Petya, le ransomware qui se cachait dans un lien Dropbox

Publié le 10 avril 2016

Les ransomwares continuent de faire parler d’eux et surtout de faire peur aux utilisateurs. Ces malwares, particulièrement agressifs, prennent en otage vos données et réclament de l’argent pour vous permettre de les récupérer. Le dernier en date s’appelle Petya et il se montre déjà particulièrement virulent comme en atteste G Data,qui est à l’origine de sa découverte. Sa cible privilégiée : les départements des ressources humaines des entreprises.

Un malware caché sur Dropbox

Comme la plupart de ses congénères, Petya a une technique bien rodée pour atterrir sur le PC de ses victimes. En effet, il utilise une vaste campagne de phishing qui cible les ressources humaines des entreprises. Petya est habilement caché derrière une fausse candidature spontanée. Sur ce type de mail, le destinataire est invité à cliquer sur un lien Dropbox pour télécharger le CV du candidat. Il s’agit évidemment d’un piège et l’utilisateur se retrouve alors avec un fichier exécutable dont l’objectif est de chiffrer vos données.

Une attaque en deux temps

Petya commence d’abord par modifier le MBR (Master Boot Record) pour prendre la main sur le processus d’amorçage de l’ordinateur. Il déclenche ensuite un écran bleu qui force le redémarrage de votre machine. Suite à cela, l’utilisateur est invité à faire une fausse vérification de son disque dur : c’est à ce moment-là que Petya chiffre les données. L’utilisateur ne peut alors accéder à aucun de ses fichiers personnels puisque Petya demande une rançon pour fournir une clé de décryptage.

Vidéo de Petya en pleine action

Pour espérer récupérer ses données, l’utilisateur devra donc débourser environ 350€ sous 7 sept jours sinon le montant sera doublé.

Vous êtes piégé !

Les experts de G Data ont rassuré leurs utilisateurs : si vous avez G Data comme antivirus, vous êtes protégés. Si vous êtes victime de Petya, il n’y a actuellement aucune garantie que vous retrouverez vos documents après avoir payé la rançon. Heureusement, il existe plusieurs logiciels pour se prémunir face à ces menaces comme Bitdefender Anti-Ransomware ou encore Malwarebytes Anti-Ransomware. De son côté, Dropbox a d’ores et déjà supprimé les liens qui renvoyaient vers le malware mais il pourrait bien resurgir sous un autre forme ou depuis un autre service.

Les rançongiciels sont particulièrement virulents en ce moment. Il faut donc être particulièrement vigilant lorsque vous êtes sur internet.

[Mise à jour du 12/04/2016] Un développeur a trouvé la solution pour sauver ses fichiers et propose le logiciel Petya Extractor. Rendez-vous sur la fiche de ce programme pour en savoir plus sur son fonctionnement et comment l’utiliser.