Mischa : un ami du ransomware Petya, un ennemi pour le reste du monde

18 Mai 2016

Petya et Mischa sont amis. Ils font presque tout ensemble…

Attendez, il ne s’agit pas du livre « Le russe pour les nuls », mais bien du blog de Kaspersky Daily. En résumé, Petya et Mischa sont tous les deux des ransomwares, qui s’en prennent ensemble aux utilisateurs.

mischa-ransomware-featured

 

Si vous êtes un adepte régulier de notre blog, ou si vous êtes à l’affut des dernières actualités en matière de cybersécurité, vous connaissez sans doute Petya. Nous avions déjà consacré deux articles à son sujet, puisque quelques semaines après son apparition, un utilisateur de Twitter nommé @leo_and_stone avait trouvé une solution de déchiffrement de Petya

Petya s’est démarqué de la multitude de ransomwares. En effet, il ne chiffrait pas seulement certains types de fichiers, mais plutôt tout le disque dur de l’ordinateur qui devenait illisible lorsque le malware chiffrait sa Master File Table. Par conséquent, n’importe quel utilisateur victime de Petya avait besoin d’un autre ordinateur juste pour payer la rançon. Eh bien, après que leo_and_stone a créé son outil de déchiffrement, les victimes de Petya avaient toujours besoin d’un autre ordinateur, mais cette fois pour déchiffrer leurs fichiers sans en payer la rançon.

À la rencontre de Mischa

Petya avait une faiblesse. Pour effectuer son sale boulot, ce dernier requérait des privilèges d’accès  root. A moins qu’un utilisateur n’autorise l’accès à ces privilèges en appuyant sur le bouton « Oui », Petya ne pouvait pas porter atteinte à l’ordinateur de l’utilisateur. Par conséquent, les créateurs de Petya ont remédié au problème en regroupant Petya avec un autre ransomware, au nom à connotation russe, Mischa.

Il existe deux différences majeures entre Petya et Mischa. Petya vous prive de tout votre disque dur, tandis que Mischa chiffre uniquement certains types de fichiers. C’est sans doute une bonne nouvelle. La mauvaise nouvelle est qu’à la différence de Petya, Mischa ne requière pas de privilèges d’accès de l’administrateur. Il semblerait que les créateurs aient pensé que Petya et Mischa feraient très bien la paire.

Mischa ressemble plus à un ransomware normal qui apparaît telle une fenêtre pop-up de temps à autre. Il utilise le chiffrement AES dans le but de chiffrer les fichiers de votre ordinateur. Comme l’indique le blog Bleeping Computer, il ajoute une extension de quatre caractères sur les fichiers chiffrés, de manière à ce que par exemple, test.txt devienne test.txt.7GP3.

La liste des types de fichiers que Mischa préfère pour son sinistre diner est plutôt grande, elle inclut même des fichiers .exe, ce qui signifie que Mischa empêche les utilisateurs de pouvoir utiliser presque tous les programmes. Lors du chiffrement cependant, Mischa évite le répertoire de Windows et les dossiers des navigateurs installés. Après avoir effectué son sale boulot, il crée deux fichiers avec des instructions de paiement à suivre par l’utilisateur : YOUR_FILES_ARE_ENCRYPTED.HTML and YOUR_FILES_ARE_ENCRYPTED.TXT.

Petya et Mischa sont envoyés via des e-mails d’hameçonnage faisant croire qu’il s’agit de candidatures pour un emploi. Lors de la découverte du malware Mischa, celui-ci provenait d’un fichier appelé PDFBewerbungsmappe.exe (ce qui veut dire en allemand  » documents PDF de candidatures « ). L’utilisation de la langue allemande dans le nom du fichier et la façon dont il a été envoyé en dit long sur sa principale cible : les entreprises allemandes.

Lorsqu’un utilisateur essaye d’ouvrir le fichier .exe contenant à la fois Mischa et Petya, une fenêtre « Contrôle de compte utilisateur » apparaît en pop-up, en demandant à l’utilisateur s’il est prêt à donner ses privilèges d’accès administrateur au programme. Il s’agit d’un moment désagréable dans tous les cas. Si l’utilisateur répond « Oui », Petya est installé et si « non », il installe Mischa.

Mischa semble encore plus avide que Petya : il demande près de 193 bitcoins de rançon, ce qui équivaut environ à 875$, contre 0,9 bitcoins pour Petya.

Fait amusant (si on peut appeler ça « amusant » pour un ransomware) : Petya est un nom russe, même si Mischa semble aussi l’être, en réalité il ne l’est pas. Un russe utiliserait Misha, sans le « c » au milieu, ça lui paraît plutôt étrange avec le « c » !

Malheureusement, aucun outil de déchiffrement de Mischa n’est actuellement disponible. Il en existe un pour Petya mais il nécessite toutefois un autre ordinateur et certaines connaissances en la matière.

En résumé, si vous ne voulez pas vous retrouver victime de Petya ou Mischa, ou même de Vasya, SuperCrypt, El Rapto, etc, nous vous recommandons de suivre les instructions suivantes :

  1. Faites des copies de sauvegardes. Fréquemment et de façon assidue.
  1. Ne faites confiance à personne et faites preuve de jugeote. Une candidature pour un emploi qui contient une extension .exe, ça parait louche. Ne l’ouvrez pas ! Mieux vaut prévenir que guérir !
  2. Installez une solution de sécurité efficace. Kaspersky Internet Security dispose de nombreux niveaux de protection et il ne laissera pas Mischa et les autres ransomwares s’infiltrer.

Kaspersky Internet Security contient un composant anti-spam qui vous protège des spams et des e-mails d’hameçonnage. Il possède un antivirus qui détecte Mischa et Petya, les chevaux de Troie tels que Trojan-Ransom.Win32.Mikhail et Trojan-Ransom.Win32.Petr et se débarrasse d’eux. Il est également doté d’une fonction System Watcher qui détecte une activité anormale (par exemple, des tentatives de chiffrer des fichiers multiples) et la bloque. Kaspersky Total Security dispose de toutes ces fonctionnalités, en plus d’un outil de copies de sauvegarde automatiques.