NotPetya : un groupe de cybercriminels prétend avoir la clef de déchiffrement
Et la met en vente contre 220 000 euros

Le , par Coriolan

28PARTAGES

11  0 
Deux semaines après l’attaque NotPetya, le malware continue encore de faire parler de lui. Il était considéré comme un ransomware au début et les chercheurs en sécurité se sont rendu compte qu’il s’agit bel et bien d’un wiper conçu pour causer le plus de dégâts possible en Ukraine et dans les autres régions du monde où il s’est propagé. En effet, il était impossible pour les victimes de déchiffrer leurs fichiers infectés.

Seulement ce mercredi, un groupe de pirates est apparu sur la toile, ils mettent en vente ce qu’ils clament être une clé de déchiffrement des fichiers chiffrés par le malware NotPetya. Pour l’acquérir, il faudra débourser 100 bitcoins, soit l’équivalent de 220 000 euros.

Pour vérifier l'authenticité de leurs dires, des journalistes de Motherboard se sont dirigés vers le site Tor du groupe et sont entrés en contact avec l’un de ses membres pour déchiffrer un fichier chiffré via NotPetya. Le groupe est parvenu à déchiffrer le fichier de 200 kb, mais cela ne veut pas dire pour autant qu’il détient la clé de déchiffrement et qu’il ne s’agit pas d’une simple arnaque. Néanmoins, le fait qu’ils sont entrés en contact avec des journalistes et accepté de déchiffrer les fichiers montre qu’ils sont familiers avec le sujet.

« Pour être clair : les hackers ont seulement déchiffré un petit fichier pour Motherboard. Leur capacité à déchiffrer un seul fichier montre qu'ils sont connectés à l'attaque NotPetya, mais cela ne veut pas dire qu'ils seront en mesure de déchiffrer des fichiers en masse », a écrit Motherboard. Par la suite, Motherboard a tenté d'envoyer un autre fichier, mais les hackers n'ont pas répondu à l'appel, un constat partagé par d'autres journalistes sur Twitter.

Certains chercheurs en sécurité pensent que même avec la clé de déchiffrement, il ne sera toujours pas possible de récupérer la totalité des fichiers chiffrés par le malware. Ils ont en effet découvert des bogues empêchant le déchiffrement de fichiers de plus de 1 MB. De plus, NotPetya tente également de chiffrer la MFT (Master File Table) qui se trouve des fois détruite par le malware, et donc impossible de la récupérer. Même si la clé de déchiffrement s’avère fonctionnelle, difficile de voir les victimes tenter de l’acquérir vu que le prix demandé est exorbitant et constitue une somme trop importante pour la plupart des victimes.

L’auteur de Petya rend disponible la clé de déchiffrement de toutes les variantes officielles du malware

Petya est l’un des malwares les plus dévastateurs, plus dangereux encore que Locky. ce ransomware ne se contente pas de prendre en otage les fichiers des victimes seulement, puisqu’il procède ensuite à chiffrer la MFT (Master File table) et remplace la zone d'amorçage (Master boot record) du disque dur de la victime par un programme qui réclame de l'argent en échange de la clé de déchiffrement.

Après que Petya et ses variantes ont ravagé les données dans le monde entier, l’auteur du malware original a rendu disponible la clé de déchiffrement principale pour toutes les variantes « officielles » de Petya (ce qui veut dire que NotPetya n’est pas inclus dans la liste). La clé a été publiée par Janus Cybercrime Solutions. Si Petya a été déjà craqué, la clé offre un moyen de déchiffrement plus rapide et plus efficace.

L’authenticité de la clé publiée sur un tweet par Janus a été vérifiée, après que le chercheur de sécurité Hasherzade de Malwarerebytes est parvenu à cracker le fichier chiffré partagé par Janus sur le site de stockage Mega. Un autre chercheur de Kaspersky a également pu tester et confirmer la validité de la clé de déchiffrement.

Le chercheur en sécurité Janus a informé en juin qu’il va examiner NotPetya pour voir s’il est possible de déchiffrer les fichiers. Pour le moment, il n’a toujours rien signalé.

Cette clé ne servira à rien pour les victimes de NotPetya puisque ce malware a été créé en piratant le ransomware Petya, en effet, les cybercriminels ont lourdement modifié les caractéristiques du ransomware pour l’adapter à leurs besoins. En conséquence, NotPetya utilise une autre routine de chiffrement et a été décrit comme n’ayant aucune connexion avec Petya.

Source : Motherboard

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire pour propager le malware
Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/02/2019 à 8:55
Quelle bande d'escrocs ces assureurs !
2  0 
Avatar de spawntux
Membre confirmé https://www.developpez.com
Le 04/08/2017 à 17:31
Bonjour,

En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche .

Tip top tout ca
1  0 
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 03/02/2019 à 20:21
Il faut-être culotté pour présumer des motifs des auteur, sans les connaître. Mais pour éviter de devoir payer 100 millions, j'essayerais aussi de vendre ce type de pommade.
1  0 
Avatar de walloon
Candidat au Club https://www.developpez.com
Le 22/07/2017 à 9:54
https://ransomfree.cybereason.com/

A+
Remy
0  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 05/02/2019 à 12:27
L'attitude de l'assureur ne m'étonne pas : pour le moment, ce genre de risques n'est pas directement pris en compte dans les barêmes des assurances, et il est donc assez logique qu'ils refusent de payer en se disant que s'ils payent ici, c'est la porte ouverte à d'autres règlements.

Il est probable qu'on voit les primes d'assurance augmenter si ce risque doit être couvert.
0  0 
Avatar de CoderInTheDark
Membre expérimenté https://www.developpez.com
Le 06/02/2019 à 15:29
Il me vient une pensée d'un grand penseur, qui aimait les français

Al Bundy (Maried with children)
"
* Insurance is like marriage.
You pay and pay but you never get anything back."
0  1 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web