De plus amples détails sont en train d’apparaître sur l’attaque par rançon qui a touché des milliers d’ordinateurs dans le monde entier. Une entreprise en Ukraine semble être le patient zéro, et les chercheurs ont réussi à trouver un moyen d’empêcher l’infection de se propager davantage.
Le logiciel de rançon Petya se répand en raison d’une vulnérabilité dans Windows impliquant le protocole de transfert de données SMB ? utilisé par WannaCry. Microsoft a corrigé ce défaut en mars ; c’est aux entreprises de mettre à jour leurs PC.
Mais selon les chercheurs de Kaspersky, Petya peut se propager à des ordinateurs déjà mis à jour s’ils sont sur le même réseau qu’un PC vulnérable. Il recueillera les mots de passe et les références d’autres ordinateurs, et les utilisera pour se connecter et proliférer.
Colin Scott, analyste informatique en Écosse, déclare dans son blog que “si un seul PC est infecté et que le malware a accès aux informations d’identification de l’administrateur de domaine, alors vous êtes déjà foutu. Même avec la plupart des ordinateurs mis à jour dans son entreprise, dit-il, “nous avons perdu beaucoup de serveurs et de clients.
Chaque attaque se compose de deux éléments qui agissent ensemble : un logiciel de rançon qui crypte le système de fichiers de l’ordinateur ; et un voleur d’informations qui extrait les noms d’utilisateur et les mots de passe des victimes et envoie les données à un serveur contrôlé par des pirates informatiques. Ensuite, ces identifiants sont utilisés par Petya pour se propager à d’autres machines au sein d’un réseau infecté.
Sommaire
Vaccin
Le chercheur en sécurité Amit Serper a trouvé un moyen d’empêcher Petya de crypter ses fichiers. Malheureusement, cela ne permet pas de réparer les dommages causés aux ordinateurs déjà infectés, mais empêche le logiciel de rançon de continuer à se propager.
En gros, il suffit de créer un fichier appelé “perfc” dans le dossier C:Windows et de le mettre en lecture seule. D’autres chercheurs recommandent également de créer les fichiers “perfc.dat” et “perfc.dll” dans le même dossier. La raison est simple : Petya cherche un fichier “perfc” en lecture seule dans ce dossier et, s’il existe déjà, le processus de cryptage est arrêté.
Après l’infection, Petya attend de 10 à 60 minutes pour redémarrer l’ordinateur. Ensuite, il affiche un faux message “CHKDSK” en noir et blanc, disant qu’une erreur s’est produite et que le système vérifie l’intégrité du disque. En fait, Petya crypte tous les fichiers sur le disque, y compris le MBR, ce qui permet à l’ordinateur de localiser son système d’exploitation et d’autres composants clés.
Enfin, il montre un message demandant une rançon de 300 euros en bitcoin, mais cela ne sert à rien de payer : il faut prouver le paiement aux pirates, seulement que l’e-mail de contact a été désactivé. Pourtant, le portefeuille de bitcoin de Petya accumule déjà plus de 10 000 euros.
Patient zéro
Selon Bloomberg, plusieurs entités soulignent que le coupable de la prolifération de Petya est la société ukrainienne M.E.Doc, qui produit des logiciels de comptabilité.
L’unité de cybercriminalité de la police ukrainienne affirme que M.E.Doc a publié une mise à jour du logiciel avec le malware, mais la société ne le savait pas. Microsoft affirme dans un blog officiel que “certaines infections actives de logiciels de rançon ont commencé par le processus de mise à jour légitime de M.E.Doc. Kaspersky et FireEye renforcent le chœur.
M.E.Doc affirme sur Facebook que les “grandes sociétés d’antivirus” ont examiné ses logiciels et qu’elle n’est pas responsable de la propagation des logiciels malveillants.
Il convient de noter qu’il y a un désaccord sur le nom correct des logiciels de rançon. Dans les premières heures de l’attaque, les chercheurs ont cru qu’il s’agissait d’une évolution de Petya, qui infecte les ordinateurs depuis 2016 ; en fait, il emprunte le code de cette menace plus ancienne. Cependant, il existe suffisamment de différences entre eux pour motiver certains chercheurs à appeler le nouveau malware NotPetya.
D’une manière ou d’une autre, le fait est qu’elle s’est répandue dans plus de 12 500 ordinateurs et 65 pays, selon Microsoft. En France, les rançons ont touché des hôpitaux pour cancéreux dans la campagne de Paris, dans des villes comme Barretos, Jales et Fernandópolis. Les soins aux patients ont été partiellement rétablis depuis lors.
