Satana, le ransomware qui empêche le démarrage de Windows,

Serait particulièrement plus complexe que ses prédécesseurs

Ces derniers temps, l'évolution des ransomwares a souvent fait l'actualité de la presse spécialisée. Depuis la fin 2015 jusqu’en début d’année 2016, les attaques aux ransomwares ont fait plusieurs victimes parmi lesquelles figurent des hôpitaux, des systèmes de traitement d’eau pour ne citer que ceux-là. Le ransomware peut prendre en otage des données personnelles en les chiffrant puis en demandant à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Il peut également bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent.

Et c’est justement ce que fait une nouvelle génération de ransomwares découverte par Malewarebytes ces dernières semaines. Elle combine le chiffrement de fichiers et écriture de code sur le secteur d’amorçage du disque, le MBR, pour mettre à mal les fichiers de ses victimes. « Satana fonctionne en deux modes, note la société de sécurité sur son blog. Le premier se comporte comme Petya, un fichier exécutable (sous Windows, NDLR) [et] écrit au début du disque infecté un module de bas niveau, un bootloader avec un noyau personnalisé. Le deuxième mode se comporte comme un ransomware typique et chiffre les fichiers un par un (tout comme Mischa). »


Bien que fonctionnel, Satana (Satan en italien et roumain) est encore en développement selon les chercheurs de Malwarebytes. Il a été inspiré d’autres ransomwares précédents, ainsi il est le deuxième ransomware après Petya qui affecte le Master Boot Record (MBR), empêchant les machines Windows de démarrer. Le Master Boot Record est le nom donné au premier secteur adressable d'un disque dur dans le cadre d'un partitionnement Intel. Sa taille est de 512 octets. Le MBR contient la table des partitions du disque dur. Il contient également une routine d'amorçage dont le but est de charger le système d'exploitation, ou le chargeur d'amorçage (boot loader) s'il existe, présent sur la partition active. Sans MBR, les machines ne savent pas sur quelle partition se trouve le système d’exploitation à charger et de ce fait, elles sont incapables de démarrer.

Petya a été le premier ransomware à changer le Master Boot Record (MBR) pour lancer un bootloader custom qui se charge de chiffrer la Master File Table (MFT). Le but étant d’empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé. La MFT est l'un des composants du système de fichiers de NTFS de Microsoft. Il contient la liste de tous les fichiers stockés sur le disque. Satana suit une autre route, il ne recourt pas au chiffrement du MFT, mais remplace le MBR avec son propre code et enregistre une copie chiffrée pour la restaurer lorsque la victime paye la rançon aux pirates. Cette manœuvre laisse la machine dans l’incapacité de booter, mais elle peut être réparée plus facilement que si le MFT a été chiffré.

Durant mai dernier, Petya a été combiné à un ransomware différent au nom de Mischa, qui est beaucoup plus traditionnel. Il s’attaque aux données des utilisateurs et les fait chiffrer directement s’il n’arrive pas à obtenir des droits d’administrateur pour attaquer le MBR et le MFT. Satana combine les deux méthodes, une fois le MBR remplacé, il s’attaque au chiffrement des fichiers sur le disque et attend patiemment le redémarrage du système. Une fois fait, il affiche à l’utilisateur les directives à suivre pour récupérer l’accès à son PC, à savoir le paiement d’une rançon de 0,5 bitcoin (environ 340 dollars).

Même si l’utilisateur arrive à réparer le MBR à l’aide des options de restauration de Windows, qui nécessitent des manipulations avec l’invite de commandes et le fichier bootrec.exe (ce qui est loin d’être à la portée de tout le monde). Même en arrivant à cela, l’utilisateur se trouvera face à des fichiers chiffrés sur le disque. Les méthodes de chiffrement employées par le ransomware semblent assez robustes pour rendre les fichiers piégés définitivement irrécupérables. Les chercheurs de Malwarebytes ont remarqué un bogue particulièrement gênant, qui pourrait entraîner la perte des données à jamais, même en cas de paiement de la rançon. En effet, durant le processus de chiffrement/déchiffrement des fichiers, toute déconnexion du serveur de commandes et contrôle (C&C) entraîne la perte de la clé de déchiffrement. « Même les victimes qui paient peuvent ne pas récupérer leurs fichiers si elles (ou le C&C) sont hors ligne lorsque le chiffrement arrive », prévient la société de sécurité.

La version actuelle de Satana est loin d’être parfaite et de ce fait elle n’est pas largement répandue. Cependant, les chercheurs estiment qu'elle va servir de base pour l’introduction d’améliorations qui aideront à rendre le ransomware beaucoup plus performant. « Le code d’attaque de bas niveau semble inachevé – mais les auteurs montrent un intérêt dans le développement du produit dans ce sens et nous pouvons nous attendre à ce que la prochaine version soit améliorée », écrit le chercheur.

Source : Malwarebytes

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les ransomwares continuent d'évoluer : Cerber se dote d'une fonctionnalité, pour créer des versions différentes de lui-même toutes les 15 secondes
EduCrypt : un ransomware qui apprend une leçon sur la sécurité informatique et fournit une clé de déchiffrement sans demander de rançon
Microsoft lance l'alerte sur une nouvelle variante de ransomware baptisée Zcryptor dotée d'une capacité d'autopropagation