[Sécurité] Ransomware Petya

Hier, il était question de Locky, aujourd’hui on apprend l’apparition d’un nouveau ransomware, Petya. Celui-ci est un peu particulier parce qu’il va se loger dans le MBR, c’est-à-dire le Master Boot Record, là où se trouve la routine qui permet de charger le système d’exploitation. Il va également chiffrer la MFT (Master File Table) (voir sur Threat Post). Cette table contient toutes les informations sur les fichiers stockés sur les partitions.

La table des partitions semble altérée également. Une analyste de Malwarebytes (Hasherezade), également développeuse freelance, s’est penchée sur la question. D’après ce qu’elle nous dit, la table serait chiffrée à l’aide de XOR et le caractère ASCII « 7 ». On avance, du moins on l’espère.

De nouveau il se répand par courrier électronique. On appelle ça le Spear phishing dans ce cas précis. Les messages sont ciblés car l’attaquant prend le temps de rassembler des informations relativement confidentielles (par exemple depuis les réseaux sociaux). Jusqu’à présent on a recensé des attaques avec des mails rédigés en allemand. Ceux-ci contiennent un lien pour télécharger un soi-disant CV via Dropbox.

Et en plus, c’est un exécutable qui va agir directement… Une fois lancé, celui-ci force le redémarrage de Windows et affiche un écran indiquant que votre disque est en cours de vérification. Comprenez par là que ce n’est pas le cas… Les secteurs ne sont en aucun cas réparé.

Le malware choisit simplement de s’installer durant cette prétendue procédure d’analyse du disque dur. La suite est bien moins drôle puisque vous aurez droit à un très bel écran représentant une tête de mort. Ce message est alors affiché : « Press any key« . Appuyez sur une touche pour découvrir ce qui vous attend.

Petya indique alors avoir chiffré les fichiers. Il semblerait qu’il soit tout de même possible de récupérer ceux-ci en parcourant le disque depuis un autre OS… A vérifier ! La somme réclamée par le malware est de 0,99 Bitcoin d’après Korben, soit plus ou moins 366 €. Comme d’habitude il est fortement déconseillé de payer car il n’est pas certain de recevoir la clé après le paiement.

Si on ouvre le site web depuis un navigateur internet, on tombe sur cette page :

Désinfection

Pour se débarrasser du malware, il faudra réparer le MBR et réinstaller/réparer le système d’exploitation. Il y a un guide à consulter sur le site de Mobile Security. Ce dernier détaille la marche à suivre. En résumé 3 commandes sont à exécuter depuis l’outil de réparation système, avant d’effectuer une quelconque restauration.

bootrec / fixmbr 
bootrec / fixboot 
bootrec / rebuildbcd

Détection

Trend Micro a déjà été mis à jour pour détecter le malware comme RANSOM_PETYA.A. D’autres antivirus le détectent (liste non exhaustive, source : Virus Total) :

  • Win32:Malware-gen (Avast)
  • TR/Crypt.Xpack.jvzj(Avira)
  • Trojan.Ransom.Petya.C (Bitdefender)
  • Trojan-Ransom.Win32.Petr.a (Kaspersky)
  • Ransom-Petya (McAfee, Malwarebytes)
  • Ransom:Win32/Petya.A (Microsoft)

Signatures

Trend Micro donne les signatures SHA-1 des fichiers.

SHA1s for related files:

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a

MD5 :

  • af2379cc4d607a45ac44d62135fb7015
  • a2d6887d8a7b09b86a917a5c61674ab4
  • f636b3471c9fda3686735223dbb0b2bd

L’éditeur de la suite antivirus indique également que Dropbox a déjà réagi en supprimant les fichiers infectés. C’est plutôt une bonne nouvelle ! Mais cela est certainement loin d’être terminé.

Sources

Korben
Malekal 
Trend Micro 

Voir aussi

Restauration du MBR sous Windows 7 
Recovery Mode sous Windows 8 et 8.1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *