Tweeter

Il suffit de cliquer sur un mail, un CV avec ficher Dropbox, pour lancer un « ransomware » qui bloque tout le disque dur et réclame de l'argent pour un déblocage qui n’interviendra jamais.

 

Petya est un tout nouveau « ransomware »  (1) qui ne se limite pas à chiffrer les fichiers pour les prendre en otage: ce redoutable programme de piratage chiffre la MFT (Master File Table, Table de fichiers principale) et remplace la MBR (Master Boot Record, Zone d'amorce) par son propre programme, qui va alors réclamer de l'argent pour obtenir la clé de déchiffrement. (2) (3)

Pour se répandre, Petya utilise des campagnes de « phishing », avec l’envoi en masse d'emails en allemand semblant provenir d'un chercheur d'emploi qui envoie son CV à télécharger via un lien Dropbox.

 

Si l’on commet l’imprudence de cliquer sur le lien, l’on télécharge l'exécutable chargé et Petya écrase alors la MBR, ce qui provoque un écran bleu et le redémarrage de l’ordinateur.

 

Un faux « check disk » qui se lance, fait croire à une réparation du disque. En fait, en arrière-plan, c'est la MFT qui est alors chiffrée. L’ordinateur est alors totalement verrouillé.

Ensuite, un faux « check disk » se lance, faisant croire à une réparation du disque. Mais, en fait, c'est la MFT qui est alors chiffré.

Un écran rouge avec une tête-de-mort apparaît alors, réclame alors  0,99 Bitcoin soit environ 366 € pour obtenir la clé de déchiffrement  ou de le réparer …. Impossible de retourner sous Windows… Un compte-à-rebours apparaît !

Et si l’on ne paye pas dans le délai imparti, la rançon double…. !!

Impossible de retourner sous Windows ou de le réparer.

La seule solution possible est de réparer la MBR et de réinstaller Windows car payer la rançon est plus qu’hasardeux !

ð Rappel : de manière générale, deux règles de prudence à respecter :

-         Ne jamais cliquez sur un lien dont l’on ne connait pas la provenance;

-         Faire des sauvegardes quotidiennes (éventuellement hebdomadaires) des fichiers sensibles sur un support externe.

 

(1)           Rappel : Un « ransomware » est un programme de piratage qui bloque les s fichiers et réclame ensuite de l'argent pour les rendre à nouveau accessibles

Se méfier des rançongiciels : Récemment, un rançongiciel a contaminé la messagerie de la Direction générale de l'aviation civile (DGAC). - News - publié le 26/01/2016 Un rançongiciel, (ransomware en anglais) est un logiciel malveillant qui encrypte vos données personnelles puis vous demande d’envoyer de l’argent en échange de la clé qui permettra de les décrypter. Face à cette menace des précautions sont à prendre.

(2)             Le Master Boot Record ou MBR (aussi appelé « zone amorce ») est le nom donné au premier secteur adressable d'un disque dur (cylindre0, tête 0 et secteur 1, ou secteur 0 en adressage logique) dans le cadre d'unpartitionnement Intel.

D’une taille de512 octets. Le MBR contient la table despartitions (les quatre partitions primaires) du disque dur. Il contientégalement une routine d'amorçagedont le but est de charger le systèmed'exploitation, ou le chargeur d'amorçage (boot loader) s'il existe,présent sur la partition active.

 

(3) La Master File Table (MFT, tablede fichiers principale) est l'un des composants du système de fichiers de NTFSde Microsoft.

Élément principal d'une partitionNTFS, il s'agit du premier fichier présent sur celle-ci .Il contient la liste de tous les fichiers stockés surle disque. Cette liste est stockée sous la forme d'une séried'enregistrements, à la façon d'une base de données.

Lorsqu'un fichier est effacé, l'enregistrement qui le décritest marqué comme libre, il pourra alors être réutilisé lors de la création d'unnouveau fichier, mais il ne sera jamais libéré du disque.

Ainsi, le fichier MFT ne cesse de grossir au fur et à mesure del'utilisation du disque.