Le rançongiciel Petya est apparu fin juin, d'abord en Ukraine, avant de se propager un peu partout dans le monde. Il est possible de se prémunir face à ce logiciel malveillant. Si l'ordinateur est déjà infecté, des consignes sont à respecter.

2017 est-elle l’année des rançongiciels, ces programmes malveillants qui chiffrent le contenu des ordinateurs infectés pour exiger ensuite des victimes qu’elles paient une rançon si elles veulent débloquer leur poste ? En tout cas, après l’affaire WannaCrypt, voilà qu’un autre ransomware est dans l’actualité : Petya. Il s’agirait d’une variante du premier logiciel.

Pas encore infecté ?

Il n’existe pour le moment aucun moyen de contrer l’action de Petya une fois qu’il est déployé sur un PC. Si votre installation informatique n’a pas encore été infectée, vous pouvez dès à présent suivre les recommandations de l’agence nationale de la sécurité des systèmes d’information, à savoir l’installation de toutes les mises à jour de sécurité et la réduction de l’exposition du service de partage de fichiers sur Internet.

Outre ces deux consignes, il est aussi hautement conseillé de procéder à la sauvegarde quotidienne ou hebdomadaire de vos contenus, sur un support amovible isolé. De cette façon, si votre PC est infecté, seuls les fichiers se trouvant dessus seront bloqués. Les copies faites au titre de la sauvegarde, elles, seront préservées. Vous perdrez au pire une journée ou une semaine de travail.

Vous pouvez retrouver notre guide sur la manière de se protéger d’un ransomware.

Déjà infecté ?

Si vous êtes déjà touché par le ransomware, la première chose à faire est d’isoler tous les équipements identifiés comme étant contaminés afin de contenir l’action du programme, qui cherche à infecter des postes partageant le même réseau que le PC contaminé. L’idée est de limiter les dégâts en mettant hors ligne tous les terminaux victimes du logiciel, et de stopper ainsi sa propagation.

Une fois sur votre ordinateur, le rançongiciel vous demandera de payer une rançon contre le déblocage de vos données : il ne faut pas céder. D’abord, parce que cela va démontrer que les ransomwares, ça marche, des gens acceptent de débourser de l’argent. Ensuite, parce que les responsables de ces programmes sont des crapules. Rien ne dit que la promesse de fournir la clé de déblocage sera tenue.

Vous pouvez consulter les explications plus détaillées du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques sur le comportement à adopter avant et après l’infection.

Quelques parades

S’il n’existe pas encore de solution miracle contre Petya, des spécialistes en sécurité informatique, des parades commencent à apparaître pour limiter les dégâts. Comme le remarque Edward Snowden, il est impératif d’éteindre immédiatement l’ordinateur pour empêcher le redémarrage qui finalisera le chiffrement du système et de ne surtout pas se fier au message sur l’état d’intégrité d’un disque dur (CHKDSK).

« Petya chiffre au démarrage. Si vous voyez un message CHKDSK, vos fichiers ne sont pas encore chiffrés. Coupez immédiatement le courant. Vous pourrez restaurer [vos fichiers ou le système] avec un LiveCD », écrit l’usager Hacker Fantastic. Binary Defense, lui, explique qu’il faut appliquer le patch MS17-010 et de bloquer le partage d’administration ADMIN$ dans l’objet de stratégie de groupe (GPO).

En attendant une meilleure parade, les autorités s’organisent. Europol et Interpol suivent de près le dossier et sont à pied d’œuvre pour déterminer la nature exacte de l’attaque, son origine et la manière de la neutraliser une bonne fois pour toutes.