Qu'est-ce que le virus Misha et Petya ? Semblable à Petya, ami Misha : que sait-on du nouveau virus ransomware. Vérifier la présence éventuelle de composants résiduels du ransomware Petya et Mischa

Début mai, environ 230 000 ordinateurs dans plus de 150 pays ont été infectés par un virus ransomware. Avant que les victimes n'aient eu le temps d'éliminer les conséquences de cette attaque, une nouvelle, appelée Petya, a suivi. Le plus grand ukrainien et Entreprises russes, ainsi que les agences gouvernementales.

La cyber-police ukrainienne a établi que l'attaque virale avait commencé par le mécanisme de mise à jour du logiciel de comptabilité M.E.Doc, utilisé pour préparer et envoyer les déclarations fiscales. Ainsi, il est devenu connu que les réseaux de Bashneft, Rosneft, Zaporozhieoblenergo, Dneproenergo et le système électrique du Dniepr n'ont pas échappé à l'infection. En Ukraine, le virus a pénétré les ordinateurs du gouvernement, les PC du métro de Kiev, les opérateurs télécoms et même la centrale nucléaire de Tchernobyl. En Russie, Mondelez International, Mars et Nivea ont été touchées.

Le virus Petya exploite la vulnérabilité EternalBlue en salle d'opération Système Windows. Les experts de Symantec et F-Secure affirment que même si Petya chiffre les données comme WannaCry, il reste quelque peu différent des autres types de virus de chiffrement. "Le virus Petya est le nouveau genre extorsion avec intention malveillante : il ne se contente pas de crypter les fichiers sur le disque, mais verrouille l'intégralité du disque, le rendant pratiquement inutilisable, explique F-Secure. "Plus précisément, il crypte la table du fichier maître MFT."

Comment cela se produit-il et ce processus peut-il être évité ?

Virus "Petya" - comment ça marche ?

Le virus Petya est également connu sous d’autres noms : Petya.A, PetrWrap, NotPetya, ExPetr. Une fois sur l'ordinateur, il télécharge un ransomware depuis Internet et tente d'infecter certains disque dur avec les données nécessaires pour démarrer l'ordinateur. S’il réussit, le système émet un écran bleu de la mort (« Blue Screen of Death »). écran bleu de la mort"). Après le redémarrage, un message apparaît concernant vérifier attentivement disque avec une demande de ne pas couper l'alimentation. Ainsi, le ransomware prétend être programme système pour vérifier le disque, en chiffrant les fichiers avec certaines extensions à ce moment-là. À la fin du processus, un message apparaît indiquant que l'ordinateur est bloqué et des informations sur la manière d'obtenir une clé numérique pour décrypter les données. Le virus Petya exige une rançon, généralement en Bitcoin. Si la victime ne dispose pas d'une copie de sauvegarde de ses fichiers, elle se retrouve face au choix entre payer 300 $ ou perdre toutes les informations. Selon certains analystes, le virus se fait simplement passer pour un ransomware, alors que son véritable objectif est de causer des dégâts massifs.

Comment se débarrasser de Petya ?

Les experts ont découvert que le virus Petya recherche un fichier local et, si ce fichier existe déjà sur le disque, quitte le processus de cryptage. Cela signifie que les utilisateurs peuvent protéger leur ordinateur contre les ransomwares en créant ce fichier et en le définissant en lecture seule.

Bien que ce stratagème astucieux empêche le démarrage du processus d’extorsion, cette méthode peut être davantage considérée comme une « vaccination par ordinateur ». Ainsi, l’utilisateur devra créer lui-même le fichier. Vous pouvez procéder comme suit :

  • Vous devez d’abord comprendre l’extension du fichier. Dans la fenêtre Options des dossiers, assurez-vous que la case Masquer les extensions pour les types de fichiers connus n'est pas cochée.
  • Ouvrez le dossier C:\Windows, faites défiler vers le bas jusqu'à ce que vous voyiez le programme notepad.exe.
  • Faites un clic gauche sur notepad.exe, puis appuyez sur Ctrl + C pour copier puis Ctrl + V pour coller le fichier. Vous recevrez une demande demandant l’autorisation de copier le fichier.
  • Cliquez sur le bouton Continuer et le fichier sera créé sous forme de bloc-notes - Copy.exe. Faites un clic gauche sur ce fichier et appuyez sur F2, puis effacez le nom du fichier Copy.exe et entrez perfc.
  • Après avoir changé le nom du fichier en perfc, appuyez sur Entrée. Confirmez le changement de nom.
  • Maintenant que le fichier perfc a été créé, nous devons le rendre en lecture seule. Pour ce faire, cliquez sur clic-droit passez la souris sur le fichier et sélectionnez "Propriétés".
  • Le menu des propriétés de ce fichier s'ouvrira. En bas, vous verrez « Lecture seule ». Cochez la case.
  • Cliquez maintenant sur le bouton Appliquer, puis sur le bouton OK.

Certains experts en sécurité suggèrent de créer des fichiers C:\Windows\perfc.dat et C:\Windows\perfc.dll en plus du fichier C:\windows\perfc afin de mieux vous protéger contre Virus Petya. Vous pouvez répéter les étapes ci-dessus pour ces fichiers.

Félicitations, votre ordinateur est protégé contre NotPetya/Petya !

Les experts Symantec offrent quelques conseils aux utilisateurs de PC pour les empêcher de faire des choses qui pourraient entraîner le verrouillage de fichiers ou une perte d'argent.

  1. Ne payez pas d'argent aux criminels. Même si vous transférez de l’argent vers le ransomware, rien ne garantit que vous pourrez retrouver l’accès à vos fichiers. Et dans le cas de NotPetya / Petya, cela n’a fondamentalement aucun sens, car le but du ransomware est de détruire des données et non d’obtenir de l’argent.
  2. Assurez-vous de créer régulièrement sauvegardes données. Dans ce cas, même si votre PC devient la cible d'une attaque de virus ransomware, vous pourrez récupérer tous les fichiers supprimés.
  3. N'ouvrez pas les e-mails provenant d'adresses douteuses. Les attaquants tenteront de vous inciter à installer des logiciels malveillants ou d’obtenir des données importantes pour les attaques. Assurez-vous d'informer les spécialistes informatiques si vous ou vos employés recevez des e-mails ou des liens suspects.
  4. Utilisez un logiciel fiable. Joue un rôle important dans la protection des ordinateurs contre les infections. mise à jour en temps opportun Logiciel antivirus. Et bien sûr, vous devez utiliser des produits d’entreprises réputées dans ce domaine.
  5. Utilisez des mécanismes pour analyser et bloquer les messages de spam. Les e-mails entrants doivent être analysés à la recherche de menaces. Il est important que tous les types de messages contenant des liens ou des mots clés Hameçonnage.
  6. Assurez-vous que tous les programmes sont à jour. Une correction régulière des vulnérabilités logicielles est nécessaire pour prévenir les infections.

Faut-il s’attendre à de nouvelles attaques ?

Le virus Petya est apparu pour la première fois en mars 2016 et les spécialistes de la sécurité ont immédiatement remarqué son comportement. Le nouveau virus Petya a infecté des ordinateurs en Ukraine et en Russie fin juin 2017. Mais il est peu probable que ce soit la fin. Attaques de pirates l'utilisation de virus ransomware similaires à Petya et WannaCry se reproduira, a déclaré Stanislav Kuznetsov, vice-président du conseil d'administration de la Sberbank. Dans une interview accordée à TASS, il a averti que de telles attaques se produiraient certainement, mais qu'il est difficile de prédire à l'avance sous quelle forme et dans quel format elles pourraient apparaître.

Si, après toutes les cyberattaques qui se sont produites, vous n’avez pas encore pris au moins les mesures minimales pour protéger votre ordinateur contre un virus ransomware, alors il est temps de prendre les choses au sérieux.

Il y a quelques mois, nous et d'autres spécialistes de la sécurité informatique avons découvert un nouveau malware : Petya (Win32.Trojan-Ransom.Petya.A). Au sens classique, il ne s'agissait pas d'un chiffreur ; le virus bloquait simplement l'accès à certains types de fichiers et exigeait une rançon. Le virus a modifié entrée de démarrage sur le disque dur, a redémarré de force le PC et a affiché un message indiquant que "les données sont cryptées - gaspillez votre argent pour le décryptage". En général, le schéma standard de cryptage des virus, sauf que les fichiers n'étaient PAS réellement cryptés. Les antivirus les plus populaires ont commencé à identifier et à supprimer Win32.Trojan-Ransom.Petya.A quelques semaines après son apparition. De plus, des instructions de suppression manuelle sont apparues. Pourquoi pensons-nous que Petya n’est pas un ransomware classique ? Ce virus modifie le Master Boot Record, empêche le chargement du système d'exploitation et crypte également la table des fichiers maîtres. Il ne crypte pas les fichiers eux-mêmes.

Cependant, un virus plus sophistiqué est apparu il y a quelques semaines Micha, apparemment écrit par les mêmes escrocs. Ce virus CRYPTE les fichiers et vous oblige à payer entre 500 $ et 875 $ pour le décryptage (en différentes versions 1,5 – 1,8 bitcoin). Les instructions de « décryptage » et de paiement sont stockées dans les fichiers YOUR_FILES_ARE_ENCRYPTED.HTML et YOUR_FILES_ARE_ENCRYPTED.TXT.

Virus Mischa – contenu du fichier YOUR_FILES_ARE_ENCRYPTED.HTML

Aujourd’hui, en effet, les pirates infectent les ordinateurs des utilisateurs avec deux malwares : Petya et Mischa. Le premier nécessite des droits d'administrateur sur le système. Autrement dit, si un utilisateur refuse de donner des droits d'administrateur à Petya ou supprime manuellement ce malware, Mischa s'implique. Ce virus ne nécessite pas de droits d’administrateur, il s’agit d’un crypteur classique et crypte en fait les fichiers à l’aide de l’algorithme AES puissant et sans apporter aucune modification au Master Boot Record et à la table des fichiers sur le disque dur de la victime.

Le malware Mischa crypte non seulement les types de fichiers standards (vidéos, images, présentations, documents), mais également les fichiers .exe. Le virus n'affecte pas uniquement les répertoires \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Opéra,\ Internet Explorer, \Temp, \Local, \LocalLow et \Chrome.

L'infection se produit principalement par courrier électronique, où une lettre est reçue avec un fichier joint – le programme d'installation du virus. Il peut être crypté sous une lettre du Service des Impôts, de votre comptable, en pièce jointe des reçus et reçus d'achats, etc. Faites attention aux extensions de fichiers dans ces lettres - s'il s'agit d'un fichier exécutable (.exe), il peut s'agir avec une forte probabilité d'un conteneur contenant le virus Petya\Mischa. Et si la modification du malware est récente, votre antivirus risque de ne pas répondre.

Mise à jour du 30/06/2017 : 27 juin, une version modifiée du virus Petya (Petya.A) massivement attaqué des utilisateurs en Ukraine. L'effet de cette attaque a été énorme et les dégâts économiques n'ont pas encore été calculés. En un jour, le travail de dizaines de banques a été paralysé, chaînes de vente au détail, les agences gouvernementales et les entreprises de diverses formes de propriété. Le virus s'est propagé principalement via une vulnérabilité dans le système de reporting comptable ukrainien MeDoc avec la dernière mise à jour automatique de ce logiciel. En outre, le virus a touché des pays comme la Russie, l’Espagne, la Grande-Bretagne, la France et la Lituanie.

Supprimez les virus Petya et Mischa à l'aide d'un nettoyeur automatique

Exclusivement méthode efficace travailler avec des logiciels malveillants en général et des ransomwares en particulier. L'utilisation d'un complexe protecteur éprouvé garantit une détection approfondie de tous les composants viraux, de leur suppression complète en un seul clic. Attention, nous parlons de deux différents processus: Désinstallez l’infection et restaurez les fichiers sur votre PC. Toutefois, la menace doit certainement être supprimée, car il existe des informations sur l'introduction d'autres chevaux de Troie informatiques qui l'utilisent.

  1. . Après avoir démarré le logiciel, cliquez sur le bouton Démarrer l'analyse de l'ordinateur(Lancez la numérisation).
  2. Le logiciel installé fournira un rapport sur les menaces détectées lors de l'analyse. Pour supprimer toutes les menaces détectées, sélectionnez l'option Corriger les menaces(Éliminer les menaces). Le malware en question sera complètement supprimé.

Restaurer l'accès aux fichiers cryptés

Comme indiqué, le ransomware Mischa verrouille les fichiers à l'aide d'un algorithme de cryptage puissant afin que les données cryptées ne puissent pas être restaurées d'un coup de baguette magique, à moins de payer un montant de rançon inouï (atteignant parfois jusqu'à 1 000 $). Mais certaines méthodes peuvent vraiment vous sauver la vie et vous aider à récupérer des données importantes. Ci-dessous, vous pouvez vous familiariser avec eux.

Programme récupération automatique fichiers (déchiffreur)

Une circonstance très inhabituelle est connue. Cette infection efface les fichiers originaux sous forme non cryptée. Le processus de chiffrement à des fins d’extorsion cible ainsi leurs copies. Cela donne l'occasion à de tels logiciel comment restaurer les objets effacés, même si la fiabilité de leur suppression est garantie. Il est fortement recommandé de recourir à la procédure de récupération de fichiers ; son efficacité ne fait aucun doute.

Clichés instantanés de volumes

L'approche est basée sur la procédure Windows Copie de réserve fichiers, qui est répété à chaque point de récupération. Condition importante travail cette méthode: La fonction « Restauration du système » doit être activée avant l’infection. Cependant, toute modification apportée au fichier après le point de restauration n'apparaîtra pas dans la version restaurée du fichier.

Sauvegarde

C’est la meilleure parmi toutes les méthodes sans rançon. Si la procédure de sauvegarde des données est serveur externe a été utilisé avant l'attaque du ransomware sur votre ordinateur, pour restaurer les fichiers cryptés il vous suffit d'entrer dans l'interface appropriée, sélectionnez fichiers nécessaires et démarrez le mécanisme de récupération des données à partir de la sauvegarde. Avant d'effectuer l'opération, vous devez vous assurer que le ransomware est complètement supprimé.

Vérifier la présence éventuelle de composants résiduels du ransomware Petya et Mischa

Nettoyage dans mode manuel se heurte à l'omission de fragments individuels de ransomware qui peuvent éviter leur suppression sous la forme d'objets cachés du système d'exploitation ou d'éléments de registre. Pour éliminer le risque de rétention partielle d'éléments malveillants individuels, analysez votre ordinateur à l'aide d'un logiciel de sécurité fiable spécialisé dans les logiciels malveillants.

Mardi 27 juin, des entreprises ukrainiennes et russes ont signalé une attaque virale massive : les ordinateurs des entreprises ont affiché une demande de rançon. J'ai compris qui a encore une fois souffert des pirates informatiques et comment se protéger du vol de données importantes.

Petya, ça suffit

Le secteur de l’énergie a été le premier à être attaqué : les sociétés ukrainiennes Ukrenergo et Kyivenergo se sont plaintes du virus. Les assaillants les ont paralysés systèmes informatiques, mais cela n'a pas affecté la stabilité des centrales électriques.

Les Ukrainiens ont commencé à publier en ligne les conséquences de l'infection : à en juger par de nombreuses photos, les ordinateurs ont été attaqués par un virus ransomware. Un message est apparu sur l'écran des appareils concernés indiquant que toutes les données étaient cryptées et que les propriétaires d'appareils devaient payer une rançon de 300 $ en Bitcoin. Cependant, les pirates n'ont pas précisé ce qu'il adviendrait des informations en cas d'inaction et n'ont même pas fixé de compte à rebours jusqu'à ce que les données soient détruites, comme ce fut le cas avec l'attaque du virus WannaCry.

La Banque nationale d'Ukraine (NBU) a signalé que le travail de plusieurs banques était partiellement paralysé à cause du virus. Selon les médias ukrainiens, l'attaque a touché les bureaux d'Oschadbank, d'Ukrsotsbank, d'Ukrgasbank et de PrivatBank.

ont été infectés réseaux informatiques"Ukrtelecom", aéroport "Borispol", "Ukrposhta", " Nouveau courrier", " Kievvodokanal " et le métro de Kiev. En outre, le virus a frappé les opérateurs de téléphonie mobile ukrainiens - Kyivstar, Vodafone et Lifecell.

Plus tard, les médias ukrainiens ont précisé qu'il s'agissait du malware Petya.A. Il est distribué selon le schéma habituel des hackers : les victimes reçoivent des emails de phishing provenant de mannequins leur demandant d'ouvrir un lien joint. Après cela, le virus pénètre dans l’ordinateur, crypte les fichiers et demande une rançon pour les décrypter.

Les pirates ont indiqué le numéro de leur portefeuille Bitcoin vers lequel l’argent devait être transféré. À en juger par les informations sur la transaction, les victimes ont déjà transféré 1,2 bitcoins (plus de 168 000 roubles).

Selon les experts en sécurité des informations de la société Group-IB, plus de 80 entreprises ont été touchées par l'attaque. Le chef de leur laboratoire criminel a noté que le virus n'était pas lié à WannaCry. Pour résoudre le problème, il a conseillé de fermer les ports TCP 1024-1035, 135 et 445.

Qui est coupable

Elle s'est empressée de supposer que l'attaque avait été organisée depuis le territoire de la Russie ou du Donbass, mais n'a fourni aucune preuve. Ministre de l'Infrastructure de l'Ukraine scie indice dans le mot « virus » et a écrit sur son Facebook que « ce n’est pas une coïncidence si cela se termine en RUS », ajoutant une émoticône clignotante à sa supposition.

Entre-temps, il affirme que l’attaque n’a aucun lien avec les « logiciels malveillants » existants connus sous le nom de Petya et Mischa. Les experts en sécurité affirment que la nouvelle vague a touché non seulement les entreprises ukrainiennes et russes, mais également celles d’autres pays.

Cependant, l’interface du « malware » actuel ressemble au célèbre virus Petya, diffusé il y a quelques années via des liens de phishing. Fin décembre, un pirate informatique inconnu responsable de la création du ransomware Petya et Mischa a commencé à envoyer des e-mails infectés avec un virus attaché appelé GoldenEye, identique à Versions précédentes cryptographes.

La pièce jointe à la lettre ordinaire, que les employés du service RH recevaient souvent, contenait des informations sur le faux candidat. Dans l'un des fichiers, on pouvait trouver un CV et dans le suivant, le programme d'installation du virus. Les principales cibles de l’attaquant étaient alors des entreprises en Allemagne. En 24 heures, plus de 160 salariés de l’entreprise allemande sont tombés dans le piège.

Il n'a pas été possible d'identifier le hacker, mais il est évident qu'il est un fan de Bond. Les programmes Petya et Mischa sont les noms des satellites russes « Petya » et « Misha » du film « Golden Eye », qui dans l'intrigue étaient des armes électromagnétiques.

La version originale de Petya a commencé à être activement distribuée en avril 2016. Il s'est habilement camouflé sur les ordinateurs et s'est fait passer pour des programmes légitimes, exigeant des droits d'administrateur étendus. Après l'activation, le programme s'est comporté de manière extrêmement agressive : il a fixé un délai strict pour le paiement de la rançon, exigeant 1,3 bitcoins, et après ce délai, il a doublé la compensation monétaire.

C'est vrai, alors l'un des Utilisateurs de Twitter a rapidement trouvé les faiblesses du ransomware et créé un programme simple, qui a généré en sept secondes une clé qui vous a permis de déverrouiller l'ordinateur et de décrypter toutes les données sans aucune conséquence.

Pas pour la première fois

À la mi-mai, des ordinateurs du monde entier ont été attaqués par un virus ransomware similaire, WannaCrypt0r 2.0, également connu sous le nom de WannaCry. En quelques heures seulement, il a paralysé le travail de centaines de milliers d'ouvriers. Appareils Windows dans plus de 70 pays. Parmi les victimes figuraient les forces de sécurité russes, des banques et opérateurs mobiles. Une fois sur l’ordinateur de la victime, le virus crypté Disque dur et a exigé d'envoyer aux attaquants 300 $ en bitcoins. Trois jours ont été alloués à la réflexion, après quoi le montant a été doublé et au bout d'une semaine, les fichiers ont été cryptés pour toujours.

Cependant, les victimes n'étaient pas pressées de payer la rançon et les créateurs du malware

Les virus font partie intégrante de l’écosystème systèmes d'exploitation. Dans la plupart des cas, nous parlons de Windows et d'Android, et si vous n'avez vraiment pas de chance, d'OS X et de Linux. De plus, si auparavant les virus de masse visaient uniquement à voler des données personnelles et, dans la plupart des cas, simplement à endommager des fichiers, les chiffreurs « font désormais la loi ».


Et ce n'est pas surprenant : la puissance de calcul des PC et des smartphones a augmenté comme une avalanche, ce qui signifie que le matériel nécessaire à de telles « farces » devient de plus en plus puissant.

Il y a quelque temps, des experts ont découvert le virus Petya. G DATA SecurityLabs a découvert que le virus nécessite un accès administratif au système et qu'il ne crypte pas les fichiers, mais en bloque uniquement l'accès. Aujourd’hui, les remèdes de Petya (Win32.Trojan-Ransom.Petya.A‘) existent déjà. Le virus lui-même modifie l'enregistrement de démarrage sur le lecteur système et provoque le crash de l'ordinateur, affichant un message concernant la corruption des données sur le disque. En fait, il ne s'agit que d'un cryptage.

Les développeurs de logiciels malveillants ont exigé un paiement pour restaurer l'accès.


Cependant, aujourd'hui, en plus du virus Petya, un virus encore plus sophistiqué est apparu : Misha. Il n'a pas besoin de droits d'administrateur et crypte les données comme le Ransomware classique, créant les fichiers YOUR_FILES_ARE_ENCRYPTED.HTML et YOUR_FILES_ARE_ENCRYPTED.TXT sur le disque ou le dossier contenant les données cryptées. Ils contiennent des instructions sur la façon d'obtenir la clé, qui coûte environ 875 $.

Il est important de noter que l'infection se produit par courrier électronique, qui reçoit un fichier exe contenant des virus, se faisant passer pour un document PDF. Et ici, il reste à le rappeler - vérifiez soigneusement les lettres avec les fichiers joints et essayez également de ne pas télécharger de documents depuis Internet, car désormais un virus ou une macro malveillante peut être intégré dans un fichier doc ou une page Web.

Notons également qu'il n'existe jusqu'à présent aucun utilitaire permettant de déchiffrer le « travail » du virus Misha.

Droit d’auteur des illustrations Pennsylvanie Légende Selon les experts, lutter contre le nouveau ransomware est plus difficile que WannaCry

Le 27 juin, un ransomware a verrouillé les ordinateurs et crypté les fichiers de dizaines d’entreprises à travers le monde.

Il semblerait que ce soient les entreprises ukrainiennes qui ont le plus souffert : le virus a infecté les ordinateurs des grandes entreprises, des agences gouvernementales et des infrastructures.

Le virus demande 300 $ en Bitcoin aux victimes pour décrypter les fichiers.

Le service russe de la BBC répond aux principales questions sur la nouvelle menace.

Qui a été blessé ?

La propagation du virus a commencé en Ukraine. L'aéroport de Boryspil, certaines divisions régionales d'Ukrenergo, des chaînes de magasins, des banques, des entreprises de médias et de télécommunications ont été touchés. Les ordinateurs du gouvernement ukrainien sont également tombés en panne.

Ensuite, ce fut au tour des entreprises russes : Rosneft, Bashneft, Mondelеz International, Mars, Nivea et d'autres ont également été victimes du virus.

Comment fonctionne le virus ?

Les experts ne sont pas encore parvenus à un consensus sur l’origine du nouveau virus. Group-IB et Positive Technologies y voient une variante du virus Petya de 2016.

"Ce ransomware utilise à la fois des techniques et des utilitaires de piratage, et utilitaires standards l'administration du système, - commente Elmar Nabigaev, chef du département de réponse aux menaces en matière de sécurité de l'information chez Positive Technologies. - Tout cela garantit grande vitesse propagation au sein du réseau et la massivité de l'épidémie dans son ensemble (si au moins un ordinateur personnel). Le résultat est une inopérabilité totale de l’ordinateur et un cryptage des données. »

La société roumaine Bitdefender voit davantage de points communs avec le virus GoldenEye, dans lequel Petya est associé à un autre malware appelé Misha. L'avantage de ce dernier est qu'il ne nécessite pas de droits d'administrateur de la part de la future victime pour chiffrer les fichiers, mais les extrait de manière indépendante.

Brian Campbell de Fujitsu et un certain nombre d'autres experts estiment que le nouveau virus utilise un programme EternalBlue modifié volé à l'Agence nationale de sécurité des États-Unis.

Après la publication de ce programme par les hackers The Shadow Brokers en avril 2017, le virus ransomware WannaCry créé sur cette base s'est répandu dans le monde entier.

En utilisant Vulnérabilités Windows, ce programme permet au virus de se propager aux ordinateurs partout réseau d'entreprise. Le Petya original a été envoyé via e-mail déguisé en CV et ne pouvait infecter que l'ordinateur sur lequel le CV était ouvert.

Kaspersky Lab a déclaré à Interfax que le virus ransomware n'appartient pas aux familles de logiciels malveillants précédemment connues.

« Les produits logiciels de Kaspersky Lab détectent ce malware sous le nom UDS:DangeroundObject.Multi.Generic », a noté Vyacheslav Zakorzhevsky, chef du département de recherche antivirus de Kaspersky Lab.

En général, si vous appelez le nouveau virus par son nom russe, vous devez garder à l’esprit qu’en apparence, il ressemble davantage au monstre de Frankenstein, puisqu’il est assemblé à partir de plusieurs programmes malveillants. On sait avec certitude que le virus est né le 18 juin 2017.

Légende Le virus demande 300 $ pour décrypter les fichiers et déverrouiller votre ordinateur.

Plus cool que WannaCry ?

Il n’a fallu que quelques jours à WannaCry, en mai 2017, pour devenir la plus grande cyberattaque de ce type de l’histoire. Le nouveau virus ransomware surpassera-t-il son récent prédécesseur ?

En moins d'une journée, les attaquants ont reçu de leurs victimes 2,1 bitcoins, soit environ 5 000 dollars. WannaCry a collecté 7 bitcoins au cours de la même période.

Dans le même temps, selon Elmar Nabigaev de Positive Technologies, il est plus difficile de lutter contre les nouveaux ransomwares.

"En plus d'exploiter [la vulnérabilité de Windows], cette menace se propage également via des comptes de système d'exploitation volés à l'aide d'outils de piratage spéciaux", a noté l'expert.

Comment lutter contre le virus ?

À titre préventif, les experts conseillent d'installer à temps les mises à jour des systèmes d'exploitation et de vérifier les fichiers reçus par e-mail.

Il est conseillé aux administrateurs avancés de désactiver temporairement le protocole de transfert réseau Server Message Block (SMB).

Si vos ordinateurs sont infectés, vous ne devez en aucun cas payer les attaquants. Rien ne garantit qu’une fois le paiement reçu, ils décrypteront les fichiers plutôt que d’exiger davantage.

Il ne reste plus qu'à attendre le programme de décryptage : dans le cas de WannaCry, un spécialiste devra le créer entreprise française Quarkslab d'Adrien Guinier a pris une semaine.

Le premier ransomware contre le SIDA (PC Cyborg) a été écrit par le biologiste Joseph Popp en 1989. Elle a caché des répertoires et des fichiers cryptés, exigeant le paiement de 189 dollars pour" Renouvellement de licence" sur un compte au Panama. Popp a distribué son idée à l'aide de disquettes par courrier ordinaire, soit un total d'environ 20 000yachtexpéditions. Popp a été arrêté alors qu'il tentait d'encaisser un chèque, mais a évité son procès : en 1991, il a été déclaré fou.