Clicky

Petya, le nouveau ransomware qui vise les entreprises

Petya a peut-être un nom sympathique mais il risque de donner des sueurs froides à pas mal de DSI. Et pour cause puisque ce nom fait en réalité référence à un nouveau ransomware très méchant, un ransomware qui vise avant tout les entreprises. Du coup, si vous voulez éviter la banque-route, il sera sans doute préférable de faire plusieurs sauvegardes de vos données.

Ces programmes malveillants sont très à la mode en ce moment. Il ne se passe plus une semaine sans qu’un nouveau-venu ne débarque sur la toile.

Ransomware Petya

Un nouveau ransomware vient d’apparaître et il est très très méchant.

Après Locky ou CryptoWall, c’est donc au tour de Petya de rentrer en scène. Détecté par le G Data Security Labs, ce ransomware est d’ailleurs un des pires de sa catégorie.

Petya vise avant tout les entreprises

Comme indiqué un peu plus haut, il vise surtout les entreprises et il se répand par le biais d’un mail adressé aux ressources humaines. Il prend la forme d’une demande d’embauche et il contient un lien pointant vers un prétendu CV hébergé sur Dropbox.

Mais voilà, le fichier en question n’a rien à voir avec Word, OpenOffice ou même Pages et il s’agit en réalité d’un exécutable. Si l’utilisateur cherche à l’ouvrir, alors le virus chargera et fera planter son ordinateur pour le forcer à le redémarrer.

Là, l’outil va se charger en mémoire et afficher une fenêtre ressemblant à un simple CheckDisk. Manque de chance, le programme en question ne va pas vérifier le disque. Non, en réalité, il va commencer à chiffrer toutes les données stockées dessus et cela vaut aussi pour les fichiers systèmes.

Une fois cette étape franchie, il affichera un message invitant l’utilisateur à payer une rançon en se connectant à une adresse spécifique située sur TOR pour récupérer la clé de chiffrement. Le prix de la rançon sera doublé au bout de sept jours.

Ce ransomware chiffrera l’intégralité du disque dur

Alors bien sûr, rien ne dit que le pirate fournira réellement la clé si la rançon est payée et c’est précisément pour cette raison qu’il est indispensable de prendre les devants et de conserver une copie de sauvegarde des données de l’entreprise à l’abri.

En outre, il ne faut pas perdre de vue le fait que la plupart des ransomwares s’attaquent aussi aux lecteurs réseaux montés sur le système.

Concernant Petya, sachez que Mobile Security Zone a publié un article complet sur le sujet, avec des instructions pour supprimer le virus.

Il serait visiblement possible de lui couper l’herbe sous le pied en réparant le MBR du disque et en tuant certains processus mais je n’ai pas eu l’occasion de tester la procédure alors je ne peux pas vous assurer qu’elle fonctionne.

Share this post

Frédéric Pereira

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.