GoldenEye : ce que je sais du virus informatique

Un mois après la propagation du virus Wannacry dans les réseaux informatiques d’une centaine de pays, un autre ransomware baptisé Goldeneye est aussi repéré le 27 juin dernier. C’est le groupe Bitfender qui est le premier à observer la contamination faite par ce virus via un logiciel de comptabilité très courant en Ukraine, le logiciel MeDoc.

Comment se propage ce virus ?

Le rançongiciel se propage dans les réseaux de 12 000 sociétés en Ukraine au bout de deux heures après les premiers signes de virus avant d’infecter les réseaux de leurs partenaires en Russie, Hollande, Amérique et France. Après son implantation dans l’ordinateur, il exige le redémarrage du système pendant quelques minutes durant lesquels les fichiers dans la machine sont chiffrés (notamment les fichiers doc, powerpoint, excel, pdf…). Le scénario ne diffère pas des autres ransomware. On retrouve ensuite un message demandant le versement de 300 dollars (soit 265 euros environ) sur l’écran des ordinateurs afin de récupérer les données. En adressant une preuve de versement par mail, le propriétaire de la machine infectée pourrait obtenir la clé permettant de déchiffrer le virus. Ce dernier tue la machine en effaçant aussi une partie de la zone de démarrage du disque dur. Goldeneye autrement appelé aussi Petya frappe les machines utilisant Windows XP, Windows 7 et Windows 10. Il se sert de la même faille de sécurité que Wannacry. Il peut également se propager en recourant à un outil interne à Windows WMIC ou l’outil de gestion à distance PsExec. Avec cette dernière méthode, il utilise les identifiants qu’il a trouvés sur le poste. Les experts d’Eset parlent également d’une contamination suite à la mise à jour infectée du logiciel MeDoc.

goldeneye-virus-info

Qui sont les principaux impactés ?

Le premier foyer est détecté dans la région de Bakhmout, à l’est de l’Ukraine. Il touche une dizaine de sociétés locales comprenant les banques, le métro de Kiev, le groupe Nivea, Auchan, les sites du gouvernement, etc. La compagnie d’électricité Ukrenergo a aussi repéré le virus dans ses réseaux. Ce qui a pour effet de priver d’électricité les Russes pendant 6 heures. Le malware a ensuite attaqué les entreprises en Europe, au Pays-Bas, en Grande Bretagne chez WPP, en Espagne, au Danemark chez Maersk etc. Les compagnies françaises SNCF et Saint-Gobain ont été aussi touchés. Goldeneye a également infecté le transporteur FedEx et des ordinateurs en Inde et aux Etats-Unis chez le groupe Merck. Si Wannacry est assimilé au groupe Lazarus, jusqu’à maintenant on n’a encore aucun élément à disposition sur le groupe de hackers derrière ce virus. Par ailleurs, en tant que rançongiciel, l’objectif du virus est de récolter de l’argent, or les pirates n’ont engrangé que quelque 6000 dollars sur le bitcoin. Et les chercheurs de Kapersky disent aussi qu’il est impossible de déchiffrer les fichiers après l’infection. Ce qui signifie qu’il ne s’agit pas d’un ransomware comme tous les autres mais d’un effaceur de données qui vise uniquement à provoquer des dégâts matériels. Quoi qu’il en soit, Microsoft propose une mise à jour du système qui corrige la faille exploitée par Wannacry et Goldeneye.

Separator image Publié dans En Vrac.