Pour gérer vos consentements :

De Locky à Petya : un ransomware peut en cacher un autre

Symantec en avait cerné la montée en puissance dans l’édition 2015 de son rapport Security Threat ; BitDefender, comme AVG et Fortinet, y entrevoyait l’une des tendances de la cybersécurité en 2016 : la menace rançongiciel se fait plus tangible.

En France, la vigilance s’est véritablement accrue avec Locky, objet d’une campagne de diffusion massive qui a visé plusieurs organisations, dont l’AFP à au moins deux reprises. La rédaction de Silicon.fr (groupe NetMediaEurope, éditeur d’ITespresso.fr) a également été prise pour cible.

Ces derniers mois, on a également vu émerger le premier « vrai » ransomware pour les systèmes Mac OS X (KeRanger). Et le phénomène s’est décliné sur mobile (Zitmo, Lockerpin, Fakedefender…), forçant certaines victimes – au rang desquelles un hôpital californien – à verser une rançon pour restaurer rapidement l’accès à leurs fichiers.

Exploité sur plus de 90 % des ordinateurs dans le monde (sources Net Applications et StatCounter), l’environnement Windows n’est pas épargné. Les cybercriminels rivalisent d’ingéniosité pour l’investir sans éveiller les soupçons, tout en contournant les solutions antivirus.

Illustration avec Petya, qui vise essentiellement les entreprises allemandes.

Surprise sur prise

Principal canal de propagation : la messagerie électronique, avec un e-mail semblant émaner d’une personne en recherche d’emploi.

Les documents associés sont dits « trop gros » pour être mis en pièce jointe. L’expéditeur, apparemment légitime, les a donc placés dans un partage Dropbox.

Parmi ces fichiers figurent un exécutable 32 bits autoextractible (.exe) représenté par l’icône du programme de décompression WinRAR. C’est lui qui contient la charge utile nécessaire à l’implantation de Petya.

L’ouverture déclenche le redémarrage de la machine (via la commande ExitWindowsEx ou NtRaiseHardError). Auparavant, du code a été écrit sur les secteurs d’amorçage du disque, grâce à une élévation de privilèges.

Petya simule alors l’exécution de l’outil chkdsk, qui se lance habituellement sur les PC Windows lorsque des erreurs ont été détectées sur le disque.

Dans le cas présent, l’opération ne consiste pas à vérifier le volume, mais à chiffrer la table de fichiers… voire plus.

Fortunes diverses

Les versions divergent sur les forums du média allemand Heise. Ainsi un utilisateur a-t-il pu procéder à une réparation via un simple CD de Windows 7, quand un autre a constaté que tout son disque était chiffré (en RSA 4096 bits et AES-256) et qu’il n’était même plus reconnu comme un volume NTFS.

Dans tous les cas, il est demandé à la victime de verser 0,9 bitcoin (environ 340 euros au cours actuel) en échange de la clé qui lui permettra de récupérer ses fichiers. La transaction ne peut se faire que via le darkweb ; plusieurs liens sont fournis à cet effet, avec des consignes pour télécharger le navigateur Web du projet Tor.

La première soumission d’une souche de Petya sur VirusTotal remonte au 23 mars 2016. Selon les définitions du 29 mars 2016, plusieurs antivirus de renom ne détectent toujours pas le malware. Notamment ceux de Microsoft, Avast et DrWeb.

Pour une analyse détaillée du programme d’encodage et des secteurs infectés (routine de déchiffrement, de vérification du mot de passe, etc.), on se référera au forum Kernel Mode, où se trouvent par ailleurs des « échantillons » de Petya.

Crédit photo : Africa Studio – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago