Une clef de déchiffrement pour Petya… mais pas pour NotPetya

L’auteur de Petya publie une clef maître permettant de déchiffrer les données prises en otage par son ransomware. Mais ce sésame est inopérant avec le malware destructeur NotPetya…

Une clef maître permettant de déchiffrer toutes les données prises en otage par Petya a été mise en ligne en milieu de semaine dernière, par l’auteur de ce ransomware, connu sous le nom de code Janus. « Comme les auteurs de TeslaCrypt, Janus a publié sa clé privée, permettant à toutes les victimes des précédentes attaques de Petya, de récupérer leurs fichiers », écrit Hasherezade, un chercheur pour MalwareBytes, qui a publié ses premières conclusions jeudi dernier. Les analyses complémentaires confirment que la clef permet de débloquer les données prises en otage par Petya et par les premières versions du ransomware GoldenEye, qui correspond en fait à une évolution de Petya apparue en 2016. 

Problème : cette clef se révèle inefficace avec les dernières moutures du ransomware, celles qu’on appelle désormais NotPetya (ou ExPetr) et qui, parties d’Ukraine, ont dévasté de nombreuses entreprises, dont Saint-Gobain, le groupe de publicité WPP, le logisticien TNT Express, le transporteur naval Maersk ou le groupe pharmaceutique Reckitt pour ne citer que quelques victimes.

Petya chiffre, NotPetya détruit

Selon Hasherezade, GoldenEye, une évolution de Petya née en 2016, a été récupéré et détourné par un autre acteur malveillant en 2017. La nouvelle souche qui en est issue ne semble pas offrir la possibilité de déchiffrer les données une fois les systèmes infectés, le malware ayant été transformé en une infection purement destructrice. Petya et NotPetya partagent toutefois un mode opératoire commun, en ciblant tous deux non pas les fichiers d’un système, mais le secteur de démarrage de son disque dur (Master Boot Record). 

En avril 2016, des chercheurs avaient déjà développé un outil de déchiffrement qui a permis à la plupart des victimes de Petya de générer une clé pour récupérer leurs données. Un utilisateur Twitter connu sous le nom de @leostone a de son côté proposé un algorithme génétique pour générer des mots de passe et un chercheur en sécurité d’Emsisoft a créé un exécutable conçu pour extraire les données de disques infectés par Petya. Mais l’auteur du ransomware avait par la suite mis à jour son malware pour mettre en échec ces outils. Avant, finalement, en ce mois de juillet 2017, de révéler une clef maître mettant de facto fin à cette menace.

A lire aussi :

NotPetya : une facture de plus de 110 M€ pour le groupe pharmaceutique Reckitt

Guillaume Poupard, Anssi : « NotPetya, c’est de la médecine de guerre »

Petya : une vraie cyberarme, teintée de ransomware

Crédit Photo : wk1003mike-Shutterstock