Satana, un ransomware pire que Petya

ComposantsDSIMalwaresProjetsSécurité
3 217 Donnez votre avis

Le nouveau rançomware Satana cumule chiffrement des fichiers et remplacement du secteur d’amorçage du disque.

Une nouvelle génération de ransomware est en train d’émerger. Satana, nom du nouveau malware, combine chiffrement des fichiers et écriture de code sur le secteur d’amorçage du disque, le MBR. Deux techniques inspirées de Petya et Mischa, note Malewarebytes qui constate la croissance du nouvel agent satanique ces dernières semaines.

« Satana fonctionne en deux modes, note la société de sécurité sur son blog. Le premier se comporte comme Petya, un fichier exécutable (sous Windows, NDLR) [et] écrit au début du disque infecté un module de bas niveau, un bootloader avec un noyau personnalisé. Le deuxième mode se comporte comme un ransomware typique et chiffre les fichiers un par un (tout comme Mischa). » Mais à la différence que les deux modes ne sont pas exploités alternativement mais bien appliqués ensemble, l’un après l’autre, pour s’attaquer à leurs victimes.

Payer ne garantit rien chez Satana

Malwarebytes ne le précise pas mais le mode de propagation de Satana reste probablement classique. A savoir par e-mail (et éventuellement d’un expéditeur en recherche de travail avec des liens vers les fichiers infectieux comme dans le cas de la première version de Petya). Une fois le MBR remplacé, le malware s’attaque au chiffrement des fichiers du disque (et des éventuels volumes reliés à l’ordinateur) et attend patiemment que le système soit redémarré. Quand c’est le cas, un message s’affiche sur l’écran expliquant la démarche à suivre pour récupérer l’accès à son PC, à savoir le paiement d’une rançon de 0,5 bitcoin (plus de 300 euros au cours du jour).

Si l’utilisateur parvient néanmoins à remplacer le MBR par un fichier d’amorçage sain (une manipulation manuelle qui est loin d’être à la portée de tout le monde), il se heurtera aux fichiers chiffrés sur le disque. Lesquels ont été renommés avec, en en-tête du nom, un e-mail aléatoirement choisi parmi ceux de l’équipe des développeurs de Satana, selon l’expert en sécurité (Gricakova@techmail.com, dans l’exemple présenté). Et les méthodes de chiffrement semblent suffisamment avancées pour rendre les fichiers piégés définitivement irrécupérables. D’autant que Malewarebytes pointe un bug pour le moins problématique pour la victime. De par le mécanisme de chiffrement/déchiffrement des fichiers, en cas de déconnexion au serveur de commandes et contrôle (C&C), la clé de décryptage (qui est la même que pour le cryptage) est perdue. Brisant tout espoir de la victime à pouvoir récupérer ses données (sauf à avoir fait préalablement des sauvegardes). « Même les victimes qui paient peuvent ne pas récupérer leurs fichiers si elles (ou le C&C) sont hors ligne lorsque le chiffrement arrive », prévient la société de sécurité.

Du code en cours de perfectionnement

Ce n’est pas la seule bizarrerie que remarque le chercheur Hasherezade, auteur du billet. Il constate également que, le ransomware affiche toute la procédure de son déploiement, y compris la progression du chiffrement des fichiers. « Habituellement les auteurs de logiciels malveillants ne veulent pas laisser le code de débogage dans leur produit final », écrit le chercheur. Lequel conclut que Satana est probablement encore en cours de développement et contient des failles. « Le code d’attaque de bas niveau semble inachevée – mais les auteurs montrent un intérêt dans le développement du produit dans ce sens et nous pouvons nous attendre que la prochaine version sera améliorée. » Une nouvelle génération de rançongiciel est bien en marche.


Lire également
Le ransomware Petya trébuche sur un bug de chiffrement
Un ransomware inonde des millions d’utilisateurs d’Office 365
Ransomware : Locky reprend du service


Lire la biographie de l´auteur  Masquer la biographie de l´auteur