Petya, le Ransomware 2017 attaque nos entreprises françaises

Depuis Hier matin, le malware Petya, connu depuis 2016 refait parler de lui.
En effet, une nouvelle version incluant de nouvelles fonctionnalités se propage sur le net dans le but de toucher un maximum d’entreprises. Selon le secrétaire d’état chargé du Numérique, il s’agit d’un niveau d’attaque sans précédent !

Comment fonctionne Petya RansomWare ?

Depuis Mardi, une multitude d’attaques ont été lancées par le virus Petya. Une fois les machines infectées, Petya force le redémarrage de la machine au bout de quelques minutes (de 10min à 1heure). A ce moment, ce logiciel de rançon chiffre l’ensemble des fichiers contenus dans la mémoire de l’ordinateur.
La majorité des fichiers sont visés en fonction de leur format : Word, Powerpoint, Excel, PDF, RAR, ZIP, Vidéo….

Ensuite, un message apparaît sur l’ordinateur invitant l’utilisateur à verser la somme de 300 Dollards en BitCoin et d’envoyer également une preuve du versement par mail afin d’obtenir une clé permettant le déchiffrement de vos fichiers.
(Rien n’a été vérifié quand au déchiffrement des fichiers après paiement des 300 Dollards.)

Voilà en quoi Petya est un ransomware ou rançongiciel….

Selon les spécialistes, il s’agit d’une nouvelle version du Petya mais certains s’accordent à le nommer différemment : Petrwrap, GoldenEye, Nyetya ou encore NotPetya par Kaspersky Lab.
Personne n’a vraiment tort ou raison puisque certains composants sont connus mais la majorité du programme a été revu, ce qui en fait un virus puissant.

Qui est concerné par cette attaque de virus ?

Ce RansomWare Petya touche les PC tournant sous Windows notamment Windows XP, Windows 7 & Windows 10.

Une fois intégré sur la machine, trois techniques différentes sont utilisées pour se propager à l’intérieur du réseau. (Avez-vous suivi la série Mr Robot ? On y retrouve des similitudes…) Pour exemple, une des faille de sécurité exploité à été reprise sur WannaCry, un logiciel de rançon qui avait déjà causé beaucoup de dégâts il y a quelques semaines.

De grandes entreprises ont été concernés par cette attaque du fait de l’utilisation d’outils comme WMIC (Outil Windows) ou encore l’outil de gestion à distance PsExec, largement utilisé dans le monde professionnel.

Et vous, utilisez-vous ces outils Windows….?

En france, la SNCF et Saint Gobain ont notamment été touchés.

Qui se cache derrière Petya ?

Pour le moment aucune certitude sur ce point même si le virus WannaCry avait été attribué à un groupe Nord Corréen. La motivation de ce type de virus reste généralement liée à l’argent. Or, pour le moment seulement quelques dizaines de milliers de dollars semblent avoir été récoltés sur le portefeuille Bitcoin de Petya.

Comment se protéger de ce RansomWare ?

Au moment de l’attaque, les fichiers ne sont pas touchés tant que l’ordinateur n’a pas été redémarré.
Il est possible de mettre en place un système empêchant le chiffrement à ce moment en créant un fichier nommé “perfc” en lecture seule dans C:WINDOWS. Mais cette technique est destinée aux profils les plus aguerris.

Une fois le PC redémarré, il n’y a pour l’instant aucun moyen de récupérer les données chiffrées. L’agence Nationale de Sécurité des Systèmes d’Information (ANSSI) préfèrent conseiller de ne jamais payer une rançon, car cela n’est pas une certitude de retrouver ses données et tend plutôt à donner davantage d’informations à Petya.

Pour le moment, l’adresse mail servant à récolter les preuves de paiement de la rançon a été bloquée.

Pour vous protéger de ce type d’attaque, revenons aux bonnes vieilles méthodes… Pensez à sauvegarder régulièrement vos fichiers sur un disque dur non connecté à votre ordinateur !