Petya un ransomware qui menace le monde entiers donc faite attention.

Le désormais tristement célèbre ransomware Petya a été découverte pour la première fois en mars 2016, bien qu’il ait fait moins d’infections que d’autres ransomware qui ont sévi aux débuts de 2016, comme CryptoWall. Petya contenait des différences notables dans les opérations qui l’ont provoqué, marqué comme une nouvelle étape dans l’évolution des ransomwares. Une autre variante de Petya découverte en mai 2016 contenait une charge secondaire active utilisée si le malware ne peut pas atteindre l’accès au niveau du compte administrateur du système attaqué.

Petya : Comment fonctionne ce ransomware

Petya est une famille de ransomware qui fonctionne en modifiant le master boot record (MBR) du système Windows, ce qui entraine une panne du système. Lorsque l’utilisateur redémarre son  PC, le MBR empêche Windows de ce charger et affiche un faux écran « chkdisk » qui indique que le disque dur de l’ordinateur est en cours de réparation, mais le malware est actuellement en train de chiffrer des fichiers de l’utilisateur. Une fois ce processus est terminé, le logiciel malveillant affiche une note ASCII exigeant le paiement.

Une fois que le système est compromis, la victime est invitée à verser une rançon de 300 USD sous forme de bitcoin à une adresse Bitcoin spécifique, puis envoyer un courrier électronique avec l’identifiant du portfeuille bitcoin de la victime à wowsmith12345@posteo.net pour récupérer leur clé de décryptage individuelle afin de déverrouiller le système infecté.

La vague initiale des infections par Petya remonte à une attaque qui a visé un fournisseur populaire de logiciels de comptabilité ukrainien. Les attaquants inconnus ont resussi à franchir les services anti-spam et anti-phishing et ont eu accès aux serveurs de mise à jour du logiciel et ont livré le ransomware Petya en tant que mise à jour logiciel pour les clients de l’entreprise. Des méthodes similaires ont été utilisés dans le passé des familles des ranspmwares comme Xdata qui a commencer l’une des premières vagues d’attaques.

Une fois qu’un certain nombre de systèmes ont été infectés, Petya a pu se propager rapidement à partir de là par le même exploit NSA qui a été divulgué par le groupe shadow Brokers qui a également été utilisé par WannaCry. L’exploit, connu sous le nom ExternalBlue, exploite une vulnérabilité dans le protocole Microsoft SMBv1, permettant à un attaquant de prendre le contrôle des systèmes Windows à distance.

Les attaques de Ransomware sont très fréquentes, mais elles sont rarement associées à un exploit qui permet aux logiciels malveillants de se propager. Les attaques de WannaCry en mai 2017 ont démontré que de nombreux systèmes Windows n’avaient pas été corrigés pour faire face au problème et combler cette vulnérabilité. La propagation de Petya à l’aide de cette même vulnérabilité indique que de nombreuses organisations peuvent encore être vulnérables, malgré l’attention et la médiatisation que WannaCry a connue.

Comment se protéger contre Petya ?

A titre de mesure immédiate, assurez-vous d’avoir installé les dernières mises à jour de sécurité sur vos ordinateurs et serveurs Windows. À la suite de la propagation de ransomware antérieure, Microsoft a pris la mesure inhabituelle pour libérer des correctifs de sécurité pour les « systèmes non pris en charge » tels que Windows XP et Windows server 2003, qui sont ainsi corrigés et prémunis contre Petya. Les principaux antivirus pour entreprises et particuliers ont pratiquement tous été mises à jour pour contrer ce genre d’attaque. Cependant, la meilleure protection reste une stratégie de sauvegarde fiable, d’autant plus que le cryptage utilisé par Petya ransomware est sécurisé. La seule façon de récupérer les données est par l’auteur du Ransomware ou bien par le recoure à une restauration à partir de sauvegardes. Assurez-vous d’installer les mises à jour critiques proposées par Microsoft Windows, ce qui est également une étape très importante dans la protection d’un système, car le principale faille causant l’infection par petya jusqu’à présent est l’exploit de L’ETERNAlBLUE SMbv1 ; qui a été corrigé depuis plusieurs mois déjà.

Outre les sauvegardes régulières, vous serez heureux d’apprendre que le module d’anti-spam et anti-Ransomware d’OKTEY, qui fait partie de notre technologie est utilisé par Altospam, s’est avéré être une des meilleure défense à venir.