NotPetya : un groupe de cybercriminels prétend avoir la clef de déchiffrement
Et la met en vente contre 220 000 euros
Le 2017-07-07 22:09:02, par Coriolan, Expert éminent sénior
Deux semaines après l’attaque NotPetya, le malware continue encore de faire parler de lui. Il était considéré comme un ransomware au début et les chercheurs en sécurité se sont rendu compte qu’il s’agit bel et bien d’un wiper conçu pour causer le plus de dégâts possible en Ukraine et dans les autres régions du monde où il s’est propagé. En effet, il était impossible pour les victimes de déchiffrer leurs fichiers infectés.
Seulement ce mercredi, un groupe de pirates est apparu sur la toile, ils mettent en vente ce qu’ils clament être une clé de déchiffrement des fichiers chiffrés par le malware NotPetya. Pour l’acquérir, il faudra débourser 100 bitcoins, soit l’équivalent de 220 000 euros.
Pour vérifier l'authenticité de leurs dires, des journalistes de Motherboard se sont dirigés vers le site Tor du groupe et sont entrés en contact avec l’un de ses membres pour déchiffrer un fichier chiffré via NotPetya. Le groupe est parvenu à déchiffrer le fichier de 200 kb, mais cela ne veut pas dire pour autant qu’il détient la clé de déchiffrement et qu’il ne s’agit pas d’une simple arnaque. Néanmoins, le fait qu’ils sont entrés en contact avec des journalistes et accepté de déchiffrer les fichiers montre qu’ils sont familiers avec le sujet.
« Pour être clair : les hackers ont seulement déchiffré un petit fichier pour Motherboard. Leur capacité à déchiffrer un seul fichier montre qu'ils sont connectés à l'attaque NotPetya, mais cela ne veut pas dire qu'ils seront en mesure de déchiffrer des fichiers en masse », a écrit Motherboard. Par la suite, Motherboard a tenté d'envoyer un autre fichier, mais les hackers n'ont pas répondu à l'appel, un constat partagé par d'autres journalistes sur Twitter.
Certains chercheurs en sécurité pensent que même avec la clé de déchiffrement, il ne sera toujours pas possible de récupérer la totalité des fichiers chiffrés par le malware. Ils ont en effet découvert des bogues empêchant le déchiffrement de fichiers de plus de 1 MB. De plus, NotPetya tente également de chiffrer la MFT (Master File Table) qui se trouve des fois détruite par le malware, et donc impossible de la récupérer. Même si la clé de déchiffrement s’avère fonctionnelle, difficile de voir les victimes tenter de l’acquérir vu que le prix demandé est exorbitant et constitue une somme trop importante pour la plupart des victimes.
L’auteur de Petya rend disponible la clé de déchiffrement de toutes les variantes officielles du malware
Petya est l’un des malwares les plus dévastateurs, plus dangereux encore que Locky. ce ransomware ne se contente pas de prendre en otage les fichiers des victimes seulement, puisqu’il procède ensuite à chiffrer la MFT (Master File table) et remplace la zone d'amorçage (Master boot record) du disque dur de la victime par un programme qui réclame de l'argent en échange de la clé de déchiffrement.
Après que Petya et ses variantes ont ravagé les données dans le monde entier, l’auteur du malware original a rendu disponible la clé de déchiffrement principale pour toutes les variantes « officielles » de Petya (ce qui veut dire que NotPetya n’est pas inclus dans la liste). La clé a été publiée par Janus Cybercrime Solutions. Si Petya a été déjà craqué, la clé offre un moyen de déchiffrement plus rapide et plus efficace.
L’authenticité de la clé publiée sur un tweet par Janus a été vérifiée, après que le chercheur de sécurité Hasherzade de Malwarerebytes est parvenu à cracker le fichier chiffré partagé par Janus sur le site de stockage Mega. Un autre chercheur de Kaspersky a également pu tester et confirmer la validité de la clé de déchiffrement.
Le chercheur en sécurité Janus a informé en juin qu’il va examiner NotPetya pour voir s’il est possible de déchiffrer les fichiers. Pour le moment, il n’a toujours rien signalé.
Cette clé ne servira à rien pour les victimes de NotPetya puisque ce malware a été créé en piratant le ransomware Petya, en effet, les cybercriminels ont lourdement modifié les caractéristiques du ransomware pour l’adapter à leurs besoins. En conséquence, NotPetya utilise une autre routine de chiffrement et a été décrit comme n’ayant aucune connexion avec Petya.
Source : Motherboard
Et vous ?
Voir aussi :
Seulement ce mercredi, un groupe de pirates est apparu sur la toile, ils mettent en vente ce qu’ils clament être une clé de déchiffrement des fichiers chiffrés par le malware NotPetya. Pour l’acquérir, il faudra débourser 100 bitcoins, soit l’équivalent de 220 000 euros.
Pour vérifier l'authenticité de leurs dires, des journalistes de Motherboard se sont dirigés vers le site Tor du groupe et sont entrés en contact avec l’un de ses membres pour déchiffrer un fichier chiffré via NotPetya. Le groupe est parvenu à déchiffrer le fichier de 200 kb, mais cela ne veut pas dire pour autant qu’il détient la clé de déchiffrement et qu’il ne s’agit pas d’une simple arnaque. Néanmoins, le fait qu’ils sont entrés en contact avec des journalistes et accepté de déchiffrer les fichiers montre qu’ils sont familiers avec le sujet.
« Pour être clair : les hackers ont seulement déchiffré un petit fichier pour Motherboard. Leur capacité à déchiffrer un seul fichier montre qu'ils sont connectés à l'attaque NotPetya, mais cela ne veut pas dire qu'ils seront en mesure de déchiffrer des fichiers en masse », a écrit Motherboard. Par la suite, Motherboard a tenté d'envoyer un autre fichier, mais les hackers n'ont pas répondu à l'appel, un constat partagé par d'autres journalistes sur Twitter.
Certains chercheurs en sécurité pensent que même avec la clé de déchiffrement, il ne sera toujours pas possible de récupérer la totalité des fichiers chiffrés par le malware. Ils ont en effet découvert des bogues empêchant le déchiffrement de fichiers de plus de 1 MB. De plus, NotPetya tente également de chiffrer la MFT (Master File Table) qui se trouve des fois détruite par le malware, et donc impossible de la récupérer. Même si la clé de déchiffrement s’avère fonctionnelle, difficile de voir les victimes tenter de l’acquérir vu que le prix demandé est exorbitant et constitue une somme trop importante pour la plupart des victimes.
L’auteur de Petya rend disponible la clé de déchiffrement de toutes les variantes officielles du malware
Petya est l’un des malwares les plus dévastateurs, plus dangereux encore que Locky. ce ransomware ne se contente pas de prendre en otage les fichiers des victimes seulement, puisqu’il procède ensuite à chiffrer la MFT (Master File table) et remplace la zone d'amorçage (Master boot record) du disque dur de la victime par un programme qui réclame de l'argent en échange de la clé de déchiffrement.
Après que Petya et ses variantes ont ravagé les données dans le monde entier, l’auteur du malware original a rendu disponible la clé de déchiffrement principale pour toutes les variantes « officielles » de Petya (ce qui veut dire que NotPetya n’est pas inclus dans la liste). La clé a été publiée par Janus Cybercrime Solutions. Si Petya a été déjà craqué, la clé offre un moyen de déchiffrement plus rapide et plus efficace.
L’authenticité de la clé publiée sur un tweet par Janus a été vérifiée, après que le chercheur de sécurité Hasherzade de Malwarerebytes est parvenu à cracker le fichier chiffré partagé par Janus sur le site de stockage Mega. Un autre chercheur de Kaspersky a également pu tester et confirmer la validité de la clé de déchiffrement.
Le chercheur en sécurité Janus a informé en juin qu’il va examiner NotPetya pour voir s’il est possible de déchiffrer les fichiers. Pour le moment, il n’a toujours rien signalé.
Cette clé ne servira à rien pour les victimes de NotPetya puisque ce malware a été créé en piratant le ransomware Petya, en effet, les cybercriminels ont lourdement modifié les caractéristiques du ransomware pour l’adapter à leurs besoins. En conséquence, NotPetya utilise une autre routine de chiffrement et a été décrit comme n’ayant aucune connexion avec Petya.
Source : Motherboard
Et vous ?
Voir aussi :
-
marsupialExpert éminentQuelle bande d'escrocs ces assureurs !le 04/02/2019 à 8:55
-
spawntuxMembre confirméBonjour,
En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche.
Tip top tout cale 04/08/2017 à 17:31 -
MadmacMembre extrêmement actifIl faut-être culotté pour présumer des motifs des auteur, sans les connaître. Mais pour éviter de devoir payer 100 millions, j'essayerais aussi de vendre ce type de pommade.le 03/02/2019 à 20:21
-
walloonCandidat au Cluble 22/07/2017 à 9:54
-
gangsoleilModérateurL'attitude de l'assureur ne m'étonne pas : pour le moment, ce genre de risques n'est pas directement pris en compte dans les barêmes des assurances, et il est donc assez logique qu'ils refusent de payer en se disant que s'ils payent ici, c'est la porte ouverte à d'autres règlements.
Il est probable qu'on voit les primes d'assurance augmenter si ce risque doit être couvert.le 05/02/2019 à 12:27 -
CoderInTheDarkMembre émériteIl me vient une pensée d'un grand penseur, qui aimait les français
Al Bundy (Maried with children)
"
* Insurance is like marriage.
You pay and pay but you never get anything back."le 06/02/2019 à 15:29