Technologie

Petya : un nouveau ransomware qui chiffre l’ensemble du disque dur

Par

le

Un nouveau ransomware, Petya, a été découvert. Celui-ci adopte une approche différente et nettement plus agressive pour bloquer l’ensemble du disque dur.

Les ransomware sont déjà assez contraignants dans leur forme actuelle, mais un nouveau type du malware récemment découvert pourrait être pire que ce que nous avons vu auparavant. Le logiciel malveillant, appelé Petya, ne se contente pas de cibler des fichiers individuels, il crypte l’ensemble du disque dur.

Alors que la majorité des ransomware se propagent par des pièces jointes d’e-mails ou sont hébergés sur des sites utilisant des Exploit Kits, Petya a été découvert dans de faux e-mails contenant des liens pointant vers un espace de stockage Dropbox.

Selon un billet de blog de Trend Micro, l’email envoyé prend la forme d’une fausse candidature pour un emploi. Un des liens menant au faux CV contient en fait un fichier exécutable (.exe) auto-extractable. Ce lien télécharge un cheval de Troie qui déjoue tous les programmes antivirus avant de télécharger et d’exécuter Petya.

Une fois exécuté, Petya va faire planter l’ordinateur et afficher un écran bleu (Blue Screen of Death) avant d’entamer un redémarrage. Lorsque l’ordinateur est redémarré, le PC donne l’impression qu’il effectue une vérification de disque (CheckDisk), mais, pendant ce temps, Petya entame le chiffrement des données, ce qui rend le PC inutilisable.

À ce stade, les victimes voient apparaitre un écran de verrouillage et des instructions pour se connecter au réseau TOR, accéder à un site Web spécifique et payer la rançon qui est de 0,99 bitcoins, soit environ 430 dollars. Si la rançon n’est pas payée dans les sept jours, le prix double.

Les pirates, qui se font appelés les « Janus Cybercrime Solutions » avertissent que tenter de réparer le MBR (Master Boot record) ne permet pas de décrypter le ransomware et peut au contraire rendre inactive la clé de déchiffrement achetée.

Jusqu’à présent, les e-mails contenant des liens Petya ont visé principalement des entreprises en Allemagne, mais ils pourraient commencer à attaquer d’autres pays. Les chercheurs en sécurité étudient encore cette nouvelle forme de ransomware, mais à ce jour, aucune solution n’est disponible.

Articles recommandés