Article sur 01net.com, de Gilbert Kallenborn
Une nouvelle attaque de ransomware a frappé les entreprises du monde entier. Les chercheurs en sécurité ont d’ores et déjà décortiqué une grande partie du malware. Voici les principaux enseignements.
Que s’est-il passé ?
Le 27 juin, une vague d’attaque de ransomware a frappé des dizaines de milliers d’ordinateurs dans plus de 65 pays. L’Ukraine et la Russie ont été les plus touchés. Certaines entreprises françaises ont également été impactées, comme Saint-Gobain ou la SNCF, ce qui a suscité l’ouverture d’une enquête du parquet de Paris. (…)
Récupère-t-on les données après avoir payé la rançon ?
Non. Le processus de déchiffrement est totalement inopérant depuis que l’hébergeur allemand Posteo a désactivé l’unique adresse email que devait utiliser les victimes pour confirmer le paiement de la rançon. Sans cette confirmation, les pirates ne peuvent pas identifier le payeur et donc envoyer la clé de chiffrement, si toutefois ils avaient jamais eu l’intention de le faire.
Pour sa part, le chercheur en sécurité Matt Suiche estime que le message de rançon n’est qu’un leurre pour alimenter la machine médiatique et que le véritable objectif de cette attaque est le sabotage. D’après son analyse, les données de la zone d’amorçage ne sont sauvegardées nulle part, mais simplement remplacées par autre chose.
Le disque serait donc de toute façon irrécupérable. « La version actuelle de Petya a été réécrite pour être un wiper, et non un ransomware », souligne l’expert. (…)
Lire l'article