Téléchargez le rapport :

"Le ransomware Petya en version bas-niveau"

Le ransomware Petya qui chiffre la Master File Table du système de fichiers de NTFS a récemment été analysé par l'équipe de chercheurs Bitdefender. Ces derniers lui ont découvert des similitudes avec d'autres familles de ransomwares, comme Chimera et Rokku.

Cette information pointe du doigt le même groupe de cybercriminels, sauf que cette fois ces derniers ont utilisé des compétences avancées en programmation de bas-niveau pour développer Petya. Cependant, comme le processus de chiffrement présentait certains défauts, nos chercheurs en sécurité ont pu opérer des actions de rétro-ingénierie et ont ainsi découvert un vaccin qui rend le déchiffrement beaucoup plus facile en cas d'infection. En effet, les utilisateurs touchés reçoivent la clé de déchiffrement, ce qui permet une récupération immédiate des données.

Découvrez une analyse technique approfondie du ransomware Petya dans cette étude. En voici d’ailleurs certaines de ses principales conclusions :

Il a été sans doute développé par les mêmes personnes que celles qui sont derrière les familles de ransomwares Chimera et Rokku ;

Il fonctionne plus vite - Petya ne chiffre pas les fichiers, il chiffre le NTFS Master File Table (MFT);

Il contient ses propres bootloader (chargeur d’amorçage) et noyau – c’est le cas seulement pour quelques familles de ransomware ;

La rétro-ingénierie opérée par Bitdefender permet de mettre à votre disposition un outil gratuit qui aide au déchiffrement des NFTS MFT (des outils tiers sont désormais disponibles, mais ils sont plus difficiles à utiliser).