01 CPME Ain 74 CPME Haute-Savoie 69 CPME Rhône 26 CPME Drôme 73 CPME Savoie 38 CPME Isère 42 CPME Loire 03 63 15 43 CPME Auvergne 07 CPME Ardèche
Rechercher
 
 
 
 
 
 
Accueil >> communication

Mise en garde - conservation de vos données informatiques - Petya

Voici la manière d'opérer de PETYA, lequel complète l'alerte initiale transmise précédemment.

Le message a l’air d’une candidature spontanée avec, à la fin, un lien Dropbox sur lequel le destinataire pourra télécharger le CV. Ce dernier est en réalité un exécutable malveillant qui va infecter l’ordinateur en deux phases, comme l’explique la chercheuse polonaise Hasherezade.

 Dans une première phase, Petya va écraser le début du disque et, en particulier, le Master Boot Record (MBR) qui permet à l’ordinateur de démarrer. Parallèlement, il effectue une sauvegarde chiffrée de la table de partitionnement. Le chiffrement n’est pas très complexe : il s’agit simplement d’un codage en XOR. A ce stade, les dégâts ne sont donc pas insurmontables. L’utilisateur pourrait extraire les disques de l’ordinateur, les monter au travers d’un autre système d’exploitation (Linux par exemple) et réaliser une copie de sauvegarde complète.

Les choses se compliquent lors de la seconde phase. Après avoir écrasé le MBR, le malware provoque un écran bleu de la mort et un redémarrage de l’ordinateur. S’affiche alors un écran qui simule une vérification de disque (CHKDSK). En réalité, le malware est en train de modifier le système de fichiers de l’ordinateur et de chiffrer partiellement son contenu. Par la suite, une tête de mort est affichée, suivi d’un message qui explique comment payer la rançon. A ce stade, l’accès aux données n’est plus possible, en tous cas pas de manière simple. Contrairement à ce qu’affirme le pirate, « il n’est pas vrai que le disque soit entièrement chiffré. Si nous utilisons des outils d’analyse forensique, nous voyons beaucoup d’éléments valides, dont du texte », souligne Hasherezade.

Le fait que les pirates utilisent Dropbox pour diffuser leur malware est assez malin. D’une part, cela leur évite d’intégrer une pièce jointe dans l’email qui risque d’être détecté par l’antivirus. Dropbox, par ailleurs, est assez connu en entreprise et, surtout, c’est un domaine web qui ne provoque pas de blocage au niveau des pare-feux. C’est un domaine de confiance.

« Au-delà de l’utilisation du lien Dropbox, les hackers passent ici sur une technique beaucoup plus efficace de social engineering. Jusqu’à présent, la mode était aux fausses factures à payer. Cette technique ayant perdu en efficacité, grâce aux relais d’information et notamment grâce aux média, la technique de la fausse candidature est excellente. Quoi de plus normal que de recevoir un email avec un document word en pièce jointe pour un email de candidature, ou un CV à télécharger via un lien ? Quoi de plus normal qu’une candidature spontanée de la part d’une personne que l'on ne connaît pas ? De plus, les adresses e-mail qui permettent de postuler dans une entreprise sont souvent disponibles publiquement sur son site web et diffusées à de nombreuses personnes en interne. Il y a fort à parier que nous retrouverons prochainement des vagues de ransomware utilisant cette technique de propagation », explique Florian Coulmier, responsable production et cyber criminalité de Vade Retro Technology.

Un conseil que l’on peut donc donner est de ne jamais télécharger un fichier depuis une source inconnue. Et si cela n’est pas possible, pour des raisons professionnelles comme ici, il faut imaginer un dispositif permettant de télécharger les fichiers de manière sécurisée, par exemple sur une machine dédiée et déconnectée ne comportant pas de données importantes, ou sur une machine virtuelle.

 

Mise à jour le 4 avril:L'entreprise Dropbox tient à signaler qu'elle a supprimé les liens qui menait vers le malware aussi rapidement que possible et qu'elle prenait cette utilisation abusive de son service très au sérieux. « Une équipe dédiée travaille en continu pour surveiller et prévenir tout usage frauduleux de Dropbox. Bien que ces attaques ne soient pas liées à une faille de sécurité de Dropbox, une enquête est en cours et des procédures ont été mises en place pour faire cesser ces activités illégales de manière proactive, dès leur apparition. En outre, nous avons dernièrement publié un article sur les conseils à adopter pour garantir la sécurité des utilisateurs sur Internet. »

 

 

G DATA découvre un nouveau type de ransomware. Petya est un ransomware qui chiffre l’ensemble du disque dur. Les cibles identifiées actuellement sont les entreprises : de faux emails de candidature menant vers des liens de téléchargement Dropbox sont utilisés.

Le G DATA Security Labs a détecté les premiers fichiers ce jour, jeudi 24 mars, en Allemagne (SHA256 26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739 et SHA256 b041d9573ae083a02cf52fcd23648b32ad9a8811bd7ea12ca6af3d91ca14a07a).
A la différence des codes actuels, tels que Locky, CryptoWall ou TeslaCrypt, qui chiffrent certains fichiers du système, Petya chiffre l’ensemble des disques durs installés.

La campagne actuellement en cours vise les entreprises. Dans un email au service des ressources humaines, il y a une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible.

Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables. Les experts du G DATA SecurityLabs travaillent à l’analyse de ce nouveau type de ransomware.

G DATA recommande aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus. Dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails.

PETYA n'aurait pas encore été détecté en FRANCE  (seulement en Allemagne). Toutefois son degré de dangerosité mérite une information du plus grand nombre. En effet PETYA ne se contente pas de chiffrer quelques fichiers, celui-ci a la capacité de chiffrer l'intégralité d'un disque dur, avec tous les désagréments que celà peut engendrer.

S'agissant d'une nouvelle forme de ransomware, les conseils pour s'en prémunir sont identiques à LOCKY (méfiance et vigilance à apporter aux mails reçus) et dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails.

Capitaine (R) Bernard Portal
Référent IE
Groupement de Gendarmerie
de la Haute-Savoie
04 50 09 50 31

  • CPME Haute-Savoie
  • 11 route de Nanfray
  • 74960 Cran Gevrier