Le virus Petya : comment ne pas l'attraper, comment le déchiffrer, d'où il vient - les dernières nouvelles concernant le chiffreur Petya (ExPetr). Virus Petya : tout ce qu’il faut savoir sur ce virus
Début mai, environ 230 000 ordinateurs dans plus de 150 pays ont été infectés par un virus ransomware. Avant que les victimes n'aient eu le temps d'éliminer les conséquences de cette attaque, une nouvelle, appelée Petya, a suivi. Les plus grandes entreprises ukrainiennes et russes, ainsi que les institutions gouvernementales, en ont souffert.
La cyberpolice ukrainienne a établi que l'attaque virale avait commencé par le mécanisme de mise à jour du logiciel de comptabilité M.E.Doc, utilisé pour préparer et envoyer les déclarations fiscales. Ainsi, il est devenu connu que les réseaux de Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo et le système électrique du Dniepr n'ont pas échappé à l'infection. En Ukraine, le virus a pénétré les ordinateurs du gouvernement, les PC du métro de Kiev, les opérateurs télécoms et même la centrale nucléaire de Tchernobyl. En Russie, Mondelez International, Mars et Nivea ont été touchés.
Le virus Petya exploite la vulnérabilité EternalBlue du système d'exploitation Windows. Les experts de Symantec et F-Secure affirment que même si Petya chiffre les données comme WannaCry, il reste quelque peu différent des autres types de virus de chiffrement. « Le virus Petya est un nouveau type d'extorsion à intention malveillante : il ne se contente pas de crypter les fichiers sur le disque, mais verrouille l'intégralité du disque, le rendant pratiquement inutilisable », explique F-Secure. "Plus précisément, il crypte la table du fichier maître MFT."
Comment cela se produit-il et ce processus peut-il être évité ?
Virus "Petya" - comment ça marche ?
Le virus Petya est également connu sous d’autres noms : Petya.A, PetrWrap, NotPetya, ExPetr. Une fois entré dans l’ordinateur, il télécharge un ransomware depuis Internet et tente d’attaquer une partie du disque dur avec les données nécessaires au démarrage de l’ordinateur. S'il réussit, le système émet un écran bleu de la mort (« écran bleu de la mort »). Après le redémarrage, un message apparaît concernant la vérification du disque dur vous demandant de ne pas couper l'alimentation. Ainsi, le virus de cryptage se fait passer pour un programme d'analyse du disque système, cryptant en même temps les fichiers avec certaines extensions. A la fin du processus, un message apparaît indiquant que l'ordinateur est bloqué et des informations sur la manière d'obtenir une clé numérique pour décrypter les données. Le virus Petya exige une rançon, généralement en Bitcoin. Si la victime ne dispose pas d'une copie de sauvegarde de ses fichiers, elle est confrontée au choix : payer 300 $ ou perdre toutes les informations. Selon certains analystes, le virus se fait simplement passer pour un ransomware, alors que son véritable objectif est de causer des dégâts massifs.
Comment se débarrasser de Petya ?
Les experts ont découvert que le virus Petya recherche un fichier local et, si ce fichier existe déjà sur le disque, quitte le processus de cryptage. Cela signifie que les utilisateurs peuvent protéger leur ordinateur contre les ransomwares en créant ce fichier et en le définissant en lecture seule.
Bien que ce stratagème astucieux empêche le processus d’extorsion de démarrer, cette méthode peut être davantage considérée comme une « vaccination par ordinateur ». Ainsi, l’utilisateur devra créer lui-même le fichier. Vous pouvez procéder comme suit :
- Vous devez d’abord comprendre l’extension du fichier. Dans la fenêtre Options des dossiers, assurez-vous que la case Masquer les extensions pour les types de fichiers connus n'est pas cochée.
- Ouvrez le dossier C:\Windows, faites défiler vers le bas jusqu'à ce que vous voyiez le programme notepad.exe.
- Faites un clic gauche sur notepad.exe, puis appuyez sur Ctrl + C pour copier puis Ctrl + V pour coller le fichier. Vous recevrez une demande demandant l’autorisation de copier le fichier.
- Cliquez sur le bouton Continuer et le fichier sera créé sous forme de bloc-notes - Copy.exe. Faites un clic gauche sur ce fichier et appuyez sur F2, puis effacez le nom du fichier Copy.exe et entrez perfc.
- Après avoir changé le nom du fichier en perfc, appuyez sur Entrée. Confirmez le changement de nom.
- Maintenant que le fichier perfc a été créé, nous devons le rendre en lecture seule. Pour ce faire, faites un clic droit sur le fichier et sélectionnez « Propriétés ».
- Le menu des propriétés de ce fichier s'ouvrira. En bas, vous verrez « Lecture seule ». Cochez la case.
- Cliquez maintenant sur le bouton Appliquer, puis sur le bouton OK.
Certains experts en sécurité suggèrent de créer les fichiers C:\Windows\perfc.dat et C:\Windows\perfc.dll en plus du fichier C:\windows\perfc afin de mieux vous protéger contre le virus Petya. Vous pouvez répéter les étapes ci-dessus pour ces fichiers.
Félicitations, votre ordinateur est protégé contre NotPetya/Petya !
Les experts Symantec offrent quelques conseils aux utilisateurs de PC pour les empêcher de faire des choses qui pourraient entraîner le verrouillage de fichiers ou une perte d'argent.
- Ne payez pas d'argent aux criminels. Même si vous transférez de l’argent vers le ransomware, rien ne garantit que vous pourrez retrouver l’accès à vos fichiers. Et dans le cas de NotPetya / Petya, cela n’a fondamentalement aucun sens, car le but du ransomware est de détruire des données et non d’obtenir de l’argent.
- Assurez-vous de sauvegarder régulièrement vos données. Dans ce cas, même si votre PC devient la cible d'une attaque de virus ransomware, vous pourrez récupérer tous les fichiers supprimés.
- N'ouvrez pas les e-mails avec des adresses douteuses. Les attaquants tenteront de vous inciter à installer des logiciels malveillants ou tenteront d’obtenir des données importantes pour les attaques. Assurez-vous d'informer les spécialistes informatiques si vous ou vos employés recevez des e-mails ou des liens suspects.
- Utilisez un logiciel fiable. La mise à jour rapide des programmes antivirus joue un rôle important dans la protection des ordinateurs contre les infections. Et bien sûr, vous devez utiliser des produits d’entreprises réputées dans ce domaine.
- Utilisez des mécanismes pour analyser et bloquer les messages de spam. Les e-mails entrants doivent être analysés à la recherche de menaces. Il est important de bloquer tout type de message contenant des liens ou des mots-clés typiques de phishing dans leur texte.
- Assurez-vous que tous les programmes sont à jour. Une correction régulière des vulnérabilités logicielles est nécessaire pour prévenir les infections.
Faut-il s’attendre à de nouvelles attaques ?
Le virus Petya est apparu pour la première fois en mars 2016 et les spécialistes de la sécurité ont immédiatement remarqué son comportement. Le nouveau virus Petya a infecté des ordinateurs en Ukraine et en Russie fin juin 2017. Mais il est peu probable que ce soit la fin. Les attaques de pirates informatiques utilisant des virus ransomwares similaires à Petya et WannaCry seront répétées, a déclaré Stanislav Kuznetsov, vice-président du conseil d'administration de la Sberbank. Dans une interview accordée à TASS, il a averti que de telles attaques se produiraient certainement, mais il est difficile de prédire à l'avance sous quelle forme et dans quel format elles pourraient apparaître.
Si, après toutes les cyberattaques passées, vous n’avez pas encore pris au moins les mesures minimales pour protéger votre ordinateur contre un virus ransomware, alors il est temps de prendre les choses au sérieux.
Des entreprises du monde entier ont été victimes mardi 27 juin d’une cyberattaque à grande échelle de logiciels malveillants diffusés par courrier électronique. Le virus crypte les données des utilisateurs sur les disques durs et extorque de l'argent en bitcoins. Beaucoup ont immédiatement décidé qu'il s'agissait du virus Petya, décrit au printemps 2016, mais les fabricants d'antivirus estiment que l'attaque s'est produite en raison d'un autre nouveau malware.
Dans l'après-midi du 27 juin, une puissante attaque de pirates a touché d'abord l'Ukraine, puis plusieurs grandes entreprises russes et étrangères. Le virus, que beaucoup ont confondu avec le Petya de l'année dernière, se propage sur les ordinateurs équipés du système d'exploitation Windows via un courrier indésirable contenant un lien qui, une fois cliqué, ouvre une fenêtre demandant les droits d'administrateur. Si l'utilisateur autorise le programme à accéder à son ordinateur, le virus commence à exiger de l'argent de l'utilisateur - 300 $ en bitcoins, et le montant double après un certain temps.
Le virus Petya, découvert début 2016, s'est propagé exactement selon le même schéma, c'est pourquoi de nombreux utilisateurs ont décidé que c'était lui. Mais les spécialistes des sociétés de développement de logiciels antivirus ont déjà déclaré que l'attaque était due à un autre virus complètement nouveau, qu'ils étudieront encore. Les experts de Kaspersky Lab ont déjà donné nom de virus inconnu - NotPetya.
Selon nos données préliminaires, il ne s'agit pas du virus Petya, comme mentionné précédemment, mais d'un nouveau malware qui nous est inconnu. C'est pourquoi nous l'avons appelé NotPetya.
Il y aura deux champs de texte intitulés Données de vérification de 512 octets codées en Base64 et Nonce de 8 octets codés en Base64. Afin de recevoir la clé, vous devez saisir les données extraites par le programme dans ces deux champs.
Le programme émettra un mot de passe. Vous devrez le saisir en insérant le disque et en voyant la fenêtre du virus.
Victimes d'une cyberattaque
Les entreprises ukrainiennes sont celles qui ont le plus souffert du virus inconnu. Les ordinateurs de l'aéroport de Boryspil, du gouvernement ukrainien, des magasins, des banques, des médias et des sociétés de télécommunications ont été infectés. Après cela, le virus a atteint la Russie. Les victimes de l'attaque étaient Rosneft, Bashneft, Mondelez International, Mars, Nivea.
Même certaines organisations étrangères ont signalé des problèmes avec leurs systèmes informatiques dus au virus : la société de publicité britannique WPP, la société pharmaceutique américaine Merck & Co, le grand transporteur de fret danois Maersk et d'autres. Costin Raiu, chef de l'équipe de recherche internationale de Kaspersky Lab, a écrit à ce sujet sur son Twitter.
Variante du ransomware Petrwrap/Petya avec contact [email protégé] propagation, dans le monde entier, dans un grand nombre de pays touchés.
Le 27 juin, les agences gouvernementales ukrainiennes et les entreprises privées ont été touchées par un virus ransomware appelé Petya.A. Le Cabinet des ministres, Oschadbank, Ukrenergo, Nova Poshta, l'aéroport de Boryspil, la centrale nucléaire de Tchernobyl et d'autres organisations ont été victimes d'une cyberattaque. "GORDON" explique comment fonctionne le virus Petya.A et s'il est possible de s'en protéger.
Photo : Evgeny Boroday / VKontakte
Denis KONDAKQu’est-ce que Petya.A ?
Il s’agit d’un « virus ransomware » qui crypte les données d’un ordinateur et demande 300 $ pour la clé permettant de les déchiffrer. Il a commencé à infecter les ordinateurs ukrainiens vers midi le 27 juin, puis s'est propagé à d'autres pays : Russie, Grande-Bretagne, France, Espagne, Lituanie, etc. Il y a maintenant un virus sur le site Web de Microsoft a niveau de menace « sérieux ».
L'infection est due à la même vulnérabilité dans Microsoft Windows que dans le cas du virus WannaCry, qui en mai a infecté des milliers d'ordinateurs dans le monde et causé aux entreprises environ 1 milliard de dollars de dégâts.
Dans la soirée, la cyberpolice a signalé que l'attaque du virus visait à des fins de reporting électronique et de gestion de documents. Selon les forces de l'ordre, à 10h30, la prochaine mise à jour de M.E.Doc a été publiée, à l'aide de laquelle des logiciels malveillants ont été téléchargés sur les ordinateurs.
Petya a été distribué par courrier électronique, se faisant passer pour le CV d'un employé. Si une personne tentait d'ouvrir un CV, le virus lui demandait de lui accorder les droits d'administrateur. Si l’utilisateur acceptait, l’ordinateur redémarrait, le disque dur était alors crypté et une fenêtre apparaissait demandant une « rançon ».
VIDÉO
Processus d'infection par le virus Petya. Vidéo : G DATA Software AG / YouTube
Dans le même temps, le virus Petya lui-même présentait une vulnérabilité : il était possible d'obtenir la clé pour décrypter les données à l'aide d'un programme spécial. Cette méthode a été décrite par Maxim Agadzhanov, rédacteur en chef de Geektimes, en avril 2016.
Cependant, certains utilisateurs préfèrent payer la rançon. Selon les données de l’un des portefeuilles Bitcoin les plus connus, les créateurs du virus ont reçu 3,64 bitcoins, ce qui correspond à environ 9 100 dollars.
Qui est touché par le virus ?
En Ukraine, les victimes de Petya.A étaient principalement des entreprises clientes : agences gouvernementales, banques, médias, sociétés énergétiques et autres organisations.
Entre autres, les entreprises suivantes ont été touchées : Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicentre, Channel 24, ainsi que l'aéroport de Boryspil, le Cabinet des ministres de l'Ukraine, l'État. Service Fiscal et autres.
L’attaque s’est également étendue aux régions. Par exemple, n et à la centrale nucléaire de Tchernobyl, en raison d'une cyberattaque, la gestion électronique des documents a cessé de fonctionner et la station est passée à la surveillance manuelle des niveaux de rayonnement. À Kharkov, le fonctionnement du grand supermarché Rost a été bloqué et à l'aéroport, l'enregistrement des vols a été basculé en mode manuel.
En raison du virus Petya.A, les caisses enregistreuses du supermarché Rost ont cessé de fonctionner. Photo : Kh...evy Kharkov / VKontakte
Selon le journal, en Russie, les sociétés Rosneft, Bashneft, Mars, Nivea et d'autres ont été attaquées.
Comment se protéger de Petya.A ?
Des instructions sur la façon de vous protéger contre Petya.A ont été publiées par le service de sécurité ukrainien et la cyberpolice.
La cyberpolice conseille aux utilisateurs d'installer les mises à jour Windows à partir du site officiel de Microsoft, de mettre à jour ou d'installer un antivirus, de ne pas télécharger de fichiers suspects à partir des e-mails et de déconnecter immédiatement l'ordinateur du réseau si des irrégularités sont constatées.
Le SBU a souligné qu'en cas de suspicion, l'ordinateur ne peut pas être redémarré, car le cryptage des fichiers se produit précisément lors du redémarrage. Les services de renseignement ont recommandé aux Ukrainiens de sauvegarder leurs fichiers précieux sur un support séparé et de faire une copie de sauvegarde du système d'exploitation.
Vlad Styran, expert en cybersécurité a écrit sur Facebook que la propagation du virus sur un réseau local peut être arrêtée en bloquant les ports TCP 1024-1035, 135, 139 et 445 sous Windows. Il existe des instructions sur Internet expliquant comment procéder.
Spécialistes de la société américaine Symantec
Le ransomware est apparu en octobre 2017. Selon les rapports actuels, la dernière version du ransomware affecte principalement les organisations russes et ukrainiennes.
Ce malware pénètre dans les ordinateurs de la victime et exerce ses activités en secret, et l'ordinateur peut être en danger. Petya crypte les fichiers avec les algorithmes RSA-4096 et AES-256, il est même utilisé à des fins militaires. Un tel code ne peut être déchiffré sans clé privée.
Comme d'autres ransomwares comme le virus Locky, le virus CryptoWall et CryptoLocker, cette clé privée est stockée sur un serveur distant, auquel on ne peut accéder qu'en payant une rançon au créateur du virus.
Contrairement aux autres ransomwares, une fois ce virus lancé, il redémarre immédiatement votre ordinateur et lorsqu'il redémarre, un message apparaît à l'écran :
« N'ÉTEIGNEZ PAS VOTRE PC ! SI VOUS ARRÊTEZ CE PROCESSUS, VOUS POUVEZ DÉTRUIRE TOUTES VOS DONNÉES ! VEUILLEZ ASSURER QUE VOTRE ORDINATEUR EST CONNECTÉ À LA CHARGE ! »
Bien que cela puisse ressembler à une erreur système, Petya effectue en réalité un cryptage silencieusement en mode furtif.
Si l'utilisateur tente de redémarrer le système ou d'arrêter le cryptage des fichiers, un squelette rouge clignotant apparaît à l'écran avec le texte « APPUYEZ SUR TOUTE TOUCHE ! » Enfin, après avoir appuyé sur la touche, une nouvelle fenêtre apparaîtra avec une demande de rançon. Dans cette note, il est demandé à la victime de payer 0,9 bitcoin, soit environ 400 dollars.
Cependant, ce prix ne concerne qu’un seul ordinateur ; par conséquent, pour les entreprises qui possèdent de nombreux ordinateurs, le montant peut se chiffrer en milliers. Ce qui distingue également ce ransomware, c'est qu'il vous donne une semaine complète pour payer la rançon, au lieu des 12 à 72 heures habituelles que donnent les autres virus de cette catégorie.
De plus, les problèmes avec Petya ne s'arrêtent pas là. Une fois que ce virus pénètre dans le système, il tentera de réécrire les fichiers de démarrage de Windows, ou ce qu'on appelle Boot Writer, requis pour démarrer le système d'exploitation.
Vous ne pourrez pas supprimer le virus Petya de votre ordinateur à moins de restaurer les paramètres du Master Boot Recorder (MBR).
Même si vous parvenez à corriger ces paramètres et à supprimer le virus de votre système, vos fichiers resteront malheureusement cryptés car la suppression du virus ne décrypte pas les fichiers, mais supprime simplement les fichiers infectieux.
Bien entendu, la suppression du virus est importante si vous souhaitez continuer à travailler avec votre ordinateur. Nous vous recommandons d’utiliser des outils antivirus fiables tels que , pour prendre en charge la suppression de Petya.
Un virus appelé NotPetya perturbe la centrale électrique de Tchernobyl
Le 27 juin 2017, un virus appelé NotPetya imitant Petya est entré dans les systèmes informatiques d'entreprises et d'agences gouvernementales internationales. Pour cette raison, les systèmes n’ont pas pu démarrer normalement. Des frais de 300 $ sont requis en échange de l'accès. Une analyse plus approfondie a montré que le virus n'est pas le vrai Petya. .
Témoin de l’ampleur de l’attaque, l’Ukraine a été largement touchée. En raison de pannes du système, l'aéroport de Kiev a dû annuler certains vols. De plus, les travailleurs de la centrale électrique de Tchernobyl ont dû ajuster manuellement les niveaux de rayonnement.
Il est intéressant de noter que certains informaticiens ont découvert que le virus se propage via des mises à jour corrompues associées au fabricant de logiciels informatiques MeDoc en Ukraine. Toutefois, de telles accusations nécessitent encore des preuves supplémentaires.
Heureusement, d'autres experts en cybersécurité ont trouvé une solution temporaire pour empêcher l'attaque NotPetya/Petya.a.
L'image ci-dessus montre la demande de rançon de Petya.
Méthode 1. (Mode sans échec)
Sélectionnez "Mode sans échec avec réseau" Méthode 1. (Mode sans échec)
Sélectionnez "Activer le mode sans échec avec réseau"
Sélectionnez "Mode sans échec avec invite de commande" Méthode 2. (Restauration du système)
Sélectionnez "Activer le mode sans échec avec invite de commande"
Méthode 2. (Restauration du système)
Tapez "restauration cd" sans les guillemets et appuyez sur "Entrée"
Méthode 2. (Restauration du système)
Tapez "rstrui.exe" sans les guillemets et appuyez sur "Entrée".
Méthode 2. (Restauration du système)
Dans la fenêtre "Restauration du système" qui apparaît, sélectionnez "Suivant"
Méthode 2. (Restauration du système)
Sélectionnez votre point de restauration et cliquez sur "Suivant"
Méthode 2. (Restauration du système)
Cliquez sur "Oui" et lancez la récupération du système ⇦ ⇨Glisser 1 depuis 10
Comment ce virus se propage-t-il et comment peut-il pénétrer dans un ordinateur ?
Le virus Petya se propage généralement par le biais de courriers indésirables contenant des liens de téléchargement Dropbox vers un fichier appelé « application Folder-gepackt.exe » qui leur est attaché. Le virus est activé lorsqu'un fichier spécifique est téléchargé et ouvert. Puisque vous savez déjà comment ce virus se propage, vous devriez avoir quelques idées sur la façon de protéger votre ordinateur contre les attaques de virus.
Bien entendu, vous devez être prudent lorsque vous ouvrez des fichiers électroniques envoyés par des utilisateurs suspects et des sources inconnues qui présentent des informations qui ne correspondent pas à celles que vous attendez. Vous devez également éviter les e-mails entrant dans la catégorie « spam », car la plupart des fournisseurs de services de messagerie filtrent automatiquement les e-mails et les placent dans les répertoires appropriés.
Cependant, vous ne devez pas faire confiance à ces filtres, car des menaces potentielles peuvent passer à travers eux. Assurez-vous également que votre système dispose d’un outil antivirus fiable. Enfin, il est toujours recommandé de conserver des sauvegardes sur un disque externe en cas de situations dangereuses.
Comment puis-je supprimer le virus Petya de mon PC ?
Comme nous l'avons déjà mentionné, la suppression du virus Petya est essentielle pour la sécurité de vos futurs fichiers. De plus, la récupération de données à partir de disques externes ne peut être effectuée que lorsque le virus et tous ses composants sont complètement supprimés du PC. Sinon, Petya peut pénétrer et infecter vos fichiers sur des disques externes.
Vous ne pouvez pas supprimer Petya de votre ordinateur à l’aide d’une simple procédure de désinstallation car cela ne fonctionnera pas avec ce malware. Cela signifie que vous devez supprimer ce virus automatiquement.