Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Petya – Un nouveau ransomware qui verrouille totalement votre ordinateur

Vous pensiez que Locky était méchant ?

Et bien c’est parce que vous ne connaissez pas encore Petya. Ce ransomware tout frais démoulé ne se contente pas de chiffrer vos petits fichiers pour les prendre en otage…

Non, non… Il chiffre la MFT (Master File Table – Table de fichiers principale) et remplace la MBR (Master Boot Record – Zone d’amorce) par son propre programme qui réclame alors de l’argent pour obtenir la clé de déchiffrement.

Pour se répandre, Petya utilise ce qu’on appelle des campagnes de spear-phishing, avec une série d’emails en allemand semblant provenir d’un chercheur d’emploi qui envoie son CV à télécharger via un lien Dropbox.

csm_Petya-Email-Bewerbung_2_404e3ba086

Capture d'écran 2016-03-29 15.52.04

Si le destinataire est endormi, il va alors cliquer sur le lien, télécharger l’exécutable et le lancer. À ce moment-là, Petya écrasera la MBR, ce qui provoquera un écran bleu (ou autre couleur) de la mort et l’ordinateur redémarrera. Ensuite, c’est un faux checkdisk qui se lancera, faisant croire à une réparation du disque. En vérité, en arrière-plan, c’est la MFT (et tous les fichiers présents sur votre disque dur ? Ça reste à confirmer…) qui est alors chiffré.

Petya ransomware

Dès que le processus de chiffrement est terminé, un écran rouge avec une tête-de-mort apparaitra alors, réclamant 0,99 Bitcoin soit environ 366 € pour obtenir la clé de déchiffrement. Impossible de retourner sous Windows ou de le réparer.

csm_petya_98d3b027ca

Petya-RansomNote

csm_Petya-RansomSite_8ebf23a247

En gros, une fois que Petya a fait son chemin sur votre ordinateur, la seule solution qui s’offre à vous est de réparer la MBR et réinstaller Windows. Ou de payer la rançon, mais ce n’est pas quelque chose que je vous conseille, car l’issue reste incertaine, la somme est élevée et ça encourage les criminels à continuer. Bon normalement, Dropbox est informé et fait ce qu’il faut pour supprimer les copies de Petya, mais il y a fort à parier que l’exécutable sera rapidement hébergé ailleurs.

Edit : Si ce tweet n’est pas un gros poisson d’avril, il semblerait que Petya encode la MFT simplement avec un XOR dont la valeur serait 7. Tout espoir n’est donc pas perdu.

Pour se prémunir de Petya, je vous invite à relire mon article sur Locky, mais en gros, pour faire court, c’est :

  • 1/ Soyez vigilant sur ce que vous exécutez sur votre machine
  • 2/ Faites des sauvegardes quotidiennes

Bonne chance et faites tourner. La prévention par l’information est la meilleure des protections (et ça rime, nom d’un ganglion !).

Ah et en bonus, voici une vidéo qui montre Petya à l’oeuvre…

Source


Sélection Logitech – Jusqu’à -55% du 16 au 22 septembre.

Souris, claviers ou encore webcams

Du 16 septembre au 22 septembre, Logitech équipe tous ceux qui veulent booster leurs rentrées avec du bon et nouveau matos

Tous les best sellers de la marque Suisse sont au rendez-vous, quelque soit la catégorie, bureautique, work ou gaming.
Retrover les casque Logitech G, les claviers Keys To Go ou MX keys ou encore les souris verticales MX Masters en promos.

En Savoir +



Réponses notables

  1. tof says:

    Hello TLM
    Je pense malgré tout que locky reste le + méchant, de part son infection via les lecteurs réseaux sur les serveurs d’entreprise. là ca touche juste 1 poste et à priori ca ne va pas + loin.
    biz !

  2. “Si le destinataire est endormi” -> jerry :grin:
    Pas mieux. J’irais presque jusqu’à dire que les types qui se font avoir l’ont mérité, si j’étais méchant.

    Heureusement, de nos jours, tout est sur le nuâââge, donc avec un peu de chance la perte de données est minime. On en reste quitte pour une bonne vieille réinstallation.

    (J’dis ça, mais si ça m’arrivait là, maintenant, j’en mènerais pas large)

  3. seb says:

    Comment ça se passe pour un système multi-disques? Parce que ça semble n’attaquer que le C:, ça limite déjà les pertes.

  4. J’imagine qu’il y a des plateformes dans des pays lointains qui permettent de récupérer ça en anonyme. Ou des boutiques où il est possible de récupérer la thune en liquide.
    Sinon, faut des comptes de mules qui encaissent les BTC pour le compte de l’escroc (qui récupère l’argent sous une autre forme ensuite.)

  5. Rokin says:

    En entreprise j’imagine déjà, par exemple, la secrétaire ouvrir consciemment la PJ.
    “Chef, je rentre plus tôt chez moi, mon ordi marche plus, je peu plus travailler” :slight_smile:

    quoi ya que moi qui y à pensé :o

Continuer la discussion sur Korben Communauté

6 commentaires supplémentaires dans les réponses

Participants