivé.

 

Désactiver SMBv1 en PowerShell

Sur un poste de travail

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Sur Windows Server

Remove-WindowsFeature FS-SMB1