ACTUALITE Petya, le nouveau ransomware qui chiffre l’ensemble du disque

[Nicolas]

G Data annonce la découverte d'un nouveau type de ransomware. Petya qui s'avère capable de chiffrer l’ensemble du disque dur; cible les entreprises avec de faux emails de candidature menant vers des liens de téléchargement Dropbox.

Le G Data Security Labs a détecté les premiers fichiers ce jeudi 24 mars, en Allemagne (SHA256 26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739 et SHA256 b041d9573ae083a02cf52fcd23648b32ad9a8811bd7ea12ca6af3d91ca14a07a). A la différence des codes actuels, tels que Locky, CryptoWall ou TeslaCrypt, qui chiffrent certains fichiers du système, Petya chiffre donc l’ensemble des disques durs installés.

Des emails sont adressés aux services des ressources humaines, avec une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible.

Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables. Les experts du G DATA SecurityLabs travaillent à l’analyse de ce nouveau type de ransomware.

G Data recommande aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus. Dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails.

Source : Info DSI

 

[alexandre01]

Bonjour,

Il ne faut pas oublier le cryptolococker au nom de locky , qui a pris le pas du cryptocker TeslaCrypt(ransomware qui chiffre les données), et qui se propage par mail.

Si Locky est lancé, il chiffre les données du disque dur, mais aussi les médias amovibles (disque dur externe, etc, et aussi les partages réseaux.

Plusieurs variantes d'infection par mail ont été détecté, dont:

• Document avec une extension .doc , dont le nom est du type invoice_J-XXXXX.doc . Si les macros sont activées dans Microsoft office, vous serez infecté.
• De fausses factures Free ou de fausses commandes que vous auriez commandé. edit: aussi des mails se faisant passer pour des autorités judiciaires.Les fichiers proposés sont zippés. Une fois le fichier décompressé et lancé, vous serez infecté.
• Toute technique similaire, sans oublier le lancement d'un fichier javascript (.d'extension .js) pour infecter l'ordinateur, à partir d'une pièce jointe d'un fichier zippé qui a été décompressé.

En tout état de cause, pour tromper l'utilisateur, les techniques suivantes sont utilisées:

• Noms de domaine usurpés dans l'en-tête d'un mail reçu.dans la partie "From: adresse_mail_de_l'expéditeur", ou, en anglais "To: adresse_mail_de_l'expéditeur" .Sachant que cette partie peut-être usurpée, l'utilisateur peut croire que l'adresse mail de l'expéditeur est légitime. Il ne faut pas se fier à cette information.
• Le fait que l'affichage de l'extension des fichiers ne soit pas activée dans Windows. Ainsi, une personne peut croire qu'elle exécute un certain type de fichier, alors que l’exécution du fichier est tout autre. Par exemple, si l'auteur du mail infectieux laisse une pièce jointe de type : jevaistinfecter.jpg.exe, la personne, non consciente du danger va penser que le fichier lancé sera une image d'extension jpg (car l’extension " zip" est cachée), et, en cliquant dessus, la personne va lancer un exécutable.

Mais en tout état de cause, les infections par mails ne sont pas anodines, voir ciblées pour certaines cibles, comme pour des entreprises. Par exemple, on peut envoyer un fichier PDF qui semblent tout à fait légitime, mais ouvert avec le lecteur Adobe PDF Reader, qui contient une vulnérabilité connue seulement par les assaillants, peut vous infecter.

Une bonne habitude à prendre est de scanner vos pièces jointes non confidentielles sur le site de virustotal . Si un mail vous est envoyé alors que vous ne connaissez pas l'expéditeur, supprimer le mail, ou du moins, Ne téléchargez pas la pièce jointe. Toutefois, bien que ce soit rare, il ne faut pas non plus oublier que l'analyse sur virustotal ne peut rien détecter, sachant que la pièce jointe peut-être infectieuse.

Cordialement

 

[Popuga]

Mais ce sont des souches différentes, non? Le Petya est différent du Locky!
Il y a une instruction française pour le Locky ransomware

Virus des fichiers .locky : Décrypteur et suppression du logiciel de rançon Locky

 

[alexandre01]

Bonjour,

on peut penser que ce sont deux souches différentes, mais comme on ne connaît pas le code source, il n'est pas possible de le savoir, néanmoins,ce sont deux ransomwares, donc c'est la même gangrène pour les utilisateurs infectés.

Tu peux avoir plus d'information sur ce lien

www.bleepingcomputer.com: Petya Ransomware skips the Files and Encrypts your Hard Drive Instead

En plus, il n' y a pas besoin de mettre un lien pour proposer un logiciel, puisque Ph3niX a proposé une méthode pour débarrasser de locky:

www.forum-des-portables-asus.fr: Wiki - Décryptage des fichiers chiffrés par Ransomware TeslaCrypt | Le forum des portables Asus

[equipe]
Mène vers le lien suivant:
Virus des fichiers .locky : Décrypteur et suppression du logiciel de rançon Locky – WebEra

[/equipe]


Cordialement

 

[alexandre01]

Bonjour,


peut-être une bonne nouvelle pour les asusiens qui ont été infecté par petya.Une fois votre ordinateur infecté, ce dernier redémarre et simule une réparation du disque, puis l'apparition d'une tête de mort en rouge et une alternance de blanc et de rouge, pour apeurer l'utilisateur.


Un projet a été lancé pour récupérer les fichiers chiffrés par le ransomware\cryptolocker peyta ici.

Pour ceux qui son infectés, vous pouvez décrypter votre disque dur. (méthode extraite de bleeping computer)

• Brancher votre disque dur interne avec un adaptateur USB\sata ou un dock USB selon le type de votre disque dur interne, et le brancher sur un ordinateur équipé d'un Windows.
• Télécharger ce programme provenant du site de bleeping computer. Comme Peyta infecte le MBR du disque dur, ce programme permet de détecter automatiquement le disque infecté, et d'extraire les données utiles pour décrypter vos données.
• Aller sur ce site petya-pay-no-ransom-mirror1.herokuapp.com: PETYA-PAY-NO-RANSOM
• Cliquer sur "Copy Sector"( encadré en bleu) et appuyer simultanément sur les touches "ctrl"+"v" et pas autrement sur la page wen en question, encadré en bleu
• Même chose pour Copy Nonce" (encadré en marron). Cliquer sur ce bouton et appuyer simultanément sur les touches "ctrl"+"v" et pas autrement sur la page wen en question, encadré en marron
• 

• Appuyer sur le bouton de la page web "Submit", il faut patentiez quelques instants. Vous aurez la clé de chiffrement, comme vous pouvez le voir ci-dessous.
• 
• Enregistrer votre clé, rebrancher votre disque dur infecté en question dans votre ordinateur, et rentrez la clé de déchiffrement.
• 
• C'est terminé, le disque en question va pouvoir redémarrer, un répration du système de fichier sera demandé, il est conseillé de le faire.

Sachez que la manipulation est faîte sous machine virtuelle, avec un LiveCD de malekal sur un windows 7 avec une table de partition MBR. Je n'ai pas branché de disque dur sur un adaptateur.

J'ai essayé sur une une machine virtuelle Windows 8.1, avec une table de partition GPT, pour des firmwares UEFI 2.3.1.Il existe un MBR pour des raisons de compatibilité, l'ordinateur en question n'a pas voulu redémarrer.

Le chargement de Windows diffère, puisque c'est le MBR qui charge le système d'exploitation pour des ordinateurs équipés d'une table de partition MBR, alors que pour des tables de partition GpT, c'est la partition EFI qui se charge du travail.

Pour éviter d'avoir des soucis, il vaut mieux activer le secureboot dans les paramètres de votre firmware UEFI, remplaçant du bios.

Pour ceux qui veulent remercier l'auteur de cette prouesse, permettant de décrypter la clé, qui s'appelle leostone, vous pouvez faire un don sur la page où votre code a été décrypté.

Vous pouvez faire un don à bleepingcompter qui fournit le programme

Source de l'article, et interprété avec mes propres propos.
Cordialement