Petya : une échappatoire contre le ransomware agressif

Le par  |  10 commentaire(s)
Petya

Il est possible de récupérer gratuitement ses fichiers après une infection par le ransomware Petya. Pas forcément simple à mettre en œuvre, une méthode a vu le jour.

Après Locky, le véritable marché des ransomwares a récemment vu l'arrivée de Petya. Sa particularité est son agressivité puisque la seule prise en otage de quelques fichiers ne lui suffit pas. Petya va plus loin en bloquant totalement l'ordinateur. Pour cela, il écrase le Master Boot Record du disque dur et chiffre la Master File Table sur les partitions NTFS (système de fichiers de Windows). Cette MFT contient les informations sur tous les fichiers et leur répartition.

La procédure malveillante laisse croire à une vérification du disque dur après un plantage et un redémarrage. La victime aura au final droit à une tête de mort en caractères ASCII et une demande de rançon (0,9 bitcoin) pour espérer récupérer ses fichiers et déchiffrer le disque dur prétendument chiffré avec un algorithme dit de niveau militaire.

Un bon samaritain (@leostone) a mis en ligne un outil pour se dépêtrer de Petya sans devoir payer une rançon. La procédure nécessite de récupérer des données d'un disque dur affecté pour obtenir une clé de déchiffrement promise en quelques secondes. Manifestement, il était simplement question d'un encodage en Base64.

Pour BleepingComputer.com, l'expert en sécurité informatique Lawrence Abrams a confirmé la validité de l'outil. Chercheur en sécurité chez Emisoft, Fabian Wosar a de son côté développé un outil Petya Sector Extractor permettant d'extraire facilement les données à fournir à l'outil de Leostone.

Bien évidemment, le disque dur infecté doit être connecté à un autre ordinateur afin de pouvoir y accéder (extraire les données pour l'outil de Leostone). Une fois la clé de déchiffrement obtenue, il est à replacer dans l'ordinateur d'origine et il faudra saisir la clé sur l'écran affiché par Petya.

Petya-decrypting
L'existence de cette faille pour se débarrasser de Petya sans payer de rançon sera nécessairement portée à la connaissance de l'auteur du ransomware. Le code du nuisible pourrait dès lors être prochainement modifié en fonction.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1889586
J'ai eu droit à "réparer" un laptop infecté par le ransomware TeslaCrypt 4.0.

Fichiers cryptés en RSA 4096 bits et pas d'outils (encore ?) de dispo pour décrypter les fichiers.

Ultra tendu quand même. Et bien entendu, impossible de restaurer les fichiers à une date antérieure.
Le #1889587
Ces ransomware me foutent littéralement la gerbe
Le #1889598
Commencer par UTILISER son Windows en mode UTILISATEUR (et pas se connecter comme un inconscient en tant qu'admin pour s'éviter de taper deux ou trois mots de passe)... La moindre intrusion et le pirate a choppé le pompon en accédant toute la machine (jusqu'au MBR).
Incroyable que MS n'impose pas ce mode de fonctionnement dès la première installation.
Le #1889622
Les gars, c'est le moment d'apprendre le Russe !
Tout le monde en clavier russe
Le #1889704
"une demande de rançon (0,9 bitcoin)"

C'est le ransomware le moins cher, les autres sont au moins à 1Bc

On ne clique jamais sur un mail dont on ne connait pas la provenance, surtout sur des fichiers attachés quelqu'ils soient.
Faire aussi les mises à jour d'Office, d'acrobat reader, etc ...

Déjà avec ça, on évite pas mal de soucis ...
Le #1889705
skynet a écrit :

"une demande de rançon (0,9 bitcoin)"

C'est le ransomware le moins cher, les autres sont au moins à 1Bc

On ne clique jamais sur un mail dont on ne connait pas la provenance, surtout sur des fichiers attachés quelqu'ils soient.
Faire aussi les mises à jour d'Office, d'acrobat reader, etc ...

Déjà avec ça, on évite pas mal de soucis ...


On n'utilise pas Windows en mode admin sauf aux moments où c'est strictement nécessaire. Règle n°1 de la sécurité.
Le #1889746
mouarf76 a écrit :

skynet a écrit :

"une demande de rançon (0,9 bitcoin)"

C'est le ransomware le moins cher, les autres sont au moins à 1Bc

On ne clique jamais sur un mail dont on ne connait pas la provenance, surtout sur des fichiers attachés quelqu'ils soient.
Faire aussi les mises à jour d'Office, d'acrobat reader, etc ...

Déjà avec ça, on évite pas mal de soucis ...


On n'utilise pas Windows en mode admin sauf aux moments où c'est strictement nécessaire. Règle n°1 de la sécurité.


Règle 0 de la tranquilité: on n'utilise pas windows tout court
Le #1889786
LIAR a écrit :

mouarf76 a écrit :

skynet a écrit :

"une demande de rançon (0,9 bitcoin)"

C'est le ransomware le moins cher, les autres sont au moins à 1Bc

On ne clique jamais sur un mail dont on ne connait pas la provenance, surtout sur des fichiers attachés quelqu'ils soient.
Faire aussi les mises à jour d'Office, d'acrobat reader, etc ...

Déjà avec ça, on évite pas mal de soucis ...


On n'utilise pas Windows en mode admin sauf aux moments où c'est strictement nécessaire. Règle n°1 de la sécurité.


Règle 0 de la tranquilité: on n'utilise pas windows tout court


C'est déjà Vendredi ???
Le #1889808
Trucmuch a écrit :

LIAR a écrit :

mouarf76 a écrit :

skynet a écrit :

"une demande de rançon (0,9 bitcoin)"

C'est le ransomware le moins cher, les autres sont au moins à 1Bc

On ne clique jamais sur un mail dont on ne connait pas la provenance, surtout sur des fichiers attachés quelqu'ils soient.
Faire aussi les mises à jour d'Office, d'acrobat reader, etc ...

Déjà avec ça, on évite pas mal de soucis ...


On n'utilise pas Windows en mode admin sauf aux moments où c'est strictement nécessaire. Règle n°1 de la sécurité.


Règle 0 de la tranquilité: on n'utilise pas windows tout court


C'est déjà Vendredi ???


Avec les vrais trolls, c'est tous les jours dredi ...
Le #1889850
LIAR a écrit :

mouarf76 a écrit :

skynet a écrit :

"une demande de rançon (0,9 bitcoin)"

C'est le ransomware le moins cher, les autres sont au moins à 1Bc

On ne clique jamais sur un mail dont on ne connait pas la provenance, surtout sur des fichiers attachés quelqu'ils soient.
Faire aussi les mises à jour d'Office, d'acrobat reader, etc ...

Déjà avec ça, on évite pas mal de soucis ...


On n'utilise pas Windows en mode admin sauf aux moments où c'est strictement nécessaire. Règle n°1 de la sécurité.


Règle 0 de la tranquilité: on n'utilise pas windows tout court


J'imagine tellement ton message avec marquer : Envoyé depuis mon Windows Vista
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]