Façade ? Les recherches avancent sur ExPetr/Petya/NotPetya et dévoilent au compte-goutte ses mystères. La création d’un seul et unique portefeuille Bitcoins, avec une maigre récolte, l’impossibilité pour la menace de déchiffrer les fichiers des victimes… autant de signes que cette menace n’est pas ce qu’elle semble être.
Un mail utilisé par les hackers en clair sur le message de chantage, ce qui a provoqué très rapidement son blocage, un unique portefeuille Bitcoins indiqué pour toutes les victimes, contrairement aux autres ransomwares, et un code qui ne permet pas de déchiffrer les fichiers cryptés. Autant d’éléments qui font dire aux spécialistes que Petya – donnez-lui le nom que vous voulez dans l’état actuel des connaissances – n’est pas un vrai rançonlogiciel.
Selon Vladimir Kolla, responsable de la Practice Sécurité chez l’ESN NetXP, la menace pourrait être apparentée à Petya (déjà connu) ou inpirée de Petya “afin de brouiller les pistes“. Les experts de Kaspersky Lab, parlent eux d’une menace de type “wiper“, déguisée en ransomware. Selon Kaspersky Lab, la menace ne pourrait pas déchiffrer les données des victimes, même si une rançon est payée. “Nous avons analysé le code de haut niveau du système de chiffrement et avons découvert qu’après le chiffrement des disques des victimes, la menace ne pouvait pas les déchiffrer. Pour parvenir à déchiffrer des disques, les cybercriminels ont besoin de la clé d’activation [installation ID]. Dans les versions précédentes de ransomwares similaires comme Petya/Mischa/GoldenEye, cette clé d’activation contenait les informations nécessaires à la récupération de la clé de déchiffrement. ExPetr n’en a pas, ce qui signifie que la menace n’a pas pu extraire les informations nécessaires au déchiffrement.”
Les malheureuses victimes qui ont payé – au total une somme en dessous de 10 000 dollars – ne reverront donc jamais leur argent. Reste à déterminer la ou les véritables fins et motivations de cette menace : destruction pure et simple des données ?