Petya : nouveau et vicieux ransomware en circulation

À peine sorti de Locky, voilà que Petya débarque. Un nouveau type de ransomware fait parler de lui, et ses méthodes montrent une évolution de ces malwares connus pour chiffrer les fichiers présents sur le disque et demander une rançon à l’utilisateur qui souhaiterait les débloquer. Locky a fait souffrir de nombreuses victimes, et continue encore aujourd’hui d’évoluer pour déjouer les contre-mesures proposées par certaines entreprises de cybersécurité.
Petya adopte une approche différente et nettement plus agressive. Ce ransomware ne se contente pas de s’attaquer aux fichiers de la cible, mais s’attaque directement au Master boot Record, la partition de démarrage qui permet à l’ordinateur d’initier le lancement de son système d’exploitation
Les opérateurs de Petya ont recours à une classique campagne de phishing pour infecter les machines cibles. Celui-ci se fait passer pour un mail légitime et redirige l’utilisateur vers un lien Dropbox qui contient l’exécutable du virus. Une fois celui-ci lancé par l’utilisateur, la machine reboot et le ransomware commence à agir en affichant un faux écran de vérification du disque. Celui ci réécrit le Master boot Record afin d’afficher un message indiquant la marche à suivre tout en empêchant de charger. C’est à ce moment que le malware chiffre les données contenues sur la machine à l’aide d’un algorithme AES 256 et de clef RSA 4096 bits. Petya en profite pour chiffrer l’accès au MFT, Master File Table ou table de fichier principale, qui indexe l’ensemble des fichiers présents sur le disque sur les systèmes Windows. L’utilisateur voit ensuite s’afficher un message l’informant de l’infection et lui expliquant la marche à suivre pour récupérer ses données et son système d’exploitation.
Il est notamment redirigé vers un site très complet qui lui expliquera en plusieurs étapes comment payer la rançon, généralement 0.9 bitcoin (environ 350 euros) qui devra être versé via Tor. Pour l’instant, aucun service ne permet de déchiffrer les données prises en otage par Petya. Certains sites conseillent de réinstaller purement et simplement l’OS, mais cette selon plusieurs utilisateurs, cette solution ne permet pas la récupération de la table de fichier principale et donc des fichiers présents sur le disque. Seule parade : des sauvegardes régulières et un peu de réflexion avant d’exécuter un exécutable provenant de sources inconnues – Par La rédacon de ZDNet.fr