Petya, le nouveau ransomware qui chiffre l’ensemble du disque

Le G Data Security Labs a détecté les premiers fichiers ce jeudi 24 mars, en Allemagne (SHA256 26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739 et SHA256 b041d9573ae083a02cf52fcd23648b32ad9a8811bd7ea12ca6af3d91ca14a07a). A la différence des codes actuels, tels que Locky, CryptoWall ou TeslaCrypt, qui chiffrent certains fichiers du système, Petya chiffre donc l’ensemble des disques durs installés.

Des emails sont adressés aux services des ressources humaines, avec une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible.

Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables. Les experts du G DATA SecurityLabs travaillent à l’analyse de ce nouveau type de ransomware.

G Data recommande aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus. Dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails.