Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Petya/NotPetya serait un wiper déguisé en ransomware
Son objectif serait de supprimer irrévocablement les données de ses victimes

Le , par Michael Guilloux

147PARTAGES

10  0 
Plusieurs experts en sécurité soutiennent que Petya/NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware. C’est-à-dire que son objectif est de détruire les données de ses victimes. L’analyse d’échantillons de son code source indique en effet que ce malware est destiné à supprimer de manière irrévocable les données de ses victimes et non de les restaurer après paiement de la rançon de 300 $ demandée.

Pour information, ce « faux » ransomware qui a tout de suite fait penser à WannaCry a commencé à semer la terreur ce mardi 27 juin. Se propageant comme un ver, Petya/NotPetya a infecté de nombreuses entreprises et organisations, notamment en Ukraine. Les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de la campagne mondiale du ransomware WannaCry. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.



Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données.

Kaspersky a analysé la routine de déchiffrement du nouveau malware et a découvert que l'acteur de la menace ne peut déchiffrer le disque des victimes, même si un paiement est effectué. Tout d'abord, il faut noter qu’afin de déchiffrer le disque de la victime, les attaquants ont besoin d’un ID d'installation fourni dans le message de demande de rançon. Dans les versions antérieures des ransomwares similaires (le cas de Petya notamment), cet ID d'installation contient des informations cruciales pour générer la clé de déchiffrement. Une fois cette information est envoyée à l'attaquant, il peut alors extraire la clé de déchiffrement. Dans le cas de Petya/NotPetya, l'ID affiché dans le message de demande de rançon est simplement une donnée aléatoire. « Cela signifie que l'attaquant ne peut pas extraire les informations de déchiffrement d'une telle chaîne générée de manière aléatoire affichée à la victime et, par conséquent, les victimes ne pourront déchiffrer aucun des disques chiffrés à l'aide de l'ID d'installation », explique Kaspersky.

D’après la firme de sécurité russe, « cela renforce la théorie selon laquelle l'objectif principal de l'attaque de [Petya/NotPetya] n'était pas motivé financièrement, mais était destructeur ».

Dans une autre analyse indépendante, Matt Suiche de Comae Technologies conclut que les développeurs de Petya/NotPetya ont simplement réécrit Petya de sorte que les données des victimes soient supprimées de manière irrévocable. Il découvre que le malware écrase expressément les 25 premiers blocs des disques des machines de ses victimes. Les « 24 blocs à la suite du premier bloc sont remplacés, ils ne sont pas lus ou enregistrés quelque part. Alors que la version originale de Petya lit correctement chaque bloc et les encode de manière réversible », explique Matt Suiche. Autrement dit, la version originale de Petya modifie le disque de manière à pouvoir rétablir ses modifications, alors que Petya/NotPetya inflige des dommages permanents et irréversibles au disque.

Dans un tweet, l’expert en sécurité de Comae Technologies affirme que « les ransomwares et hackers sont en train de devenir les boucs émissaires des attaquants [parrainés par des gouvernements]. » Il pense en effet que Petya/NotPetya est en fait « un leurre pour contrôler le récit médiatique, surtout après les incidents de WannaCry, pour attirer l'attention sur un groupe de pirates mystérieux plutôt que sur un attaquant [parrainé par un gouvernement] », comme cela a été le cas dans le passé avec des malwares similaires visant à détruire des données de certaines organisations. L’Ukraine majoritairement touchée serait donc la cible.

Sources : Kaspersky, Matt Suiche

Et vous ?

Que pensez-vous des analyses faites par Kaspersky et Matt Suiche ?

Voir aussi :

Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement, avec un outil de Kaspersky
Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins, suite à une attaque de ransomware Linux

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/02/2019 à 8:55
Quelle bande d'escrocs ces assureurs !
2  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 29/06/2017 à 20:39
Comment dit-on en Russe "Vlad, arrête tes conneries stp ?"
1  0 
Avatar de spawntux
Membre confirmé https://www.developpez.com
Le 04/08/2017 à 17:31
Bonjour,

En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche .

Tip top tout ca
1  0 
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 03/02/2019 à 20:21
Il faut-être culotté pour présumer des motifs des auteur, sans les connaître. Mais pour éviter de devoir payer 100 millions, j'essayerais aussi de vendre ce type de pommade.
1  0 
Avatar de Florian_PB
Membre averti https://www.developpez.com
Le 03/07/2017 à 12:04
Là c'est une surprise pour pas grand monde que la Russie soit pointée du doigt, et encore moins que celle-ci désigne les américains. Bientôt une cyberguerre froide (même si elle a déjà commencée en réalité).
0  0 
Avatar de pik_0fr
Nouveau membre du Club https://www.developpez.com
Le 04/07/2017 à 9:27
Citation Envoyé par philou44300
Merci pour vos retours et effectivement Jipété je ne comprend pas aussi en quoi cela empêche de démarrer à partir d'un live cd. Je pense également que cela empêche de récupérer les données à partir d'un live cd car, comme expliqué par Grimly, cela doit chiffrer ce qui contient les emplacements des fichiers sur le disque dûr (mais je ne m'y connais pas assez dans ce domaine).
crypté la table NTFS c'est comme crypté le sommaire d'un livre et de dire où est le paragraphe sur tel chose. A part scanner le disque en entier c'est la galère. Il existe des outils pour reconstruire des tables mais le temps d'action est démentiel.

Et pour moi aussi, le cryptage de la table ne peut pas empêcher le boot sur liveCD ou USB (qui est géré par le Bios de la Carte Mère), mais la récupération. J'ai lu par contre que c'est un cryptage de la MBR qui oblige le reboot sur Petya donc si on est suffisamment rapide en réaction, lorsqu'il reboot la première fois on doit pouvoir sauver les données elles même, mais il faudra reconstitué la table NTFS. Au delà du premier reboot il crypte aussi les données.
0  0 
Avatar de walloon
Candidat au Club https://www.developpez.com
Le 22/07/2017 à 9:54
https://ransomfree.cybereason.com/

A+
Remy
0  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 05/02/2019 à 12:27
L'attitude de l'assureur ne m'étonne pas : pour le moment, ce genre de risques n'est pas directement pris en compte dans les barêmes des assurances, et il est donc assez logique qu'ils refusent de payer en se disant que s'ils payent ici, c'est la porte ouverte à d'autres règlements.

Il est probable qu'on voit les primes d'assurance augmenter si ce risque doit être couvert.
0  0 
Avatar de CoderInTheDark
Membre chevronné https://www.developpez.com
Le 06/02/2019 à 15:29
Il me vient une pensée d'un grand penseur, qui aimait les français

Al Bundy (Maried with children)
"
* Insurance is like marriage.
You pay and pay but you never get anything back."
0  1