Ransomware Petya : vraie parade ou simple répit ?
Un chercheur anonyme dans la sécurité IT propose une solution pour contourner le piège du rançongiciel Petya. Une solution pérenne ?
On a trouvé une parade au ransomware Petya, qui a été mis sous les feux des projecteurs de l’actualité de la sécurité IT fin mars. Ou du moins dispose-t-on d’un répit.
Un chercheur anonyme, qui communique sous le compte Twitter @leo_and_stone, a trouvé un moyen pour décrypter les fichiers et les restaurer sans payer de rançon.
#Petya #Ransomware #Defeated #Binaries
Please find compiled binaries here: https://t.co/td8PNURYQz— leostone (@leo_and_stone) 12 avril 2016
Le lien renvoie vers un outil, disponible sur le portail GitHub pour les développeurs, qui agit comme un générateur de mot de passe pour Petya en s’appuyant sur une méthode dite d’algorithme génétique.
La méthode – en fait un algorithme visant à générer un mot de passe pour décrypter un disque dur verrouillé par Petya – semble efficace selon les premiers retours.
Elle a été approuvée par Bleeping Computer, du nom d’un portail de support technique pour régler les soucis informatiques.
La manipulation demeure problématique pour la plupart des utilisateurs. Un chercheur en sécurité d’Emsisoft (logiciel anti-malware) – Fabian Wosar – a développé un module gratuit baptisé Petya Self Extractor pour les accompagner (passer par l’article de Bleeding Computer pour récupérer le lien).
Selon Silicon.fr, Petya se démarquait de ses congénères en s’attaquant au disque dur des ordinateurs.
Concrètement, un fichier (transmis par mail en pièce jointe) contient un exécutable 32 bits autoextractible (.exe) représenté par l’icône du programme de décompression WinRAR. C’est lui qui contient la charge utile nécessaire à l’implantation de Petya.
L’engrenage est décrit comme tel : l’ouverture déclenche le redémarrage de la machine (via la commande ExitWindowsEx ou NtRaiseHardError).
Auparavant, du code a été glissé sur les secteurs d’amorçage du disque, grâce à une élévation de privilèges. Petya simule alors l’exécution de l’outil chkdsk, qui se lance habituellement sur les PC Windows lorsque des erreurs ont été détectées sur le disque.
Il en profite pour écraser le Master Boot Record (MBR) du disque dur et chiffrer la Master File Table (MFT) sur les partitions NTFS (contenant le nom, la taille et la localisation des fichiers).
Mais sommes-nous pour autant délivrés de l’emprise de Petya ? Les auteurs du rançongiciel pourraient effectuer une mise à jour qui rendrait le contournement inopérant.