Le ransomware Petya s’attaque à vos disques durs

30 Mar 2016

Il semblerait que l’année 2016 soit l’année des ransomwares compte tenu de l’apparition régulière de nouvelles familles et versions, telle une poussée de champignons après la pluie.

Le ransomware est en train de se propager à vitesse grand v. Les nouvelles versions de ransomware utilisent la cryptographie asymétrique avec de grandes clés de façon à ce que les fichiers ne puissent pas être décryptés sans la clé. Les hackers ont commencé par utiliser TOR et des paiements via des bitcoins (monnaie cryptographique) dans le but de rester totalement anonymes. Désormais, il existe le ransomware Petya qui d’une certaine manière crypte immédiatement tout le disque dur au lieu de crypter les fichiers un à un.

petya-ransomware-featured-3

 De quelle façon Petya s’empare de votre PC

Petya est un élément de ransomware découvert par le G Data SecurityLabs. Il vise principalement les utilisateurs professionnels, et est envoyé dans la boite spam des mails, prétendant contenir des emails de candidatures. Voici à quoi ressemble le scénario typique d’une infection :

Un employé des ressources humaines reçoit un email d’une soi-disant personne à la recherche d’un poste dans l’entreprise. L’email contient un lien Dropbox redirigeant vers un fichier prétendant être le curriculum du candidat, alors qu’en réalité il s’agit d’un fichier EXE.

Au lieu d’ouvrir le CV en question en cliquant sur le lien, il tombe sur un écran bleu de la mort. Autrement dit, Petya s’est emparé de l’ordinateur de l’utilisateur et a commencé le sale boulot.

Votre disque dur nous appartient

Un ransomware habituel crypte généralement des fichiers de certains types, tels que des photos, les document Office etc en laissant le système d’exploitation intact de façon à ce que la victime puisse utiliser l’ordinateur pour payer la rançon. Mais Petya s’avère encore plus cruel puisqu’il vise à bloquer l’accès à tout le disque dur

En clair, peu importe la manière dont est installé votre disque dur, s’il est composé d’une seule partition ou plus, il y aura toujours des espaces disques invisibles à l’œil nu, appelés Master Boot Record (MBR). Il contient toutes les données concernant le nombre et l’organisation des partitions, et peut également contenir un code spécial utilisé pour effectuer la procédure de démarrage du système d’exploitation, on appelle ça l’amorce.

Cette amorce s’exécute toujours AVANT le système d’exploitation. Et c’est justement ce que Petya infecte : il modifie l’amorce de façon à ce que se télécharge le code malveillant de Petya au lieu de n’importe quel autre système d’exploitation sur le PC.

Pour l’utilisateur, c’est comme si Check Disk était en train de s´exécuter, ce qui est à peu près similaire après une panne du système d’exploitation. En réalité, ce que fait Petya à ce moment précis, est de crypter la Master File Table. Il s’agit encore ici de la face cachée de votre propre disque dur contenant toutes les informations sur la façon dont sont répartis les fichiers et les dossiers.

Imaginez que votre disque dur soit une vaste bibliothèque qui contienne des millions voire des milliards d’éléments et que la Master File Table soit un catalogue de bibliothèque. Cette explication étant considérablement simplifiée, essayons de la rendre plus réaliste : sur votre disque dur « les livres » sont rarement stockés comme des éléments individuels, mais plutôt comme de simples pages ou même des bouts de papier. Telle une pile. Le tout, dans un ordre aléatoire.

A présent, vous devez sans doute vous faire une idée globale de la difficulté de trouver un seul « livre » si quelqu’un était amené à voler le catalogue de la bibliothèque. Il en est de même pour le ransomware Petya qui fonctionne exactement de cette façon.

Une fois terminé, Petya dévoile son vrai visage qui ressemble à une tête de mort faite de symboles ASCII (Code américain normalisé pour l’échange d’information). La routine habituelle peut ensuite commencer : le malware demande à la victime de payer une rançon (0,9 bitcoins, l’équivalent de 380$) s’il veut récupérer ses fichiers et déchiffrer le disque dur.

Combattre Petya

Malheureusement, et comme c’est le cas pour d’autres types de ransomware, les chercheurs n’ont pas encore trouvé la manière de déchiffrer les informations cryptées par Petya. Il existe cependant des solutions efficaces que vous pouvez envisager pour votre propre protection et celle de vos données concernant la propagation de Petya.

La bonne nouvelle est que Dropbox a réussi à éliminer les fichiers malveillants de Petya de son cloud storage ce qui contraint les hackers à trouver d’autres alternatives de le propager. La mauvaise nouvelle est qu’ils ne tarderont sans doute pas à découvrir une nouvelle ruse.

Parlons de solution. Que peut-on envisager ?

1. Lorsque l’utilisateur découvre l’écran bleu de la mort, toutes ses données ne sont pas encore piratées du fait que Petya n’a pas entamé son processus de cryptage de la Master File Table. Si vous remarquez que votre ordinateur est victime de l’écran bleu de la mort, réinitialisez-le et démarrez-le Check Disk, en l’éteignant immédiatement. A ce stade, vous pouvez encore retirer votre disque dur, le connecter à un autre ordinateur (attention de ne pas l’utiliser comme un dispositif de démarrage !) et récupérer vos fichiers.

2. Petya crypte uniquement la Master File Table en laissant les fichiers intacts. Ces derniers peuvent toujours être récupérés par des spécialistes dans la récupération des données du disque dur. Cette procédure peut s’avérer complexe, longue à réaliser et couteuse, mais tout de même réalisable. N’essayez pas en revanche de vous y prendre tout seul à la maison, une erreur pourrait engendrer la perte de vos fichiers.

3. La meilleure des solutions reste celle de se protéger de manière proactive en utilisant une solution de sécurité efficace. Kaspersky Internet Security empêche la réception des emails spam, vous évitant ainsi d’être redirigé vers le lien du ransomware Petya. Même si Petya arrive à se faufiler de n’importe quelque façon que ce soit, il sera détecté comme étant unTrojan-Ransom.Win32.Petr et dont Kaspersky Internet Security bloquera toute activité, de même que toutes nos autres solutions anti-virus.