Petya, le nouveau ransomware qui crypte votre disque dur

Habituellement, les ransomwares ne cryptent qu’une partie des données des victimes, souvent les fichiers personnels, ce qui laisse l’ordinateur utilisable dans le but de faciliter le paiement de la rançon. Ce n’est pas l’approche que possède Petya. Ce ransomware est pire que les autres en cryptant tout le disque dur.

Plus concrètement, lorsqu’il s’installe, Petya fait croire qu’il procède à un contrôle du disque dur au travers d’une commande CHKDSK. Ce n’est en fait pas une véritable commande CHKDSK qui est lancée, mais le cryptage du master boot record (MBR), la table des fichiers maîtres.

Comme l’a documenté Lawrence Abrams, Petya cible pour le moment des entreprises possédant un département des ressources humaines. Il arrive dans un mail, en tant que lien vers un fichier stocké sur Dropbox pour accéder à une application pour le recrutement. En fait, cliquer sur ce lien lance l’installation du malware. A priori, il est pour le moment signalé essentiellement en Allemagne, et pas pour le grand public.

En cliquant sur le lien, une alerte Windows apparait. Si l’utilisateur décide de passer outre, Petya s’installe dans le master boot record (MBR) de la victime. Le message « Un de vos disques contienne des erreurs et doit être réparé » s’affiche alors avant que l’ordinateur reboot automatiquement et lance une fausse commande CHKDSK qui crypte le disque dur. C’est alors qu’un message de tête de mort s’affiche pour annoncer que « Vous êtes devenu victime de la PETYA RANSOMWARE! ». Des instructions sont alors affichées pour expliquer comment payer la rançon (0,9 Bitcoins) par l’intermédiaire d’un service caché de Tor pour obtenir une clé de restauration pour récupérer le disque dur.

Alors que certains sites prétendent que lancer une réparation du MBR permet d’éliminer Petya, Lawrence Abrams prévient que cela va seulement supprimer l’écran montrant la serrure. « Cela ne déchiffrera pas votre MFT et vos données seront toujours inaccessibles », explique-t-il. « Il faut réparer le MBR seulement si vous ne vous soucier pas de perte toutes vos données et souhaitez réinstaller Windows ».

Fabian Scherschel, de Heise Security, écrit de son côté que Petya ne procède qu’à un simple cryptage XOR dans un premier temps. À ce stade, les données peuvent être facilement récupérées par démarrage sur un autre disque. Sur les systèmes UEFI infectés par Petya, le malware n’endommage pas les données, seulement les informations de démarrage précise-t-il encore.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentChampionnat d’un nouveau genre avec la Robocar
Article suivantLa Terre grillée par une super éruption solaire, un scénario possible

Véritable touche à tout qui traine déjà derrière lui un long parcours professionnels dans le monde de la technologie, j’ai un jour décidé de me réorienter vers le journalisme par goût pour l’information et l’actualité. De fil en aiguille, j’ai été amené à écrire pour linformatique.org. Que cela soit la miniaturisation, les innovations ou l’amélioration des performances, ce qui concerne le progrès m’intéresse. Comprendre les choses, comme la création de l’univers, ce qui s’est passé au néolithique, ce qui compose une comète ou l’impact du génome sur une maladie sont très motivant pour moi en raison de l’impact de ces découvertes sur notre passé, notre présent et notre futur.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here