Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur l’apparition d’un nouveau ransomware, un peu plus virulent que ses cousins.
Description :
Les malwares de type ransomware sont toujours très en vogue chez les cybercriminels et la très récente vague d’attaque du ransomware Locky (cf. CXN-2016-0619) a une nouvelle fois montré les ravages causés par ce genre de logiciel malveillant.
Il n’aura pas fallut longtemps pour qu’un nouveau ransomware, baptisé Petya, soit découvert par des chercheurs en sécurité. Celui-ci présente la particularité de verrouiller totalement les postes de travail infectés sans pour autant chiffrer les fichiers présents sur le disque. Ce nouveau ransomware qui se propage actuellement par le service de stockage en ligne DropBox.
Une fois installé sur le poste de la victime, Petya remplace la MBR (Master Boot Record) par son propre programme et force la machine à redémarrer. La MBR contient la table des partitions et une routine d’amorçage dont le but est de charger le système d’exploitation. Après avoir redémarré, ce programme malveillant chiffre la MFT (Master File Table), qui contient la liste de tous les fichiers stockés sur le disque. Sans la MFT, le système d’exploitation ignore où sont stockés les fichiers sur les disques et par conséquent, ces derniers ne sont plus accessibles.
Petya réclame ensuite 0,99 Bitcoin pour obtenir la clé de déchiffrement. Il n’est pas possible de charger Windows (même en mode sans échec) ni de le réparer.
Alors qu’il est possible de réparer la MBR pour supprimer l’écran de verrouillage demandant la rançon, il n’y a aucun moyen de restaurer l’accès aux fichiers du disque.
Référence(s) :
- https://www.grahamcluley.com/2016/03/petya-ransomware/
- http://www.itespresso.fr/locky-petya-ransomware-cacher-autre-125038.html
- https://leportail.xmco.fr/watch/advisory/CXN-2016-0619
Référence CERT-XMCO :
CXN-2016-0987