Après WannaCry, le ransomware NotPetya a piégé de nouvelles entreprises. Les experts de Doctor Web ont poursuivi leurs recherches sur ce ransomware (Trojan.Encoder.12544 dans la nomenclature Dr.Web), connu dans les médias comme Petya, Petya A, ExPetya, NotPetya et WannaCry-2, et propose son décryptage détaillé des techniques de l’attaque :
A l’heure actuelle, il est identifié que le ransomware infecte les ordinateurs en utilisant les vulnérabilités déjà exploitées par les pirates lors de l’infection des ordinateurs à grande échelle par le ransomware WannaCry.
La propagation massive du ransomware Trojan.Encoder.12544 a commencé dans la première moitié de la journée du 27.06.2017. Lors de son démarrage sur un ordinateur attaqué, le ransomware utilise plusieurs moyens pour trouver des PC accessibles dans le réseau local, puis selon une liste d’adresses IP reçue, commence à scanner les ports 445 et 139. Après avoir détecté dans le réseau les machines sur lesquelles ces ports sont ouverts, Trojan.Encoder.12544 tente de les infecter à l’aide de la vulnérabilité largement connue du protocole SMB (MS17-10).
Dans son corps, le ransomware contient 4 ressources compressées, dont 2 sont des versions 32-bits et 64-bits de l’utilitaire Mimikatz destiné à intercepter les mots de passe des sessions ouvertes sous Windows. Selon le type de l’OS, il décompresse une copie appropriée de l’utilitaire, la sauvegarde dans un dossier temporaire puis la lance. À l’aide de cet utilitaire, ainsi qu’en utilisant deux autres variantes, Trojan.Encoder.12544 obtient une liste des utilisateurs locaux et des utilisateurs de domaines autorisés sur l’ordinateur infecté. Puis il recherche des dossiers partagés disponibles, tente de les ouvrir en utilisant les données d’authentification obtenues et d’y enregistrer sa propre copie. Pour infecter les ordinateurs auxquels il a obtenu l’accès, le ransomware utilise un utilitaire de gestion de l’ordinateur distant PsExec (qui est également stocké dans les ressources du ransomware) ou l’utilitaire de console standard destiné à lancer les objets Wmic.exe.
Le ransomware contrôle son redémarrage avec le fichier qu’il enregistre dans le dossier C:\Windows\. Ce fichier porte le nom qui correspond au nom du ransomware sans l’extension. Puisque l’échantillon du ver propagé par les pirates porte actuellement le nom perfc.dat, le fichier qui empêche son redémarrage va avoir le nom C:\Windows\perfc. Mais une fois que les attaquants ont modifié le nom d’origine du ransomware, même la création dans le dossier C:\Windows\ d’un fichier nommé perfc sans extension (comme le suggèrent certains éditeurs d’antivirus) ne pourra plus sauver l’ordinateur de la contamination. A part cela, le Trojan vérifie la présence du fichier perfc, uniquement s’il a assez de privilèges dans l’OS.
Après son lancement, le ransomware configure ses privilèges et charge en mémoire sa propre copie à laquelle il transmet la gestion. Ensuite, le ransomware écrase son fichier initial sur le disque avec des données inutiles et le supprime. En premier lieu, Trojan.Encoder.12544 atteint le VBR (Volume Boot Record qui est l’enregistrement d’amorçage de partition) du lecteur C:, et remplit le premier secteur du disque de données inutiles. Puis le ransomware copie le VBR Windows dans un autre secteur du disque, mais avant de le copier, il le chiffre en utilisant l’algorithme XOR et le remplace par son enregistrement d’amorçage. Puis il crée une tâche de redémarrage et commence à chiffrer tous les fichiers trouvés sur les disques locaux physiques ayant les extensions : 3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Le ransomware chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur, les données sur chaque disque sont cryptées dans un thread séparé. Le chiffrement est effectué en utilisant des algorithmes AES-128-CBC, une clé est créée pour chaque disque (c’est une particularité caractéristique du ransomware non remarquée par les autres chercheurs). Cette clé est chiffrée à l’aide de l’algorithme RSA-2048 (les autres chercheurs ont rapporté qu’une clé de 800 bits est utilisée) et stockée dans le dossier racine du disque crypté, dans un fichier nommé README.TXT. Les fichiers chiffrés ne reçoivent pas d’extension supplémentaire.
Après avoir exécuté la tâche précédemment créée, l’ordinateur démarre et la gestion est passée à l’enregistrement d’amorçage du ransomware. Il affiche à l’écran de la machine contaminée un texte qui ressemble au message de l’utilitaire standard CHDISK.
Dans le même temps, il chiffre le MFT (Master File Table). Dès que le chiffrement est terminé, il affiche la demande de rançon.
Si, au démarrage de l’ordinateur, l’écran affiche un message sur le lancement de l’utilitaire CHDISK, le PC doit être immédiatement éteint. Dans ce cas, l’enregistrement d’amorçage sera endommagé, mais il sera encore possible de le restaurer avec l’utilitaire de restauration Windows ou depuis la Console de restauration, pour cela il faudra démarrer depuis un disque d’installation. La restauration de l’enregistrement d’amorçage est possible sous Windows en version 7 ou supérieures, s’il existe sur le disque une partition cachée utilisée par l’OS et ayant une copie de sauvegarde des données critiques pour le fonctionnement de Windows. Sous Windows XP, cette méthode ne va pas fonctionner.
Selon les rapports de différentes sources, la seule BAL utilisée par les pirates qui propagent le Trojan.Encoder.12544 est actuellement bloquée, et ils ne sont donc pas en mesure de contacter leurs victimes afin de leur proposer, par exemple, de déchiffrer les fichiers.
Pour prévenir l’infection par le Trojan.Encoder. 12544, Doctor Web recommande de créer des sauvegardes de toutes les données critiques sur des supports indépendants. Le message est largement relayé depuis 2 jours mais il est également important d’installer toutes les mises à jour de sécurité pour son système d’exploitation. Les spécialistes de Doctor Web continuent à examiner le ransomware Trojan.Encoder.12544.