Rechercher

Petya : Les Victimes Vont Pouvoir Récupérer Gratuitement Leurs Données

Source : Shutterstock

Les internautes victimes des attaques du ransomware Petya ont de la chance. Il existe désormais un outil gratuit qui leur permet de décrypter et récupérer leurs fichiers.

Petya est un programme de ransomware qui est apparu pour la première fois en mars 2016. A l’époque, il avait surpris les chercheurs en sécurité car contrairement à d’autres ransomwares de chiffrement ciblant des fichiers spécifiques tels que des images ou des documents, Petya avait endommagé des disques durs entiers, empêchant le redémarrage des ordinateurs touchés.

Au cours de l’année dernière, l’auteur de Petya, connu sous le nom de Janus, a créé trois versions distinctes du logiciel malveillant : Red Petya, Green Petya et Goldeneye. Deux autres variantes de Petya ont également été découvertes, mais les chercheurs pensent qu’elles ont été créées par des inconnus qui n’ont pas eu un accès direct au code de Petya, et qui en ont modifié le code exécutable, en utilisant notamment des outils d’ingénierie pour y insérer leurs propres clés de cryptage.

L’une de ces deux versions « piratées » est le destructeur ransomware NotPetya, qui a frappé de nombreuses entreprises et organisations en Ukraine et dans le monde entier, en juin dernier. La seconde version, PetrWrap, a été utilisée lors d’attaques ciblées contre des entreprises en mars.

Le nouvel outil de décryptage de Petya a été développé par un analyste indépendant des ransomwares, connu sous le nom de Hasherezade, qui collabore notamment avec le fournisseur d’antivirus Malwarebytes. L’outil vise ainsi à lutter contre Red Petya, Green Petya et Goldeneye, que Janus a lancé plus tôt ce mois-ci. En tant que tel, il fonctionne sur les données cryptées par les versions originelles de Petya et non pas avec PetrWrap et NotPetya.

« Si vous possédez une sauvegarde d’un disque dur ayant été crypté par Petya, vous pouvez désormais le sortir de votre tiroir et dire au revoir à Petya », a déclaré Hasherezade dans un article sur le blog Malwarebytes Labs.

Toutes les versions de Petya écrasent le code de démarrage du disque dur (MBR) sur un ordinateur affecté. Il s’agit d’une petite région au début d’un disque dur qui lance le système d’exploitation. Il contient également des informations sur les partitions du disque ainsi que leur système de fichiers.

Ainsi, le ransomware écrit son propre code malveillant sur le MBR (Master Boot Record) et s’exécute dès que le système est redémarré. Le but de ce code est de crypter les données de la MFT (Master File Table), un index de tous les autres fichiers stockés sur un disque dur, y compris leur nom, leur taille, et leur emplacement sur ce disque.

Restaurer un MBR endommagé est assez simple, mais avec une MFT corrompu, Windows ne sait plus comment lire les fichiers du disque dur, d’autant plus que la plupart d’entre eux sont fragmentés entre plusieurs secteurs de ce disque. En d’autres termes, le système d’exploitation est, dans ce cas, totalement aveugle.

Green Petya et Goldeneye possèdent également un composant en mode utilisateur qui crypte des fichiers avec des extensions spécifiques, directement sous Windows, avant que l’ordinateur ne soit forcé de redémarrer et que le cryptage de la MFT s’exécute.

Pour traiter les deux types de cryptage utilisés par Petya, l’outil d’Hasherezade est disponible comme programme Windows mais également en tant que CD indépendant. Cet outil peut être utilisé pour extrait l’ID de la victime, une chaîne de code unique qui identifie chaque victime et est cryptographiquement liée à la clé principale. Cette chaîne est nécessaire pour récupérer les clés individuelles utilisées dans le chiffrement des données des victimes. Une fois que les utilisateurs ont récupéré leurs clés uniques, ils peuvent télécharger et exécuter des programmes spéciaux de décryptage des données spécialement conçus pour des fichiers ayant été affectés par Petya.

« Au cours de nos tests, nous avons constaté que, dans certains cas, Petya peut se bloquer pendant le décryptage ou causer d’autres problèmes potentiellement préjudiciables à vos données », a déclaré Hasherezade. « C’est pourquoi, avant toute tentative de décryptage, nous vous recommander de faire une sauvegarde supplémentaire ».

Il est toujours recommandé de créer des copies de tous les disques durs affectés par un ransomware, en utilisant un logiciel d’imagerie de disque, ou des outils similaires. La récupération des données ne doit jamais être tentée si aucune sauvegarde des fichiers affectés n’existe, car ceux-ci pourraient être encore endommagés.

Les chercheurs conseillent généralement de ne pas payer les malfaiteurs pour obtenir des clés de décryptage, car cela les encourage à lancer encore davantage d’attaques. Ainsi, les programmes de ransomwares ont fait gagner environ 2,5 millions de dollars par mois à leurs créateurs, l’année dernière, selon des recherches menées par Google, l’Université of California San Diego, l’Université de New York et Chainalysis.

Les victimes de ransomware qui décident de ne pas payer les attaquants doivent impérativement conserver des copies de leurs fichiers cryptés au cas où des solutions de récupération seraient disponibles ultérieurement. Par le passé, les forces de l’ordre ont saisi des serveurs utilisés par les auteurs des ransomwares et ont libéré des clés de décryptage pour aider les victimes. Les chercheurs ont également trouvé des failles dans certains programmes qui leur ont permis de trouver des outils de décryptage.

Le site web NoMoreRansom.org a été mis en place par les forces de l’ordre et des entreprises de sécurité afin de fournir des conseils pour traiter les infections par ransomware, et héberge également de nombreux programmes de décryptage pour les variantes du logiciel malveillant. Bien sûr il est préférable d’avoir une procédure de sauvegarde solide pour vos données sensibles, ainsi vous n’aurez jamais besoin d’avoir recours à ces outils.

 

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC