Des hôpitaux, des banques, des compagnies aériennes et plusieurs autres organisations ont été lésés par Petya, y compris en France. Pour tenter de récupérer rapidement les fichiers détournés, de nombreuses institutions paient la rançon exigée par les logiciels de rançon. Mais les problèmes ne s’arrêtent pas là : certains éléments indiquent que le logiciel malveillant efface les données au lieu de les chiffrer, ce qui empêche leur récupération.
Les informations proviennent de Matt Suiche, spécialiste de la sécurité numérique et fondateur de Comae Technologies. Il a publié sur le blog de l’entreprise une analyse qui indique que Petya n’est pas un logiciel de rançon, mais un essuie-glace, c’est-à-dire un logiciel malveillant qui efface des fichiers et cause ainsi des dommages permanents. Kaspersky est arrivé à la même conclusion.
Au moins dans la plupart des cas, les ordinateurs infectés par le virus Petya affichent un message exigeant le paiement de 300 euros en bitcoins pour que les fichiers détournés soient libérés. Mais si le malware est vraiment un essuyeur, ces données ne seront pas récupérées.
En règle générale, les conseils donnés par les experts en sécurité consistent à n’effectuer les paiements de remboursement que dans le dernier cas, car il n’y a jamais de garantie que les données seront récupérées ou que d’autres exigences ne seront pas posées. Néanmoins, les cas dans lesquels les dossiers ont même été libérés après paiement sont nombreux.
Pour de nombreux criminels, il n’y a généralement aucun avantage à mentir, car ils savent que s’ils ne rendent pas les dossiers, les autres victimes comprendront qu’il ne sert à rien de payer. Cela pourrait sérieusement ébranler ce “modèle d’entreprise”. Comme le souligne Suiche lui-même, “le but d’un logiciel de rançon est de générer de l’argent.
Si oui, n’est-ce pas un coup de pied que Petya efface des données, surtout si l’on considère l’ampleur des logiciels malveillants ? Un autre détail étrange est la nouvelle que plusieurs victimes ont effectué des paiements mais n’ont pas pu récupérer les données en raison de la désactivation de l’e-mail des criminels ? pourquoi n’ont-ils pas fourni une autre adresse ?
Suiche explique que le Petya qui a infecté massivement les ordinateurs, surtout en Europe, est une variante d’un véritable logiciel de rançon. Il estime que les logiciels malveillants ont été modifiés pour effacer des données dans le seul but de provoquer un désagrément. Le message demandant une rançon serait donc une distraction.
Pourquoi ? Ce n’est pas clair. Une théorie est que la véritable intention du groupe responsable des logiciels malveillants est de saboter les institutions ukrainiennes pour des raisons politiques. D’autres pays auraient été touchés juste pour attirer l’attention des médias sur la question.
