Petya: décryptage d’un ransomware qui n’a pas fini de faire parler de lui

Quelques semaines après l’attaque informatique mondiale WannaCry qui a fait des dégâts sur plus de 300 000 ordinateurs, un nouveau virus de type ransomware infecte les PC du monde entier. Il s’est propagé dès mardi 27 juin 2017. Il s’intitule Petya mais connait de nombreux autres noms comme NotPetya, Expetr, Petrwrap… Ce virus est une variante du ransomware déjà apparu en 2016. Décryptage d’un virus qui n’a pas fini de faire parler de lui.

Ce que fait le virus

Une fois implanté sur les machines de type Windows, Petya modifie le MBR (Master Boot Record) forçant ainsi le redémarrage du PC sur le malware. Le virus lance ensuite une procédure d’encryptage de la table de partition MFT. Cette table permet au système de fichier NTFS de savoir où sont stockés les fichiers du disque. Ensuite, Petya chiffre les documents de la partition. Une soixantaine de types de fichiers sont visés, dont les fichiers Word, Excel, Powerpoint. Le PC est rendu totalement inactif. Un écran propose de décrypter les fichiers de l’ordinateur pour la modique somme de 300 $ à verser en Bitcoins. Les institutions et l’ensemble de la communauté cyber recommandent aux victimes de ne pas payer la rançon. Dans ce sens, l’opérateur Internet Posteo a fermé l’adresse permettant le transfert d’argent sur le compte utilisé par le ou les rançonneurs. Les attaquants ont récupéré seulement 9 800 $, payés par 48 victimes.

La propagation du virus

Petya utilise les failles des OS Windows XP, Windows 7 et Windows 10 pour les PC et les serveurs. Il se propage en utilisant plusieurs méthodes.

Il exploite notamment la même faille que WannaCry sur le partage de fichier Microsoft « SMB » dévoilée via la mise à jour ElternaBlue et EternalRomance de la NSA. Microsoft a depuis corrigé cette faille. Le bulletin est disponible ICI.

Le virus contient une version adaptée de l’outil Mimikatz qui est en mesure de récupérer des éléments d’authentification en mémoire et de les exploiter dans le but de s’exécuter sur d’autres cibles. Il suffit que le virus s’installe sur un poste aux droits d’administrations élevés et le virus est garantie de se déployer sur le réseau local en quelques minutes.

Information confirmée par l’auteur de l’outil Mimikatz :

Enfin, Petya intègre également PsExec de Microsoft qui permet d’exécuter des processus sur d’autres systèmes.

En utilisant plusieurs manière de se propager, Petya s’assure de gagner du terrain le plus rapidement possible ! Et nous savons que pour ce genre d’attaque, la vitesse de propagation est essentielle à sa réussite.

Infecté ou pas infecté – Quelques recommandations

La faille vise essentiellement les entreprises et administrations. Le CERT-FR a publié un certain nombre de recommandations ainsi qu’une mise à jour des marqueurs techniques, qu’il convient d’appliquer : ICI.

Celle-ci prévoit essentiellement l’installation des mises à jour de sécurité.

A noter, si le compte à rebours de cryptage est en cours sur la machine, il ne faut pas se fier au message et déconnecter l’équipement sans forcément l’éteindre. De cette manière, le cryptage ne peut s’achever. En effet, le virus a besoin de temps pour chiffrer les données et simule un CHKDSK du disque (utilitaire qui analyse l’état d’intégrité du disque dur).

Un « vaccin » trouvé pour éviter d’être victime

Un chercheur Israélien, Amit Serper a trouvé comment être plus malin que le virus lui-même simplement en créant un fichier sur le disque dur avec des droits en lecture seul. Cette astuce ne permet pas de réparer mais de faire croire à Petya que l’ordinateur est déjà infecté afin que celui-ci abandonne l’attaque. Plus d’information ICI.

Un virus qui se joue des frontières

Selon Microsoft et Kaspersky, le virus se serait initialement propagé via la dernière mise à jour du programme de compatibilité M.E.Doc (à ce jour, l’éditeur se défend de ces accusations). Les premières manifestations du virus ont été signalées en Ukraine, notamment à Boryspil, l’aéroport de Kiev. Des banques, des entreprises privées et publiques ukrainiennes ont également fait les frais de ce virus. Les ordinateurs de Tchernobyl ont pris l’attaque de plein fouet bloquant le système de surveillance de radioactivité du site.

Puis, c’est dans le monde entier que le ransomware s’est installé : la société de fret maritime, première entreprise danoise Maersk a annoncé sur Twitter que ses systèmes internes étaient atteints. Saint-Gobain précise qu’il est également touché et prend les mesures adéquates. Le Figaro précise que la SNCF, Mars, Nivea, la compagnie d’électricité Ukrenergo, le publiciste anglais WPP, le transporteur FedEx et le groupe pharmaceutique americain Merck ont également été victime du virus.

Certains annoncent que le virus se propage dans le monde entier via des mails piégés. Le fait est que Petya est toujours en action et devrait malheureusement faire encore des dégâts.

Petya un wiper et pas un ransomware

La controverse est toujours d’actualité dans ce genre d’attaques. Selon certains spécialistes, Petya ne serait pas un ransomware mais un wiper (effaceur). Rappelons que le but du ransomware est de gagner de l’argent, pour cela les données de l’ordinateur sont chiffrées et l’attaquant impose aux victimes le paiement d’une rançon pour rétablir l’accès aux données. Le Wiper a un objectif bien différent : détruire les données des PC vérolés sans possibilité de pouvoir les récupérer. Pour compléter, un article de Business Insider, pointe du doigt la Russie qui serait à l’origine de l’attaque. La relation politique difficile avec l’Ukraine en serait la raison évidente.

Source : http://www.businessinsider.fr/us/petya-cyber-attack-who-is-responsible-russia-europe-ukraine-2017-6/

Voir Petya en action… mais de loin !

Enfin, pour les plus curieux et ceux qui veulent voir Petya de plus près sans perdre leurs données, un internaute a mis en ligne la vidéo d’un PC tombé sous le joug du virus.

0 réponses

Répondre

Want to join the discussion?
Feel free to contribute!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *