NotPetya – Ce nom pour le moins singulier a été donné par l’équipe de Kaspersky Lab qui a levé le doute hier soir sur les similitudes de cette attaque avec le Ransomware Petya d’Avril 2016. Le code utilisé est presque identique, cependant la grande différence réside dans la finalité du cryptage des données. Petya était clairement destiné à moissonner ses victimes et extorquer le plus d’argent possible. NotPetya n’a certainement pas les mêmes ambitions.

Une combinaison de Cyberattaques.

Tout commence par un e-mail frauduleux. Le phishing est une technique qui consiste à se faire passer pour un contact connu (en l’occurrence Microsoft Office) et envoyer un mail contenant une pièce jointe infectée. Si l’utilisateur n’est pas vigilant, le virus (ici un Malware/Rançongiciel) pénètre dans son ordinateur.

Il passe ensuite en mode Ransomware : Un écran noir avec des écritures rouges exige le paiement d’une rançon de 300 dollars en échange d’une clé pour décrypter ses fichiers. Bien qu’il soit donc de nature Ransomware, l’adresse e-mail qui est sensée recevoir les confirmations de paiement a été créée chez un simple fournisseur de messagerie allemand qui l’a rapidement bloquée. Il est donc impossible de payer la rançon demandée. Or, de toute évidence, ces hackers ne sont pas amateurs. On se demande alors si le but de cette Cyberattaque n’est donc pas tout simplement le chaos généralisé, parfaitement organisé.

Un piratage de niveau supérieur !

La particularité de NotPetya est qu’il ne crypte pas les fichiers mais la « Zone d’amorçage » du disque et le catalogue des fichiers stockés. Il bloque les données en amont, en moins d’une minute, ce ne sont donc pas que les fichiers mais bien tout le système d’exploitation qui devient inutilisable. Les sauvegardes de fichiers effectuées ne sont donc plus suffisantes. Pour parer ces attaques, il est nécessaire de sauvegarder l’image système en utilisant un logiciel qui permet le versioning pour être sûr de ne pas écraser une sauvegarde saine avec les fichiers cryptés.

Ce nouveau Ransomware rappelle également la dernière vague Wannacry, de par l’exploitation de la même faille de Microsoft – EternalBlue – qui a pourtant été corrigée depuis. De toute évidence, de nombreux postes n’ont pas encore été mis à jour. Cette faille permet au virus de se propager dans le réseau informatique d’une entreprise avant de bloquer définitivement la machine infectée à l’origine.

Là où NotPetya atteint un niveau supérieur, c’est qu’il exploite également EternalRomance, une autre faille de Windows qui permet d’extraire des mots de passe d’administration à distance et donc de diffuser le virus sur des machines qui auraient fait les mises à jour Windows et seraient protégées contre les failles EternalBlue et EternalRomance. 

Il semblerait que personne ne soit épargné. Les multiples canaux de propagation font qu’un seul appareil qui n’a pas mis à jour sa version de Windows peut entraîner la chute de centaines de systèmes d’exploitation.

Ce Rançongiciel a de multiples capacités de propagation et a pour objectif de paralyser les réseaux. La seule échappatoire est d’avoir une version saine de son système d’exploitation et de toutes ses données sauvegardées sur un terminal à l’abri de toute encryption. 

► Que faire ?

• En mesure d’urgence, isolez et éteignez votre ordinateur, débranchez le réseau et le wifi.
• Surtout ne payez aucune rançon.
• Vérifiez que votre PC est à jour et, le cas échéant, installez les dernières mises à jour Windows.
• Surtout n’ouvrez pas de pièces jointes douteuses reçues dans vos mails.
• Vérifiez et installez au plus vite les mises à jour de votre antivirus.
• Sensibilisez vos collaborateurs et votre entourage.

Télécharger le Manuel de Survie