Petya : la parade à ce nouveau ransomware

Depuis deux semaines environ sévit Petya, un ransomware conçu pour rendre inaccessibles vos données. Son but : vous soutirer de l'argent en échange d'une clé de déchiffrement. Heureusement, il existe un moyen d'éviter de passer à la caisse.

Cette actualité ayant rencontré un franc succès auprès de nos lecteurs, nous la republions ce WE afin que ceux qui ne l'auraient pas lu puissent également la consulter.

Détecté par le lab de G DATA le jeudi 24 mars, Petya chiffre l'ensemble de votre disque dur, contrairement aux Locky, CryptoWall et autres TeslaCrypt, qui ciblent certains fichiers. Une fois le petit exécutable activé (et caché sous la forme d'un CV dans un dossier Dropbox), le programme manipule le MBR, redémarre le système et, alors que les apparences laissent croire à une vérification « CheckDisk », classique en cas de redémarrage brutale, c'est en fait à un chiffrement de la MFT (pour master file table) que s'active Petya.

L'unité système est alors rendu inaccessible et un message apparaît, indiquant que la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau Tor. Sur cette page, on vous indique que votre disque dur est chiffré via un algorithme fort et que si vous ne payez pas sous 7 jours, le prix de la rançon (0,99 bitcoin, soit environ 366 euros) est doublé.


Heureusement, ceux qui sont à l'origine de Petya ont misé avant tout sur ce message persuasif plus que sur le fameux « algorithme fort ». En réalité, le MFT est encodé en Base64, ce qui autorise un décodage sans trop de difficultés. Si vous avez été touché par ce virus, la marche à suivre est indiquée dans notre fiche dédiée :

• Télécharger et utiliser Petya Extractor

Une nouvelle fois, on ne peut que vous inciter à faire très attention aux exécutables qui vous sont envoyés par mail ou via des liens : le danger est souvent au rendez-vous.