A la différence des codes actuels, tels que Locky, CryptoWall ou TeslaCrypt, qui chiffrent certains fichiers du système, Petya chiffre l’ensemble des disques durs installés. La campagne actuellement en cours vise les entreprises. Dans un email au service des ressources humaines, il y a une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible.
Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables.
Il est donc recommandé aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Si les entreprises paient les pirates ont-ils “l’honnêteté” de déverrouiller la machine ?
A-t-on des informations en ce sens ?
Sur les autres (Locky notamment) , en général en effet ils envoient de quoi déverrouiller. Maintenant comme mentionné dans l’article, sur ce nouveau crypto, aucune preuve n’est faite de leur honnêteté.
A savoir aussi qu’il est rare que les entreprises se “vantent” d’avoir payé ce genre de choses.
Maintenant mieux vaut redoubler de vigilance, & avoir quelques sauvegardes d’avance, plutôt que de devoir payer une rançon qui peut très vite chiffrer.
Si même la rançon chiffre, est-ce qu’il faut payer une rançon pour la déchiffrer ? oO
En tous les cas, ces trucs sont une vraie plaie .. il faut effectivement faire de la sauvegarde sur un média “hors ligne” (ie déconnecté sauf le temps de sauvegarder)
Partition MBR . Ce passe quoi si le MBR est protégé par le bios??
Et si on a une partition GPT (Derniers Bios UEFI et OS) ??
Pas sur que ça touche beaucoup de pc récent ce truc
le seul moyen de mettre un terme à la prolifération ce genre de daubes, c’est de responsabiliser l’interface chaise écran et de lui expliquer qu’il faut arrêter de cliquer sur tout et n’importe quoi, sans se soucier auparavant de vérifier si le lien ou le fichier n’est pas vérolé !
c’est pas des “Zero-Day” les Ransomware, que je sache ?!
En général tu as le droit à une réponse toute faite des utilisateurs. On a pas un antivirus pour ça ??? XD
Locky a fait des victimes dans mon entreprise, par le biais de faux mails avec des pièces jointes.
On leur a expliqué, on leur a montré des exemple, ils ont compris.
La ou ça s’est compliqué, c’est quand au bout de quelques jours les faux mails reçus se sont mis à provenir d’adresses utilisées dans l’entreprise, et la deuxième complication c’est quand Locky était contenu dans un fichier Excel avec macro, or les fichiers Excel sont énormément utilisés la ou je bosse.
Très difficile à déceler donc par l’utilisateur lambda.
et sinon on parle des types qui ouvrent des exécutables en pièces jointe ou pas ?
Comment le système peut-il exécuter sans broncher ce genre de logiciel ?
Il y a vraiment beaucoup de progrès à faire, Apple et Microsoft devrait se sortir les doigts et nous sortir quelque chose de réellement nouveau qui permette au systèmes d’analyser ce qui se passe sur la machine, et pas seulement comme actuellement du vent et du design.