Infos

Petya possède un suppléant : Mischa

Apparu au mois de mars, le ransomware Petya a ouvert une nouvelle voie dans le développement des ransomwares. Il s’agissait du premier cas d’un malware qui allait au-delà du chiffrement des fichiers sur les disques locaux et partagés et qui préférait s’attaquer à la table de fichiers principale.

Ceci étant dit, Petya n’était pas infaillible et les chercheurs ont été rapidement en mesure de créer un outil de restauration de certains des fichiers chiffrés par ce malware. Les individus malintentionnés n’ont pas perdu leur temps et ils ont trouvé le moyen de contourner une autre lacune de Petya : sa dépendance vis-à-vis de la volonté de la victime qui doit octroyer au malware les autorisations d’administrateur pour accéder à la table de fichiers principale (MFT).

Un nouveau programme d’installation de Petya a été détecté la semaine dernière. Celui-ci utilise un scénario de réserve. Si le malware n’obtient pas les autorisations d’administrateur au lancement, c’est un autre ransomware qui sera installé sur la machine infectée, en l’occurrence Mischa.

D’après les explications de Lawrence Abrams, de chez Bleeping Computer, les autorisations d’administrateur indispensables au fonctionnement de Petya figurent dans le manifeste de la version originale. Dans les commentaires envoyés à Threatpost, Lawrence Abrams explique « qu’avant l’exécution du code, Windows affiche la boîte de dialogue UAC qui sollicite ces autorisations. Si le service UAC est désactivé, l’application est exécutée automatiquement avec [les autorisations d’administrateur]. Si l’utilisateur clique sur « No » dans la fenêtre UAC, l’application n’est pas exécutée et, par conséquent, l’installation de Petya n’a pas lieu ».

Pour les exploitants de Petya, ces échecs représentent un gaspillage de ressources d’après Lawrence Abrams. Pour rectifier le tir, ils ont empaqueté un autre ransomware avec le programme d’installation. Il s’agit de Mischa qui sera exécuté si l’option « Petya » n’a pas pu être mise en œuvre.

Le manifeste de la nouvelle version indique que le fonctionnement requiert les données du compte utilisateur. Dans ce cas, Windows autorise le lancement de l’application sans afficher d’avertissement UAC. Comme l’explique Lawrence Abrams, « au lancement du programme d’installation, il sollicite les autorisations d’administrateur conformément à ses paramètres. La boîte de dialogue UAC s’affiche et si l’utilisateur choisit « Yes », ou si UAC est désactivé, l’application obtient les autorisations d’administrateur et installe Petya. Dans le cas contraire, c’est Mischa qui sera installé. Cette méthode est très intelligente ».

gmaimage

Entre temps, Petya continue d’attaquer les employées des services des ressources humaines allemands à l’aide de messages non sollicités qui contiennent des liens vers un fichier malveillant dans le cloud. Au début, les individus malintentionnés utilisaient Dropbox, mais depuis le blocage des liens Dropbox malveillants, ils se sont rabattus sur le service allemand TelekomCloud. Le fichier exécutable se dissimule sous les traits d’un fichier PDF qui serait un prétendu CV d’un candidat à un poste libre. Il contient même une photo.

« Lorsque l’utilisateur télécharge le fichier exécutable, l’icône PDF s’affiche, ce qui laisse penser qu’il s’agit bien d’un CV au format PDF » explique Lawrence Abrams. Toutefois, lorsque ce fichier est ouvert, il tente d’installer Petya. Et si cela ne marche pas, il installe le ransomware Mischa.

Le comportement de Mischa est identique à celui des autres ransomwares standard. Il analyse le disque local à la recherche de fichiers portant certaines extensions. Il chiffre les fichiers à l’aide d’une clé AES et ajoute à leur nom une extension de 4 caractères, par exemple 7GP3. Lawrence Abrams explique que « lorsque Mischa chiffre le fichier, il conserve la clé de chiffrement à la fin du fichier obtenu. Il convient de noter qu’il ne chiffre pas uniquement les fichiers traditionnels dans ce genre d’attaque (PNG, JPG, DOCX, etc.), mais également les fichiers EXE. »

Une fois qu’il a chiffré les fichiers, Mischa exige le versement d’une rançon de 1,93 bitcoins (environ 875 dollars américains) pour le déchiffrement. La somme doit être payée via le site Tor. Il n’existe pas encore d’outil de déchiffrement pour ce ransomware. « Nous conseillons aux victimes de vérifier avant tout la conservation des clichés instantanés à l’aide de Shadow Explorer. Ils pourraient être utile pour restaurer une ancienne version des fichiers chiffrés » conclut Lawrence Abrams.

Fonte: Threatpost

Petya possède un suppléant : Mischa

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception