Qu'est-ce que le ransomware Petya/NotPetya ?

Comment le virus Petya se propage-t-il et infecte-t-il les équipements ?

Petya exploite la vulnérabilité CVE-2017-0144 dans l'implémentation du protocole SMB (Server Message Block) de Microsoft. Après avoir exploité la vulnérabilité, cette attaque chiffre, entre autres, l'enregistrement de démarrage maître (MBR). Il envoie ensuite un message à l'utilisateur pour qu'il effectue un redémarrage du système, après quoi ce dernier devient inaccessible. Le système d'exploitation est incapable de localiser les fichiers et il n'existe aucun moyen de déchiffrer les fichiers. C'est pourquoi Petya est généralement considéré comme un « effaceur » (wiper) plutôt qu'un ransomware, comme on le pensait au départ.

La nouvelle variante a ajouté un mécanisme de propagation similaire à celui observé dans WannaCry en mai 2017. Une série de patchs critiques avaient été publiés par Microsoft dès le 14 mars pour supprimer la vulnérabilité sous-jacente dans les versions prises en charge de Windows, mais de nombreuses entreprises n'avaient pas encore appliqué ces patchs.

Comment se protéger contre Petya ?

Pour se protéger contre Petya, la meilleure solution consiste à prendre des mesures proactives. Comme le virus Petya se propage apparemment par le biais d'e-mails de phishing ou de spam, pensez à vérifier la légitimité du contenu d'un e-mail. Passez le curseur de votre souris sur un lien pour voir s'il vous dirige vers une URL approuvée. Ou, si vous n'êtes pas sûr du contenu ou de la source d'un e-mail, effectuez une recherche en ligne rapide pour trouver d'autres instances de cette campagne et en savoir plus sur la légitimité de l'e-mail. Vous devez également effectuer une sauvegarde complète de votre équipement. Si une machine est infectée par le virus Petya, il n'est pas toujours possible de récupérer les données. Vous pouvez sauvegarder vos données stockées sur un disque dur externe, dans le cloud ou sur une autre option de stockage tierce. Le plus important est d'appliquer toutes les mises à jour des systèmes et des applications chaque fois qu'elles sont disponibles, car Petya (et les attaques de ce type) exploitent des vulnérabilités non corrigées pour infiltrer les systèmes.

Quelle est la différence entre Petya et NotPetya ?

Le malware Petya existe depuis un certain temps déjà, l'attaque de juin 2017 marquant l'apparition d'une nouvelle variante. Cette variante est parfois appelée NotPetya en raison du changement de comportement du malware. Petya et NotPetya utilisent des clés différentes pour le chiffrement et se caractérisent par un comportement de redémarrage, des affichages et des notes uniques. En revanche, l'un et l'autre sont tout aussi destructeurs.

Historique et évolution du ransomware Petya

Petya a été découvert en mars 2016 par des chercheurs en sécurité qui ont remarqué que, même si le malware infectait moins de systèmes que d'autres souches actives, le virus présentait toujours un mode opératoire unique, ce qui a incité de nombreux acteurs du secteur à surveiller de près l'attaque avancée. Plus tard dans l'année, une autre variante de Petya a fait son apparition. Elle contenait une fonctionnalité supplémentaire qui était activée dans le cas où le virus ne parvenait pas à obtenir un accès administrateur à une machine.

Juin 2017 a vu l'émergence de la dernière souche en date de Petya, responsable de l'interruption des activités d'entreprises du monde entier en quelques heures à peine. Ce sont les fonctionnalités mises à jour de la nouvelle variante qui ont conduit certains professionnels de la sécurité à baptiser le virus « NotPetya ».

Quelles mesures faut-il prendre ?

Si vous avez déjà pris les mesures proactives décrites ci-dessus, vous devrez être protégé contre Petya/NotPetya. Si vous avez été infecté par Petya ou un autre type de ransomware, rendez-vous sur le site NoMoreRansom.org. Et rappelez-vous : ne versez jamais de rançon car si vous avez affaire à Petya, vous ne récupérerez jamais vos fichiers de toute façon.