De Locky à Petya : un ransomware peut en cacher un autre
Des chercheurs en sécurité informatique attirent l’attention sur Petya, un ransomware particulier aussi bien dans son fonctionnement que sa propagation.
Symantec en avait cerné la montée en puissance dans l’édition 2015 de son rapport Security Threat ; BitDefender, comme AVG et Fortinet, y entrevoyait l’une des tendances de la cybersécurité en 2016 : la menace rançongiciel se fait plus tangible.
En France, la vigilance s’est véritablement accrue avec Locky, objet d’une campagne de diffusion massive qui a visé plusieurs organisations, dont l’AFP à au moins deux reprises. La rédaction de Silicon.fr (groupe NetMediaEurope, éditeur d’ITespresso.fr) a également été prise pour cible.
Ces derniers mois, on a également vu émerger le premier « vrai » ransomware pour les systèmes Mac OS X (KeRanger). Et le phénomène s’est décliné sur mobile (Zitmo, Lockerpin, Fakedefender…), forçant certaines victimes – au rang desquelles un hôpital californien – à verser une rançon pour restaurer rapidement l’accès à leurs fichiers.
Exploité sur plus de 90 % des ordinateurs dans le monde (sources Net Applications et StatCounter), l’environnement Windows n’est pas épargné. Les cybercriminels rivalisent d’ingéniosité pour l’investir sans éveiller les soupçons, tout en contournant les solutions antivirus.
Illustration avec Petya, qui vise essentiellement les entreprises allemandes.
Surprise sur prise
Principal canal de propagation : la messagerie électronique, avec un e-mail semblant émaner d’une personne en recherche d’emploi.
Les documents associés sont dits « trop gros » pour être mis en pièce jointe. L’expéditeur, apparemment légitime, les a donc placés dans un partage Dropbox.
Parmi ces fichiers figurent un exécutable 32 bits autoextractible (.exe) représenté par l’icône du programme de décompression WinRAR. C’est lui qui contient la charge utile nécessaire à l’implantation de Petya.
L’ouverture déclenche le redémarrage de la machine (via la commande ExitWindowsEx ou NtRaiseHardError). Auparavant, du code a été écrit sur les secteurs d’amorçage du disque, grâce à une élévation de privilèges.
Petya simule alors l’exécution de l’outil chkdsk, qui se lance habituellement sur les PC Windows lorsque des erreurs ont été détectées sur le disque.
Dans le cas présent, l’opération ne consiste pas à vérifier le volume, mais à chiffrer la table de fichiers… voire plus.
Fortunes diverses
Les versions divergent sur les forums du média allemand Heise. Ainsi un utilisateur a-t-il pu procéder à une réparation via un simple CD de Windows 7, quand un autre a constaté que tout son disque était chiffré (en RSA 4096 bits et AES-256) et qu’il n’était même plus reconnu comme un volume NTFS.
Dans tous les cas, il est demandé à la victime de verser 0,9 bitcoin (environ 340 euros au cours actuel) en échange de la clé qui lui permettra de récupérer ses fichiers. La transaction ne peut se faire que via le darkweb ; plusieurs liens sont fournis à cet effet, avec des consignes pour télécharger le navigateur Web du projet Tor.
La première soumission d’une souche de Petya sur VirusTotal remonte au 23 mars 2016. Selon les définitions du 29 mars 2016, plusieurs antivirus de renom ne détectent toujours pas le malware. Notamment ceux de Microsoft, Avast et DrWeb.
Pour une analyse détaillée du programme d’encodage et des secteurs infectés (routine de déchiffrement, de vérification du mot de passe, etc.), on se référera au forum Kernel Mode, où se trouvent par ailleurs des « échantillons » de Petya.
Crédit photo : Africa Studio – Shutterstock.com