Passer au contenu

Une nouvelle campagne d’attaque massive ransomware “GoldenEye” touche les utilisateurs du monde entier

Plusieurs infrastructures critiques en Ukraine ont déjà été mises hors ligne. Bitdefender a identifié une vague d’attaque ransomware qui se déroule actuellement dans le monde entier….

Plusieurs infrastructures critiques en Ukraine ont déjà été mises hors ligne. Bitdefender a identifié une vague d’attaque ransomware qui se déroule actuellement dans le monde entier. Les premières informations montrent que l’échantillon de du malware responsable de l’infection est un clone quasi identique de la famille GoldenSye Ransomware.

A l’heure actuelle, il n’y a pas d’informations sur le vecteur de propagation, mais Bitdefender pense qu’il soit porté par un ver

Contrairement à la plupart des ramsonwares, cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l’ordinateur et une autre qui chiffre les structures NTFS. Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD.

En outre, une fois que le processus de chiffrement est terminé, le ransomware a une fonction spéciale qui consiste à forcer l’arrêt de l’ordinateur, déclenchant un redémarrage et rendant l’ordinateur inutilisable jusqu’à ce que le rançon de 300 $ soit payée.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

30 commentaires
  1. il exploite la meme faille que wanacry.. Si des entreprise n’ont pas encore patché leur serveurs je pense qu’il y aura bientot du boulot pour de nouveaux directeurs IT

    1. Ahah, mais non. A ce genre de poste, on n’est pas jugé sur de telles broutilles. Un cousin qui a un bon poste dans une grosse boîte m’expliquait récemment que chaque personne du conseil d’administration était responsable de la perte de plusieurs millions.

        1. Ils ont souvent la flemme de faire des maj globales dans les entreprises… ils étudient aussi un passage aux nouveaux OS un peu tard. C’est encore aberrant de voir que bcp d’entreprises ne sont pas passées sur win10. Ça représente bcp de travail mais ceci va représenter encore plus de travail une fois les emmerdes présentes sur le réseau. Après j’ai pas vu en détail le fonctionnement de goldeneye

          1. je ne peux que te donner raison, j’ai vu trop de boites qui utilisaient encore des postes sous Seven voir même XP!
            Et pour la partie serveur c’est pas mieux, du 2k3 et du 2k8 y’en a encore à foison! ^^’

          2. Oui j’ai du utiliser du 2K8 2 mois en entreprise en 2015… j’aurai préféré qu’ils soient sur du 2K12 mais trop la flemme de passer à win8 parce le menu les plaisait pas…. même le 8.1… après y a des limites à la bêtise

    1. Je pense que la valeur de la rançon repose plus sur le contenu de l’ordinateur que la machine elle-même. Il fonctionne bien votre ordi?

  2. “Contrairement à la plupart des ramsonwares, cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l’ordinateur et une autre qui chiffre les structures NTFS. Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD.”

    Pour moi ce passage sent le recopiage sans avoir compris parce qu’il ne veut rien dire.

    1. Le fait de démarrer un ordi en utilisant le secteur d’amorçage sur le DD peut être empêché mais il suffit de booter l’ordi sur un live ou mettre le DD sur un autre ordi. ça change que dalle, le disque peut être branché indépendemment de l’OS

      1. Ouais mais il envoie comment ces opérations sur la carte mère?

        Non seulement ça demande une tripatouillée de truc à automatisé mais en plus il faut garder ces instructions dans une mémoire quelquonque entre 2 reboots, ça fait pas mal de “si” il me semble…

        1. Justement, c’est peut être pour ça que ca n’arrive que maintenant x) enfin je sais pas j’ai pas vue comment le pb se présente mais si la carte mère n’est pas touchée alors c’est juste le dd pour les données et éventuellement les disques réseau donc bon avec un bon système de backup c’est bon. Les gens pleurent quand ils perdent leurs donnees mais c’est les premiers à dire qu’ils s’en foutent des backups

          1. Entièrement d’accord avec toi pour les backup. Et un cloud n’est pas une vraie solution de backup…

    2. Ils pourraient changer le splash screen pour mettre leur message, bloquer le BIOS avec une mise à jour hackée etc… mais là c’est pété quand même. Mais ça m’étonnerait pas, vue que Windows donne facilement les droits admin…

      1. meme s’ils font ca, tu flash le BIOS : il y a un jumper sur la motherboard… ou pour les laptop, tu retires la pile assez longtemps

        1. Mais le problème c’est que si le BIOS est déjà màj de manière à plus pouvoir booter… perso je connais pas la procédure pour flasher x) je sais pas s’il faut accéder à l’interface. Par contre oui pour les tours mais pour les laptops je crois qu’il y a pas/plus de pile :/ peut être la batterie oui. Mais je suis pas sûr

          1. j’ai reset un BIOS sur un laptop récent ce weekend, il y a bien une pile 🙂

          2. sur laptop y’a la pile à enlever… quoi que j’ai déjà vu des laptops où le fait d’enlever la pile ne servait à rien…(déjà vu sur des laptops Dell par exemple)
            Sinon pour les CM récentes il y a souvent 2 bios (1 sur lequel on tourne et 1 de backup) et pour les flasher ou basculer de l’un vers l’autre suffit d’un jumper.

            ps: ça serait fort quand même d’arriver à faire des modifs sur des CM différentes de constructeurs différents… pour moi c’est peu probable.

          3. “quoi que j’ai déjà vu des laptops où le fait d’enlever la pile ne servait à rien”.
            Faut etre sur que les condensateurs se vident bien. sur un site, ils conseillaient d’attendre plusieurs jours… ou de remplacer la pile par une pièce de 10 centime d’euros… Bon apres ca reste peut etre pas possible sur certains laptops.

          4. non, en fait il y avait une Rom dédiée pour ça (stock aussi le mdp bios au passage) c’est principalement fait pour bloquer tout changement du bios lorsqu’il y a un mdp admin de paramétré dans le bios; c’est pour contrer les vols, comme ça même si un gars pique le laptop il sera bloqué au niveau du bios. (mais bon il me semble qu’il y a aussi une procédure (avec jumper) pour le faire sauter au cas ou donc bon ça fait juste perdre du temps… ^^’

    3. si je comprends bien la dernière phrase, le ramsonwares va TELLEMENT corrompre le HDD, que tu pourras meme plus jamais booter sur une clef USB bootable Linux sur ta motherboard. il est super fort ce ramsonware !

          1. Clairement on s’en fou de devoir reformater x) avec un peu de jugeote les gens font des sauvegardes souvent. Donc s’ils n’arrivent pas à retrouver des données encryptés sur un disque, au pire tu perds un jour de taf ou 1 semaine. En fait tout le monde devrait avoir un système de sauvegardes chez soi pour ce genre de données si tu fais que jouer sur ton ordi tu t’en fou mais si tu travail il fait un système comme ça en entreprise ou chez toi. Concrètement les gens se baladent avec une épée de damocles quand ils font pas leur sauvegarde. Parce que un choc sur le disque dur, un crash disk ou un virus et bye bye. On le sait depuis longtemps

  3. Il me semble avoir clairement lu hier et ce matin sur différents sites d’actualité que ce ransomware avait été nommé NotPetya par Kaspersky qui est un des premiers à s’être penché dessus…. Je peux me tromper 😮
    De plus, ça aurait été bien d’indiquer quelques entreprises touchées en France comme la SNCF ou Auchan ¯_(ツ)_/¯

  4. Bonjour, j’aimerai plus d’informations sur ce ransomware. Merci a l’auteur de l’article de mettre a jour.

  5. sinon vos doc importants vous les sauvez sur un disque externe… on le dit partout mais peu de monde le fait !

Les commentaires sont fermés.

Mode