How does Petya work, the virus that has affected many very large companies?

After #WannaCry, #Petya. For the second time in a few weeks, a "ransomware" has spread widely on the Internet, rendering many computers unusable and disrupting the operation of several large companies.

The code of this ransom has been dissected by many experts and IT security companies in recent hours, allowing a better understanding of how it works.

What exactly does he do?

Petya is a software for #Windows systems: it makes computer data unavailable, which can only be unlocked by paying a ransom. This is a very modified variation of a strain that appeared in spring 2016.
Unlike WannaCry, Petya starts by tackling the very small part of the hard drive - which lists all the files in the memory of a computer - and the number, making them unusable. Then it attacks the part of the hard disk that starts the operating system, the software that runs the computer. This part is modified so that the computer can no longer start using the intended operating system. When the computer is switched on, it is Petya who launches, and the ransom is doing her job. A message is then displayed, claiming that 300 dollars in bitcoin, the electronic money, is sent to obtain the decryption key.
It is extremely unwise to pay the ransom: in addition to paying maintenance for the mafia networks that often hide behind the rungs, the email address used by Petya's authors to contact the victims was turned off by the Mail provider, making any payment completely useless.

How does it spread?

The developers of this software have taken great care of the infection features of Petya, which uses several "lateral" propagation methods, to computers belonging to the same network as the infected machine.
Once installed on a computer, Petya will seek to gain full powers and identify other devices connected to the same network. The ranking software will then search the computer it has infected to retrieve identifiers and passwords that it can then reuse in the network to take control of more devices and multiply its spread. Then, using traditional Windows features used to manage networks, it will transfer to other machines.
In addition to this functionality, it also uses two tools - EternalBlue and EternalRomance - stolen from NSA, the powerful American intelligence agency, which exploits a flaw in a protocol allowing computers to "talk" within a single network , Allow it to be propagated from machine to machine. EternalBlue was already used by WannaCry.
The use of multiple infection methods would explain why some machines that are immune to EternalBlue and EternalRomance because they have installed the corresponding security updates from Microsoft are still infected with Petya.
Its mechanism of propagation within a network of a company makes that traditional workstations are not the only ones to succumb to Petya. More central, more sensitive computers are also affected, such as servers on which websites operate. For this reason, several Saint-Gobain sites were inaccessible on Wednesday morning, June 28, according to an internal source.

Comment arrive-t-il sur les réseaux ?

Si l’on sait comment Petya se déplace d’un ordinateur à un autre au sein d’un même réseau, dans une entreprise par exemple, on ne sait pas comment la première infection de ce réseau est effectuée. D’autant plus que, contrairement à WannaCry, les experts n’ont pas découvert de mécanisme permettant à Petya de sortir du réseau qu’elle a infecté. Plusieurs hypothèses ont été avancées par les experts.

Selon plusieurs sources, notamment l’unité de la police ukrainienne spécialisée dans le cybercrime, une mise à jour du logiciel de comptabilité ukrainien MeDoc aurait été corrompue. Dissimulé à l’intérieur, Petya aurait infecté les machines des internautes mettant à jour leur logiciel. Microsoft affirme même disposer de preuves. Une infection par le biais d’un logiciel de comptabilité très utilisé dans les entreprises ukrainiennes expliquerait pourquoi ce pays a été si durement touché par Petya. Son extrême viralité à l’intérieur des réseaux expliquerait de son côté pourquoi des entreprises dans le monde entier ont été touchées : par effet domino, une machine qui succombe à Petya a de grandes chances d’en infecter d’autres à son tour, et ainsi de suite.

De plus en plus d’indices vont dans ce sens. Après avoir reconnu avoir subi une attaque, l’entreprise développant ce logiciel a rétropédalé et s’est défendue sur Facebook de toute compromission de ses systèmes. Elle y adopte une ligne de défense très similaire à un événement troublant survenu à la fin du mois de mai : l’entreprise niait déjà qu’une nouvelle version de son logiciel avait servi de vecteur à la propagation d’un autre ransomware, XData, apparu peu après la mise à jour de MeDoc. Maersk, le grand groupe spécialiste de la logistique et du transport maritime, frappé de plein fouet par le rançongiciel, utilisait très vraisemblablement MeDoc dans ses filiales en Ukraine, comme l’atteste une annonce d’emploi diffusée récemment par l’entreprise pour un poste de comptable basé en Ukraine.

Certaines sources ont avancé la possibilité que Petya ait pu infecter ses victimes sous la forme d’un document piégé joint à un courriel, exploitant une faille découverte il y a quelques semaines. C’était la possibilité évoquée notamment par la police ukrainienne, sur Twitter et par le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (Anssi). Mercredi, ce dernier a finalement exclu cette possibilité, comme la plupart des experts ayant analysé le logiciel malveillant.

No "killswitch" or decryption tool

Petya does not have a stop mechanism similar to that which was discovered quickly after the appearance of WannaCry. By creating a simple website, experts could largely hinder the spread of WannaCry. Better coded, Petya can not be stopped in the same way. Some experts however discovered that it was possible to immunize its system against a future infection of Petya, creating a simple file. It is a remedy that works only on the machine it is applied to and does not prevent Petya from spreading to other computers.

At this point, no decryption tool was discovered to recover the data confiscated by Petya. It had taken a few days for a partial solution to be found for WannaCry. "The ranking uses a standard and strong encryption mechanism," write Symantec researchers, saying "unlikely" the arrival of a decryption solution.