A la différence des codes actuels, tels que Locky, CryptoWall ou TeslaCrypt, qui chiffrent certains fichiers du système, Petya chiffre l’ensemble des disques durs installés.
C’est le laboratoire de sécurité de G Data qui a découvert ce nouveau ransomware. La campagne actuellement en cours en Allemagne vise les entreprises et en particulier le service des ressources humaines. Un faux email de candidature envoyé au service fait une référence à un CV se trouvant dans Dropbox.
Le fichier stocké dans le partage Dropbox est en réalité un fichier exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. En place de vérification, le système est chiffré et plus aucun accès n’est possible.
Le ransomware se découvre ensuite
Après avoir appuyer sur une touche, la victime est alors appelée à payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables.
Les experts du G DATA Security Labs travaillent à l’analyse de ce nouveau type de ransomware qui a été découvert hier jeudi 24 mars.