samedi 2 avril 2016

News Petya - Le grand frère démoniaque de Locky


Vous avez tous entendus parler de Locky, un ransomware qui se "contentais" de chiffrer vos fichiers personnels pour vous extorquez une rançon... et bien un nouveau virus est à la mode en ce moment: Petya


Petya ?!

Petya est un nouveau ransomware, il va donc chiffrer vos données personnelles... mais pas que. La ou Locky et les autres s’arrentaient la, lui chiffre aussi la MFT (Master File Table - Table de fichiers principale) et remplace la MBR (Master Boot Record - Zone d'amorce) par son propre programme qui réclame alors de l'argent pour obtenir la clé de déchiffrement.

Comment se propage t-il ?

Encore une fois, Petya, comme beaucoup de ses congénères, utilise une méthode bien connue: le phishing! Cette fois, vous recevrez un mail en Allemand d'un demandeur d'emploi qui vous demande bien gentiment de téléchargez son CV. A l'heure actuelle, le fichier est hébergé chez DropBox, mais ces derniers on été mis au courant, l'hébergeur ne devrai pas tarder à changer.


Le faux email contenant la pièce jointe piégée

Quels sont les dégâts ?

Le fichier à téléchargez contient un exécutable. Une fois ce dernier lancer, Petya commence son travail. Un écran bleu (ou d'une couleur différente) s'affiche à l'écran, vous indiquant une réparation du disque. En vérité Petya est entrain de chiffrer vos dossiers, la MFT et la MBR. une fois le processus terminer, une tête de mort sur fond rouge apparait sur votre écran, suivi d'un message vous incitant à payer 0,99 Bitcoin soit environ 366 €, et ce pour obtenir une clé de chiffrement. Il est impossible de retourner sur Windows.


La tête de mort de Petya



Le texte vous réclamant l'argent



Une menace vous precise qu'au bout d'une semaine la rançon double

Conclusion

La même que pour Locky, ou pour tous les autres ransomwares: faites gaffes, faites des sauvegardes sur un support externe... Si votre machine est infectée, vous pouvez faire une croix sur vos données.


Je vous laisse sur une vidéo de Petya à l’œuvre:




Source: korben,zataz, helpnetsecurity


from Hackademics : Forum de hacking – hackers white hat – cours de securite informatique, apprendre langage python, tutoriels de reverse engineering http://ift.tt/1RUdr2m
via IFTTT
Publié par à
Libellés : , , ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)