On a trouvé une parade au ransomware Petya, qui a été mis sous les feux des projecteurs de l’actualité de la sécurité IT fin mars. Ou du moins dispose-t-on d’un répit.
Un chercheur anonyme, qui communique sous le compte Twitter @leo_and_stone, a trouvé un moyen pour décrypter les fichiers et les restaurer sans payer de rançon.
Le lien renvoie vers un outil, disponible sur le portail GitHub pour les développeurs, qui agit comme un générateur de mot de passe pour Petya en s’appuyant sur une méthode dite d’algorithme génétique.
La méthode – en fait un algorithme visant à générer un mot de passe pour décrypter un disque dur verrouillé par Petya – semble efficace selon les premiers retours.
Elle a été approuvée par Bleeping Computer, du nom d’un portail de support technique pour régler les soucis informatiques.
La manipulation demeure problématique pour la plupart des utilisateurs. Un chercheur en sécurité d’Emsisoft (logiciel anti-malware) – Fabian Wosar – a développé un module gratuit baptisé Petya Self Extractor pour les accompagner (passer par l’article de Bleeding Computer pour récupérer le lien).
Selon Silicon.fr, Petya se démarquait de ses congénères en s’attaquant au disque dur des ordinateurs.
Concrètement, un fichier (transmis par mail en pièce jointe) contient un exécutable 32 bits autoextractible (.exe) représenté par l’icône du programme de décompression WinRAR. C’est lui qui contient la charge utile nécessaire à l’implantation de Petya.
L’engrenage est décrit comme tel : l’ouverture déclenche le redémarrage de la machine (via la commande ExitWindowsEx ou NtRaiseHardError).
Auparavant, du code a été glissé sur les secteurs d’amorçage du disque, grâce à une élévation de privilèges. Petya simule alors l’exécution de l’outil chkdsk, qui se lance habituellement sur les PC Windows lorsque des erreurs ont été détectées sur le disque.
Il en profite pour écraser le Master Boot Record (MBR) du disque dur et chiffrer la Master File Table (MFT) sur les partitions NTFS (contenant le nom, la taille et la localisation des fichiers).
Mais sommes-nous pour autant délivrés de l’emprise de Petya ? Les auteurs du rançongiciel pourraient effectuer une mise à jour qui rendrait le contournement inopérant.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…